Найти тему
Астрал.Безопасность
13 подписчиков

Аттестация информационных систем в России

4
7 мин
*Если что, не котики аттестуют информационные системы, а Астрал. Безопасность ;)
*Если что, не котики аттестуют информационные системы, а Астрал. Безопасность ;)

Пишите нам: Вконтакте | Телеграм | Сайт

Эпоха цифровой трансформации открывает перед российскими компаниями и госучреждениями новые возможности для повышения эффективности, внедрения инноваций и анализа данных. Однако расширение возможностей информационных систем также увеличивает число уязвимостей, которыми охотно пользуются киберпреступники.

Только в первом квартале 2023 года число кибератак выросло до 290 тыс. Все более разрушительные атаки стали отрезвляющим уроком того, насколько российские организации подвержены разрушительным утечкам данных, сбоям в работе инфраструктуры или мошенничеству, вызванному пробелами в системе безопасности. Тем не менее многие из них по-прежнему полагаются на устаревшие системы защиты или не имеют возможности постоянно отслеживать риски.

Именно поэтому аттестация информационных систем приобретает решающее значение для обеспечения безопасности. Процедуры аттестации информационных систем анализируют структуру и конфигурацию ключевых сетей, приложений и компонентов, поддерживающих миссию организации.

Цель — подтвердить полное соответствие информационной системы правилам и стандартам в сфере ИБ.

Упреждая уязвимости, организации могут систематически устранять недостатки и проблемы стабильности до того, как злоумышленники или аварии приведут к сбоям в работе. Особенно для владельцев критически важной инфраструктуры проверка надежности информационных систем путем аттестации направлена на повышение устойчивости и общественной безопасности в эпоху неопределенности.

В последующих разделах мы рассмотрим конкретные подходы и требования к аттестации. Однако уже сейчас ясно, что надежная аттестация имеет решающее значение для национальной безопасности, поскольку цифровые системы становятся все более взаимосвязанными в государственном и частном секторах.

Цели и задачи аттестации

Основная цель аттестации информационных систем — независимое подтверждение адекватности средств контроля безопасности систем и данных, а также обеспечение надежной и бесперебойной работы.

Проводя проверку сетей, приложений, серверов и ИТ-инфраструктуры на соответствие ИБ-стандартам, таким как ГОСТ, аттестация выявляет слабые места, которые могут привести к кибератакам.

Среди конкретных уязвимостей можно выделить:

  • Устаревшее и небезопасное программное обеспечение
  • Отсутствие достаточной системы регистрации/мониторинга для выявления аномалий
  • Несанкционированные точки беспроводного доступа, позволяющие проникнуть в сеть
  • Неадекватные механизмы шифрования конфиденциальных данных

Аттестация также проверяет такие факторы как защиту от сбоев и аварийное восстановление, которые способные обеспечить непрерывность основных функций в случае потери питания, отказа оборудования или других сбоев. Стресс-тестирование помогает оценить устойчивость системы к внешним воздействиям.

Для регулируемых отраслей, таких как финансы и энергетика, подтверждение соответствия отраслевым правилам информационной безопасности также имеет решающее значение. Нарушения могут привести к потере статуса доверенного лица, необходимого для получения контрактов и ведения деятельности. Сюда относятся такие стандарты, как требования к защищенному криптографическому хранению данных, сертифицированные российскими службами безопасности.

В конечном итоге аттестация информационных систем обеспечивает постоянную уверенность в соблюдении стандартов и законов при защите информации.

Методологии и стандарты аттестации

Несколько систем и стандартов определяют строгие методы аттестации для оценки безопасности и надежности критически важных информационных систем. Среди основных международных примеров — ISO 27001, NIST и FISMA, хотя требования в России также основываются на таких стандартах, как ГОСТ.

В первую очередь, необходимо наличие актуальных средств защиты для соответствия требованиям безопасности. Это включает в себя не только информационных систем, но и рабочих мест, помещений и сетей передачи данных. Этот этап будет ключевым для обеспечения успешной аттестации.

Сам процесс аттестации делиться на несколько этапов:

  • Оценка исходных данных и классификация информационной системы.
  • Разработка методов испытаний
  • Экспертное обследование информационной системы
  • Проведение испытаний производится анализ результатов.

На основе этих результатов выдается заключение и выдается аттестат соответствия.

Хотя аттестат является бессрочным, объект информатизации должен регулярно проходить оценку эффективности мер защиты каждые 3 года.

Анализ текущего уровня защиты данных — сложная и трудоемкая процедура, требующая квалифицированных исполнителей со всеми необходимыми лицензиями.

Преимущества аттестации

Аттестация информационных систем дает российским организациям значительные преимущества, в том числе:

  • Снижение киберрисков: подтверждая соответствие средств контроля безопасности современным стандартам, аттестация уменьшает уязвимости, которые приводят к взломам, мошенничеству и сбоям в работе из-за кибератак. Заблаговременное обнаружение пробелов позволяет избежать больших затрат на реагирование на инциденты.
  • Повышение надежности: Документальное подтверждение стабильности инфраструктуры, механизмов резервирования и систем аварийного восстановления приводит к минимизации времени простоя.
  • Соответствие требованиям законодательства и нормативных актов: Аттестация по соответствующим государственным/отраслевым стандартам подтверждает наличие соответствующих политик и мер защиты во избежание штрафов или потери лицензий.
  • Конкурентоспособность: Прохождение аттестации повышает доверие клиентов и партнеров к цифровым возможностям организации и управлению данными.
  • Постоянное совершенствование: Регулярная аттестация позволяет отслеживать зрелость системы контроля и развивающиеся риски, чтобы определить приоритетность планов по их снижению, используя стандарты в качестве ориентиров.

Такие организации, как Россети и РЖД полагаются на периодические аттестации для обеспечения соответствия нормативным требованиям, прозрачности и постепенного усиления защиты.

По мере усиления угроз и ускорения темпов цифровизации все больше российских организаций осознают преимущества аттестации для обеспечения безопасности и устойчивости, а также для инноваций. Стандарты и регулярные испытания обеспечивают гарантии, необходимые для масштабного прогресса.

Законодательные требования

В России некоторые отрасли сталкиваются с обязательными государственными требованиями по аттестации и сертификации информационных систем в связи с критическим характером их цифровой инфраструктуры.

Согласно статьям 18.1 и 19 Федерального закона 152-ФЗ «О персональных данных», от оператора требуется подготовить и интегрировать средства защиты информации, а также пройти аттестационные испытания. Проверка выполняется согласно нормативам ГОСТов, методологической документации ФСТЭК и ФСБ с помощью особого контрольного оборудования, сертифицированных средств измерения и отслеживания эффективности СЗПДн.

Аттестация информационных систем регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:

  1. Приказы ФСТЭК РФ № 21 и 17.
  2. Приказ Федеральной службы безопасности № 378.
  3. Постановление Правительства России № 1119.

В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой из подсистем ИСПДн.

Например, закон 252-ФЗ "Об информации, информационных технологиях и о защите информации" обязывает операторов КИИ проводить ежегодную аттестацию своих систем. Это касается таких отраслей, как финансы, топливно-энергетический комплекс, транспорт, здравоохранение и другие. Тщательное тестирование должно подтвердить защиту от кибератак, чтобы обеспечить непрерывность работы основных служб.

По сути, юридические обязательства означают, что квалифицированные организации не могут эксплуатировать критически важные ИТ-системы с конфиденциальными данными граждан или государства без активной сертификации мер безопасности, доступности и контроля в рамках циклов стандартизированных проверок. Соответствие требованиям позволяет поддерживать необходимые регистрации данных и инфраструктуры. приказе ФСТЭК РФ № 77. В нем описан порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Встраивая сертификацию в систему надзора, российские власти способствуют повышению ответственности и зрелости цифровых сервисов, лежащих в основе повседневной жизни.

Заключение

Каждая организация все больше зависит от надежности работы информационных систем и устойчивости инфраструктуры. Однако растущая изощренность киберугроз означает, что уязвимости неизбежны без бдительного управления безопасностью.

Аттестация информационных систем обеспечивает уверенность в том, что критически важные сети, хранилища данных и приложения выдерживают атаки и технические сбои. Тестирование средств защиты и мер резервирования позволяет заблаговременно выявить пробелы в технологиях, политиках и процессах, которые необходимо устранить до того, как произойдет инцидент.

В конечном итоге периодические проверки с помощью аттестации обеспечивают надзор, необходимый для сложной и постоянно меняющейся цифровой среды России.

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Умные колонки
Отраслевые технологии
Умные весы
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Нейросети и ИИ
Машинное обучение (ML)
Блокчейн-технологии (blockchain)
Гаджеты и электроника
5,73 млн интересуются