Аттестация ГИС! Кому? Как? Почему?

*Если что, этот котик не АттИстует, а вот Астрал. Безопасность аттестует!

Пишите нам: Вконтакте | Телеграм | Сайт

Государственные информационные системы играют важнейшую роль в процессах реализации полномочий органами исполнительной власти. По мере того как эти системы становятся все более сложными и взаимосвязанными, обеспечение их безопасности приобретает первостепенное значение. Именно здесь на первый план выходит аттестация государственных информационных систем. В процессе создания, развития и эксплуатации ГИС должны выполняться требования о защите информации, установленные законодательством РФ.

Аттестация ГИС — это процесс, в ходе которого проверяется соответствие той или иной государственной информационной системы необходимым требованиям безопасности, установленным законодательством и нормативными актами.

Аттестация помогает предотвратить несанкционированный доступ, утечку данных и другие киберугрозы, которые могут поставить под угрозу конфиденциальность, целостность и доступность важной правительственной информации. За первые три квартала 2023 года госсектор вновь возглавляет рейтинг по количеству инцидентов — 15% от всех реализованных успешных атак на различные отрасли. В таких условиях, аттестация и регулярная оценка эффективности защиты становятся необходимы.

В следующих разделах мы углубимся в специфику процесса аттестации, рассмотрим основные этапы, преимущества аттестации для государственных организаций и роль аттестации в защите государственной информации.

Цели и задачи аттестации ГИС

Цели аттестации можно разделить на несколько ключевых областей:

1. Подтвердить, что принятые технические, организационные и кадровые меры безопасности достаточны для предотвращения кибератак и утечек данных. Это включает в себя оценку надежности средств контроля доступа, протоколов шифрования и других технологий безопасности, а также оценку эффективности политик, процедур и программ обучения.
2. Обеспечить соблюдение законодательных и нормативных актов. В России существует обширная нормативно-правовая база, регулирующая безопасность ГИС, и аттестация играет важную роль в проверке соответствия этих систем требованиям, изложенным в этих законах и постановлениях.
3. Повысить прозрачность и подотчетность в управлении государственными информационными системами.

Проходя регулярную аттестацию, организации показывают, что они принимают необходимые меры для защиты данных.

За аттестацию отвечают:

• Федеральная служба по техническому и экспортному контролю (ФСТЭК) РФ – орган исполнительной власти, который координирует и регулирует деятельность по обеспечению защиты информации в стране.
• Орган по аттестации (Аттестатор) – компания с лицензией ФСТЭК России на данную деятельность. Аттестатор отвечает за проведение фактической оценки системы, а также за подготовку подробного отчета о своих выводах и рекомендациях.
• Заявитель – заказчик работ по аттестации.

Этапы и методологии аттестации

Аттестации предшествует ряд предварительных работ, которые включают в себя:

• Определение класса ГИС — определяется в зависимости от уровня значимости информации, обрабатываемой в этой информационной системе, и масштаба ИС.
• Разработка модели нарушителя и модели угроз — проводится на основе методических документов ФСТЭК и ФСБ России по защите информации. Задача этого этапа — определить защищаемые объекты, основные угрозы безопасности, величины информационных рисков и сформировать предположения о возможностях проведения атак на ГИС.
• Разработка организационно-распорядительных документов (ОРД) — набор документов, регламентирующих процессы системы защиты информации на всех этапах ее существования.
• Разработка техзадания на систему защиты информации — определяет структуру системы защиты, ее параметры, алгоритм функционирования, порядок эксплуатации и обслуживания, требования к надежности, составу документации.
• Внедрение средств защиты информации — согласно нормативным актам, к внедрению допускаются только средства защиты с лицензией ФСТЭК России.

Затем приходит черед аттестации. Ее основой является документ программы и методик аттестационных испытаний, где описываются задачи, основные средства и способы проведения этой процедуры. Стоит отметить, что проводить аттестацию можно только при наличии лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. Поэтому для этой услуги привлекаются сторонние лицензированные компании — системные интеграторы, которые не только специализируются на работе с различными информационными системами, но и на их защите и непосредственно оценке мер обеспечения безопасности ИС.

Во время аттестации специалисты проверяют наличие комплекта документов, который должен подтверждать полноту и корректность реализации предъявляемых требований. Если расхождения не выявлены или устранены, аттестационная комиссия проверяет, соответствуют ли документы реальным условиям эксплуатации ГИС. Такой подход является более эффективным и менее затратным, ведь проще сначала выявить и устранить расхождения в документации и только потом проверять соответствие реальным условиям.

После данных проверок проводятся испытания внедренной системы защиты ГИС и на их основании выдается аттестат. Аттестат соответствия выдается на весь срок эксплуатации ГИС. Аттестация проводится повторно из-за тех или иных изменений в системе защиты ИС.

Результаты и практическая реализация

В большинстве случаев, аттестация завершается успешно, и компания получает документ, подтверждающий соответствие требованиям по защите информации. Но иногда возникают проблемы. Например, компания может быть плохо подготовлена к аттестации или столкнуться с препятствиями со стороны аттестующей организации.

Как избежать неприятных ситуаций:

• Следите за сроками. Важно контролировать время и следить за выполнением задач по защите информации. Ведите журнал проведения мероприятий по защите информации. Составьте план таких мероприятий. Проверяйте выполнение хотя бы раз в месяц.
• Общайтесь с другими компаниями, чтобы получить рекомендации по выбору аттестаторов и другим вопросам.
• Уделите внимание бюджету. В условиях ограниченного бюджета, то порой приходится прибегать к услугам недостаточно компетентных или малознакомых специалистов. Если выделить достаточно средств, будет больше возможностей выбрать подходящую организацию для аттестации. Также можно отправить запросы нескольким подрядчикам и сравнить ценны на рынке
• Нанимайте компетентных сотрудников по информационной безопасности, чтобы быстрее разобраться в ситуации и найти решение.
• Изучите потенциального аттестатора. Проверьте наличие официальных веб-сайтов, реальных отзывов, а также лицензий и квалификации специалистов в их штате.
• Готовьтесь к аттестации заранее. Качественная подготовка может избежать многих проблем уже на этапе выбора организации для аттестации.

Законодательные требования и нормативы

Законодательство РФ в области информационной безопасности — база для проведения аттестации государственных систем. Помимо таких основополагающих законов как 149-ФЗ и 152-ФЗ, требования к аттестации отражены в следующих нормативных документах:

• Приказ ФСТЭК России № 17 от 11.02.2013 г. Утверждает требования к защите информации в ГИС и обязывает всех операторов ГИС проходить аттестацию;
• Постановление Правительства РФ № 676 от 06.07.2015. Запрещает эксплуатацию ГИС без действующего аттестата соответствия.
• Приказ ФСТЭК России № 77 от 29 апреля 2021 г. Обозначает порядок организации и проведения работ по аттестации ГИС.

К разным ГИС предъявляются разные требования, несоблюдение которых ведет к санкциям — от штрафа до более серьезных мер.

Заключение

Без аттестации взаимодействие с ГИС не только находится под угрозой, но и попросту невозможно. Большой перечень необходимых предварительных работ и законодательных условий часто могут привести в ступор, особенно тех, кто не обладает большим опытом в области информационной безопасности. Однако при помощи системных интеграторов эффективная аттестация ГИС становится возможной.