Найти в Дзене
ООО «Рубикон». Комплексные ИБ-решения
379 подписчиков

Кейс «Аттестация объектов информатизации МКУ МФЦ г. Ростова-на-Дону

1
3 мин
Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ. Почему потребовалась аттестация? Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых. Цель и задачи проведения аттестации Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты и
Оглавление

Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ.

Почему потребовалась аттестация?

Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых.

Цель и задачи проведения аттестации

Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты информации. Аттестация выбрана как способ оценки эффективности принимаемых мер, по обеспечению безопасности персональных данных в соответствии с 21 приказом ФСТЭК.

Были установлены следующие задачи:

- оценка эффективности средств защиты информации, применяемых в инфраструктуре учреждения;

- разработка проектов организационно-распорядительной документации;

- аттестация ИСПДн по требованиям безопасности информации;

- поставка программного обеспечения для автоматизации формирования и актуализации внутренней документации

- выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации.

Система управления событиями информационной безопасности (СУС ИБ)

Работа с СУС ИБ – основная работа в кейсе. Напомним для чего предназначена СУС ИБ – для обнаружения, анализа и устранения угроз безопасности раньше, чем они нанесут ущерб предприятию/организации.

Так как в МФЦ идет плотная работа с персональными данными, то защита от их утечки, защита от угроз является первоочередной.

Общие задачи, которые решает СУС ИБ:

- сбор, обработка, отображение и долгосрочное хранение информации о событиях и подозрениях на инциденты информационной безопасности, выявляемых в инфраструктуре заказчика;

- предоставление инструментов для анализа событий и расследования инцидентов информационной безопасности, в том числе, масштабных инцидентов ИБ, затрагивающие несколько территориальных подразделений;

- предоставление исходной информации для определения влияния события или подозрения на инцидент ИБ на ИТ-сервисы.

СУС ИБ строится как единая система с иерархической функциональной структурой и централизованным пунктом управления и являться составной частью информационно-телекоммуникационной системы заказчика.

Также СУС ИБ обеспечивает сохранность данных при возникновении аварийной ситуации с программно-техническими комплексами СУС ИБ путем резервного копирования и восстановления данных и программного обеспечения. Для этого информационные ресурсы СУС ИБ включаются в контур существующих систем резервного копирования.

СУС ИБ включает в себя 7 подсистем:

- подсистема сбора и обработки событий ИБ;

- подсистема хранения событий ИБ;

- подсистема корреляции событий ИБ;

- подсистема поиска событий и подозрений на инциденты ИБ;

- подсистема регистрации инцидентов ИБ;

- подсистема информационной безопасности;

- подсистема управления.

Этапы реализации проекта

Было определено 4 этапа работ.

1. Информационно-техническое обследование ИСПДн и разработка частной модели угроз безопасности.

2. Передача прав на программное обеспечение (в том числе на продление лицензий) СУС ИБ.

3. Внедрение СУС ИБ.

4. Доработка организационно-распорядительной документации, доработка средств защиты информации всех уровней.

5. Аттестационные испытания и разработка аттестационной документации.

Заключение

По выполнении работ система защиты информации на объектах заказчика приведена в соответствие с законодательством и регулирующими работу с данными приказами ФСТЭК, ФСБ. Весь пакет аттестационной документации, а так же аттестатов соответствия передан заказчику.

Проведена необходимая разъяснительная работа с ответственными сотрудниками.

Если у вас горят сроки получения аттестата или планируете проводить аттестацию объектов информатизации – свяжитесь с нами. ООО «Рубикон» имеет достаточный опыт работы в этом направлении, а так же является лицензиатом ФСТЭК на проведение работ такого вида.

Источник: https://rcngroup.ru/blog/kejs-attestacija-obektov-informatizacii-mku-mfc-g-rostova-na-donu/

Экономика
10,02 млн интересуются