Аттестация ГИС на соответствие требованиям безопасности информации
Аттестация системы защиты информации (СЗИ) является обязательной для всех ГИС. Эксплуатация ГИС без действующего аттестата соответствия запрещена на основании постановления Правительства № 676.
Аттестация СЗИ ГИС – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов Российской Федерации в области защиты информации.
Аттестацию необходимо проводить после предварительных работ, которые включают в себя:
- определение класса ГИС;
- разработку модели нарушителя и модели угроз (и утверждения документа во ФСТЭК России и, при необходимости, в ФСБ России);
- разработку организационно-распорядительной документации;
- разработку технического задания на систему защиты информации, обрабатываемой в ГИС;
- разработку проектной документации и внедрение системы защиты информации (СЗИ), обрабатываемой в ГИС.
Перед началом аттестации составляется документ «Программа и методики аттестационных испытаний», в котором описываются цели и задачи, а также основные инструменты и методики, с помощью которых будет проводиться данное мероприятие.
По итогам аттестационных испытаний разрабатывается протокол аттестационных испытаний и заключение о соответствии ИСПДн требованиям о защите ПДн.
В случае успешного прохождения аттестационных испытаний выдается аттестат соответствия требованиям безопасности информации на весь срок эксплуатации ГИС, при условии, что оператор (владелец) ГИС в процессе эксплуатации будет обеспечивать поддержку соответствия системы защиты информации аттестату соответствия.
Для проведения аттестации системы защиты информации на соответствие требованиям ИБ необходимо привлекать организацию, имеющую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.