Что такое аттестация объектов информатизации

Технологический прогресс усовершенствовал не только методы выявления потенциальных угроз, но и способы защиты информированных субъектов. Однако эти меры часто оказываются неполными и бесполезными без надлежащей правовой оценки систем. В случае с информационными объектами такая оценка осуществляется посредством ряда процедур, завершающихся сертификацией, т.е. выдачей документа "Аттестат соответствия".

Аттестат соответствия — документ, подтверждающий полное соответствие объекта информатизации, действующим по требованиям безопасности, правилам и стандартам в сфере ИБ.

Причины необходимости сертификации объектов информатизации

Как уже говорилось выше, цель аттестации— оценить и проверить соответствие систем защиты информации требованиям безопасности данных. Они выявляют слабые места, защищают информацию от разглашения и несанкционированного доступа, а также позволяют обрабатывать конфиденциальную информацию.

В соответствии с нормативным законодательством, аттестация является добровольной. Для этого необходимо обратиться в организацию по сертификации объектов информатизации и заключить с ней соответствующий договор. Однако в некоторых случаях может потребоваться обязательная аттестация:

• При обработке информации муниципальных и государственных информационных систем (ГИС).
• Для получения лицензий на определенный вид деятельности.
• При обработке информации, подпадающей под государственную тайну.
• При обработке конфиденциальной информации (кроме коммерческой тайны – для неё аттестация необязательна).

Важно отличать государственные информационные системы от других систем, поскольку для разных субъектов требуются разные меры. Несоблюдение соответствующих требований может привести к административной или уголовной ответственности. Прежде всего, следует помнить, что ГИС предназначены для реализации полномочий государственных органов и обеспечения обмена информацией между ними.Чтобы избежать недоразумений в определении системы, необходимо всегда сверяться с требованиями ФСТЭК (регулятором аттестации объектов информатизации) и законодательством РФ.

Порядок аттестации объектов информатизации

Первый шаг —это правильная подготовка. Аттестуемые объекты должны обладать современными средствами защиты, чтобы соответствовать требованиям безопасности данных. Поскольку проверке подлежат информационные системы, а также рабочие станции, офисы и сети передачи данных, важно убедиться, что они находятся в хорошем состоянии. Это отдельный процесс, но он является ключевым для успешной аттестации.

Аттестация информационных объектов начинается с первоначальной оценки данных и категоризации информационного объекта. Затем разрабатываются методы испытаний, и информационные объекты исследуются экспертами. Затем, после проведения испытаний, результаты анализируются, делаются выводы и выдаются соответствующие сертификаты соответствия.

Аттестат является бессрочным, но при этом, объекту информатизации необходимо проходить оценку эффективности мер защиты каждые 3 года. Оценку защищенности может проводить только лицензиат ФСТЭК России.

Проведем аттестацию объектов информатизации с вами

"БД Безопасность" предлагает полный спектр услуг по проведению аттестаций любых объектов информатизации.

• Имеем лицензию ФСТЭК на проведение аттестационных работ.
• Проводим анализ исходной информации и объектов информатизации.
• Разрабатываем программы и методики аттестационных испытаний.
• Проводим аттестационные испытания в реальных условиях.
• Выдаем заключение по результатам испытаний и аттестат соответствия.
• Даем рекомендации по улучшению принятых мер по защите данных.

"БД Безопасность" поможет удостовериться в надлежащем состоянии вашего объекта информатизации и предоставить официальное подтверждение.

"БД Безопасность" — ведущий системный интегратор в области информационной безопасности с более чем 10-летним опытом в обеспечении безопасности информационных систем персональных данных различного уровня сложности.

Подключение к проектам на любом этапе

• Поможем с проектом от начала до конца или подключимся на любом этапе.

Интеграция в существующие системы защиты

• Обновим вашу систему защиты в соответствии с самыми свежими требованиями закона.

Аудит и доработка имеющихся систем ИСПДн

• Проведем тщательное обследование вашей системы и документов, после чего дадим экспертные рекомендации по улучшению защиты.

Лицензии ФСБ и ФСТЭК России

• Мы обладаем необходимыми лицензиями, подтверждающими нашу квалификацию в области защиты информации.

Участие в программе импортозамещения

• Мы являемся участниками государственной программы по импортозамещению и поставляем сертифицированное программное обеспечение и оборудование российского производства.

Экспертная поддержка

• Мы предоставляем экспертную поддержку по любым техническим вопросам, связанным с информационной безопасностью. Вы можете связаться с нами по телефону или электронной почте.