Добавить компанию
Получить консультацию рейтинг
  1. ТРТС24
  2. Статьи
  3. Оформление документов
  4. Аттестация ГИС
Аттестация ГИС фото
Проголосовано: 0
Прочитали: 17

Аттестация ГИС

Проводим аттестацию государственной информационной системы (ГИС): подготовим документы, проверим рабочие места и оформим аттестат соответствия ФСТЭК.

Аттестация государственных информационных систем (ГИС) — это процедура подтверждения того, что инфосистема соответствует установленным требованиям по защите информации.

В рамках такой комплексной оценки как аттестация ГИС проверяют:

  • как организуется защитный механизм;
  • какие технические средства используются;
  • соблюдаются ли законодательные нормы;
  • защищены ли данные от несанкционированного доступа, утечек.

Основная цель проверки — подтвердить, что инфосистема безопасна для работы с данными, включая сведения ограниченного доступа, гостайну (если применимо).

Аттестация бывает добровольной / обязательной процедурой. Статус аттестационного заключения определяется объектом, на котором выстраивается и оценивается процесс информатизации.

Требования ФСТЭК к аттестации ГИС

Порядок оценки регламентируется уполномоченным ведомством - Федеральной службой по техническому и экспортному контролю (ФСТЭК). Ключевым нормативным документом долгое время оставался Приказ №17, который устанавливает порядок защиты информации в ГИС. С марта 2026 года начал действовать обновленный Приказ №117, уточняющий требования к безопасности и организации защиты данных. При этом ранее выданные аттестаты, подтверждающие соответствие базы данных установленному уровню защищенности, продолжают действовать.

Технические требования

Важно, чтобы каждая инфосистема проектировалась и внедрялась с учетом рисков, угроз, категории обрабатываемых сведений. К технической части предъявляются определенные условия:

  • использование сертифицированных средств защиты информации (СЗИ);
  • применение криптографических механизмов для шифровки данных;
  • контроль доступа по принципу минимальных привилегий;
  • защита каналов передачи информации;
  • регистрация, анализ событий безопасности.

Все применяемые технические решения должны подтверждать свою эффективность в рамках аттестационных испытаний, быть корректно настроены, интегрированы в ГИС.

Организационные требования

  • Разработка, внедрение политики инфобезопасности.
  • Назначение ответственных за защиту информации.
  • Обучение сотрудников правилам работы с данными.
  • Регулярное проведение проверок, внутренних аудитов.
  • Ведение соответствующей документации.

Организационные меры фиксируются в распорядительных документах, проверяются в ходе аттестации наравне с техническими решениями.

Общие условия проведения аттестации

Аттестация ГИС проводится до начала обработки защищаемой информации. Система проверяется еще до ввода в эксплуатацию.

Допускается проведение испытаний отдельных сегментов, если они реализуют полный цикл обработки данных. В этом случае результаты распространяются на аналогичные участки ГИС при условии их идентичности.

Если система функционирует как элемент прикладного сервиса общей инфраструктуры (серверы, сети, вычислительные мощности), то оценивается сразу весь единый объект информатизации.

Требования ФСТЭК направлены не только на формальное соответствие, но и на реальное обеспечение безопасности, поэтому при подготовке к аттестационной процедуре важно учитывать все аспекты защиты информации.

Аттестация рабочих мест в составе ГИС

Это проверка того, насколько конкретное место трудовой деятельности соответствует требованиям инфобезопасности. Под рабочим местом понимается совокупность технических, программных средств, с помощью которых осуществляется обработка данных в системе.

Данная процедура применяется в отношении федеральных, региональных ГИС, которые используются для реализации функций госорганов, обеспечивают инфообмен между ними.

Аттестация проводится в обязательном / добровольном порядке. Первый вариант распространяется на государственные и муниципальные базы, например, федеральный реестр документов об образовании - ФИС ФРДО, пр. Добровольная форма применяется для негосударственных объектов критической информационной инфраструктуры России, в коммерческих организациях — при использовании инфосистем обработки персональных данных (ИСПДн) и автоматизированных систем управления технологическими процессами (АСУ ТП) на ОПО (опасных производственных объектах).

В процессе оценки анализируется не только оборудование, но и вся среда обработки данных:

  • состав, состояние вычислительной техники;
  • используемое ПО;
  • корректность настройки средств инфозащиты;
  • наличие антивирусной защиты, механизмов контроля доступа;
  • соблюдение требований хранения, обработке информации.

Также проверяется, могут ли пользователи получить доступ к информации сверх своих полномочий.

Процедура проводится поэтапно:

  • подготовка: определение перечня рабочих мест, формирование ТЗ (технического задания);
  • обследование: инвентаризация оборудования, анализ текущего состояния;
  • испытания: проверка защитных механизмов, выявление уязвимостей;
  • оформление результатов: подготовка протоколов, заключений;
  • регистрация: фиксация результатов в установленном порядке;
  • устранение несоответствий: внедрение корректирующих мер;
  • последующий контроль: мониторинг состояния защищенности.

При большом количестве рабочих мест допускается поэтапная аттестация. В первую очередь проверяются те участки, где риск нарушения безопасности наиболее высок.

Порядок проведения аттестации ГИС

Аттестационный процесс по требованиям ФСТЭК включает несколько ключевых стадий:

  1. Сбор, анализ исходных данных. Изучается документация на объект информатизации, оценивается корректность ее оформления, соответствие фактическим условиям использования.
  2. Обследование системы. Проводится оценка текущего состояния ГИС - как реализованы меры защиты, выявляют потенциальные уязвимости.
  3. Разработка программы, методики испытаний. Определяют порядок проведения экспертизы, перечень проверок, критерии оценки безопасности.
  4. Проведение аттестационных испытаний. Выполняется тестирование системы. Проверяется устойчивость к угрозам, корректность работы средств защиты, в т.ч. от несанкционированного доступа, иных воздействий.
  5. Оформление результатов оценки. Составляются протоколы, в которых фиксируются выявленные несоответствия, уровень защищенности системы. На основании этих данных формируется итоговое заключение.
  6. Принятие решения о соответствии. По итогам анализа принимается решение о возможности выдачи аттестата.

После его получения владелец системы вправе начать эксплуатацию, однако на этом работа не заканчивается. В процессе функционирования ГИС необходимо регулярно проводить контроль состояния инфозащиты:

  • для систем 1 класса защищенности — не реже одного раза в год;
  • для 2, 3 классов — не реже одного раза в два года.

Также повторная аттестация может потребоваться при модернизации системы, изменении структуры / повышении уровня защищенности.

Документы для аттестации ГИС

Материалы предоставляются актуальные, взаимосвязанные, соответствующие фактической конфигурации ГИС. Недопустимы расхождения между описанной и реальной структурой системы, формальный подход к разработке документации.

В состав аттестационного пакета входят:

  1. Модель угроз безопасности информации. Описывает возможные источники опасности, атак, уязвимости системы.
  2. Акт классификации ГИС. Определяет уровень ее защищенности в зависимости от категории обрабатываемых данных.
  3. Техническое задание (ТЗ). Содержит требования к созданию защиты инфосистемы.
  4. Проектная и эксплуатационная документация. Описывает конфигурацию базы, используемые технические средства, порядок эксплуатации.
  5. Организационно-распорядительные документы. Регламентируют процессы защиты информации, права доступа, ответственность сотрудников.
  6. Результаты анализа уязвимостей. Подтверждают проведение работ по выявлению слабых мест ГИС.
  7. Отчеты об испытаниях средств защиты. Фиксируют результаты проверки эффективности применяемых защитных механизмов.

Весь комплект документов используется не только для аттестации, но и при последующих проверках. Поэтому он должен поддерживаться в актуальном состоянии на протяжении всего периода эксплуатации ГИС.

Результаты проверки и оформление аттестата

По итогам процедуры формируется заключение о соответствии ГИС установленным требованиям безопасности. Если исход положительный, оформляется аттестат.

Результаты оценки фиксируются в ряде документов, среди которых:

  • протоколы аттестационных испытаний;
  • экспертное заключение о состоянии защищенности;
  • итоговый отчет по объекту информатизации;
  • решение о соответствии / несоответствии требованиям.

В этих документах отражаются выявленные уязвимости, оценка рисков, сведения о реализованных защитных механизмах.

Аттестат соответствия выдается на весь период эксплуатации ГИС при условии, что ее характеристики и конфигурация не меняются. При внесении изменений, модернизации / изменении требований безопасности может потребоваться повторная аттестация.

Получение аттестата — это вся работа. В процессе эксплуатации необходимо поддерживать достигнутый уровень безопасности:

  • регулярно контролировать состояние инфозащиты;
  • проводить проверки, мониторинг уязвимостей;
  • обновлять средства защиты, документацию.

Периодичность контрольных мероприятий зависит от класса защищенности системы, устанавливается нормативными требованиями.

Для реализации аттестации предприниматели могут привлечь сотрудников нашего центра, которые сопровождают процесс «под ключ».

Дополнительно оказываем услуги:

  • по внедрению систем менеджмента (ISO 9001, 14001, 45001, пр.);
  • оформлению разрешительной документации на оборудование;
  • получению лицензии ФСТЭК России;
  • аудиту, доработке системы информационной защиты, т.д.

Комплексный подход позволяет сократить сроки проведения работ, снизить риски отказа в аттестации. Обращайтесь!

(0) Нравится!
Прочитали: 17

Новости

Читать все

Новые статьи

Читать все
Преимущества компании
Не пытаемся продать лишнее. Оформляем только те документы, которые запрашивает Роспотребнадзор
Все документы разрабатываются на бланках гос.образца по требованиям Таможенного союза и РФ
Документы регистрируются в реестре ФСА
Забота о клиентах. Осуществляем клиентскую поддержку после оформления документов
Предоставляем персональные консультации с экспертом
Запрос
Вы оставляете запрос на сайте
Консультация
Мы бесплатно консультируем
Выполнение
Вы предоставляете необходимые документы
Результат
Мы помогаем решить Вашу проблему

Комментарии

Оставьте Ваш комментарий

Введите только цифры. Пример: 8 800 000 00 00

Получите бесплатную консультацию эксперта

Тутасова Елена
Тутасова Елена

Ведущий специалист

Написано 8 статей

г. Новосибирск

Компания: Гортест Сибирь

Телефон: +7 (383) 235-90-30

Отзывы о нас

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

Новости

Читать все

Новые статьи

Читать все