8-800-333-27-53
Заказать звонок
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Охрана труда
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • ИТ-инфраструктура и дата-центр
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWhatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
  • DOCSHELL – интеллектуальный сервис защиты информации
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Охрана труда
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • ИТ-инфраструктура и дата-центр
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWhatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    • DOCSHELL – интеллектуальный сервис защиты информации
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Охрана труда
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • ИТ-инфраструктура и дата-центр
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWhatch
            • Назад
            • InfoWhatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
        • DOCSHELL – интеллектуальный сервис защиты информации
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты

      Подготовка объекта информатизации к аттестации

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Подготовка объекта информатизации к аттестации
      7 сентября 2020
      // Все статьи

      Основной целью аттестации объекта информатизации является оценка соответствия принимаемых мер защиты, требованиям по защите информации государственных информационных систем, информационных систем персональных данных (для оценки соответствия требованиям нормативно-правовых актов), а также банковских систем (в связи с необходимостью получения лицензии ФСБ).


      Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия", а также его наличие является обязательным условием для получения ряда лицензий ФСТЭК России и ФСБ России.

      Объекты, подлежащие обязательной аттестации

      Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, содержащейся в государственных информационных системах, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

      Для информационных систем, не являющихся государственными, аттестация, как правило, носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация информационных систем, не являющихся государственными, может быть обязательной в случаях, предусмотренных нормативно-правовыми актами Российской Федерации, например, при подключении информационных систем к государственным информационным системам.

      Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации Это может обеспечить распространение аттестата соответствия на другие сегменты информационной системы при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

      Целью аттестации объекта информатизации является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

      • защита от НСД, в том числе компьютерных вирусов;
      • защита от утечки или воздействия на информацию за счет выявления и изъятия возможно внедренных закладочных устройств;
      • защита от утечки за счет ПЭМИН.
      Задачами проведения работ по аттестации является:
      • подготовка объекта информатизации к аттестационным испытаниям;
      • проведение аттестации объекта информации;
      • выдача аттестата соответствия объекта информации.
      В рамках работ по подготовке объекта информатизации к аттестации необходимо:
      • разработать комплект организационно-распорядительной документации (далее – ОРД), регламентирующей защиту конфиденциальной информации, и технический проект;
      • утвердить ОРД;
      • внедрить систему защиты информации (далее – СЗИ);
      • подать заявку на аттестацию (в случае, если Заказчик полностью уверен в выполнении предыдущих этапов, и от нас непосредственно требуется только аттестация).

      Требования к заказчику

      До начала проведения работ по аттестации Заказчиком проверяется соответствие принятых организационных и технических мер защиты информации нормативно-правовым актам Российской Федерации, а также достаточность принимаемых организационных мер, отражаемых в организационно-распорядительной документации. С составом организационно-распорядительной документации для защиты информационных систем персональных данных вы можете ознакомиться в нашем материале.

      Не всегда подготовленные Заказчиком документы могут быть разработаны в полном объеме, соответствовать требованиям по информационной безопасности, а также отражать реальный процесс защиты информации на объекте. Данные факторы в дальнейшем приводят к отказу в выдаче "Аттестата соответствия" с предложенным сроком повторной аттестации при условии устранения недостатков. Если же замечания непринципиального характера, "Аттестат соответствия" может быть выдан после проверки устранения этих замечаний.

      Следовательно, срок аттестации затянется надолго, что приведет к потере временных ресурсов и денежных средств. Поэтому Заказчик должен быть уверен в достаточности реализованных организационных мер защиты информации, отраженных в организационно-распорядительной документации, в соответствии с нормативно-правовыми актами Российской Федерации, перед подачей заявки на аттестацию, или же может обратиться к нам за предоставлением полного комплекта документации, включая технический проект.

      Этапы разработки технического проекта

      Технический проект разрабатывается в соответствии с законодательством, действующими нормативными документами Российской Федерации. Реализация СЗИ осуществляется в рамках отдельных договоров на работы после утверждения Заказчиком проектных решений СЗИ АС. На подготовительном этапе нами осуществляется сбор данных для проектирования путем заполнения Заказчиком опросных листов и очного посещения объектов. На этапе реализации СЗИ АС выполняется разработка эксплуатационной документации, а также настройка и внедрение проектных решений.

      На этапе аттестации объекта информатизации осуществляется подготовка аттестационных документов, в том числе:
      ‒ протокол исходных данных объекта информатизации;
      ‒ программа и методики аттестационных испытаний;
      ‒ протокол аттестационных испытаний;
      ‒ заключение аттестационных испытаний.
      ‒ аттестат соответствия (выдается в случае положительного заключения).

      Процедура аттестации объекта информатизации представлена на рисунке ниже.

      Процедура аттестации объекта информации

       
      Результат проведённых работ

      В результате проведенных работ Заказчик получает:
      ‒ отчет по результатам сбора исходных данных;
      ‒ результаты оценки достаточности организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации;
      ‒ модель угроз;
      ‒ техническое задание на создание системы защиты АС;
      ‒ технический проект;
      ‒ комплект организационно-распорядительных документов;
      ‒ комплект аттестационных документов;
      ‒ аттестат соответствия АС;
      ‒ технический паспорт АС.

      Внесение каких-либо изменений в аттестованную АС после получения "Аттестата соответствия" не допускается, поскольку это приведет к аннулированию действия аттестата.


      Наши специалисты обладают опытом в проведении аттестации государственных информационных систем, информационных систем персональных данных (для оценки соответствия требованиям нормативно-правовых актов), а также банковских систем (в связи с необходимостью получения лицензии ФСБ).
      Заказать услугу

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
      Категории
      • Все статьи54
      Это интересно
      • 10 фактов которыми гордимся и 1 из-за которого чуток огорчились
        22 декабря 2020
      • 187-ФЗ «О безопасности КИИ РФ» официальная позиция ФСТЭК к выполнению требований субъектами
        21 декабря 2020
      • Ключевые изменения Приказа ФСТЭК №239 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ)» внесенные приказом ФСТЭК №35
        16 сентября 2020
      • Судебные прецеденты между Операторами персональных данных и Роскомнадзором
        10 сентября 2020
      • Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных
        27 августа 2020
      • Материалы вебинара по реализации требований Центробанка к ИБ в некредитных финансовых организациях.
        2 июня 2020
      • Проведение анализа уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД) по требованиям ЦБ РФ
        22 апреля 2020
      • Проект обеспечения защиты информации. Что такое и кому он нужен.
        20 апреля 2020
      • Как задокументировать защиту персональных данных или состав организационно-распорядительных документов по защите ПДн.
        12 апреля 2020
      • Оператор персональных данных – что делать, когда придут. Руководство к действию.
        9 апреля 2020
      • Персональные штрафы за персональную информацию
        30 марта 2020
      • #СИДИМДОМА или рекомендации по ИБ-гигиене при удаленке или самоизоляции.
        20 марта 2020
      • Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
        19 марта 2020
      • Обзор изменений приказа ФСТЭК №17 утверждённых 28.05.2019
        6 ноября 2019
      • Категорирование объектов КИИ – есть ли жизнь после?
        31 октября 2019
      • Положение №684-П. План мероприятий по реализации требований Центробанка.
        8 октября 2019
      • Обзор положений Банка России №683-П и №684-П
        27 сентября 2019
      • Безопасность КИИ: как определить, что делать и что если не делать
        18 сентября 2019
      • Категория значимости объекта КИИ. С 3 до 1 своими руками.
        19 августа 2019
      • Категорирование объектов КИИ в здравоохранении за 95 000 рублей
        18 августа 2019
      Облако тегов
      684-П pentest ГИС кии ПДн Положение № 684-П Положение №683-П/684-П
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Охрана труда
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 9:00 до 18:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2021 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.