Что такое аттестация объектов информатизации по требованиям безопасности информации и зачем она нужна?

Аттестация проводится с целью подтверждения соответствия информационной системы требованиям безопасности, установленным законодательством. Она включает в себя оценку соответствия информационной системы установленным требованиям, а также выявление уязвимостей и предложение мер по их устранению.

Предпосылки для проведения аттестации объектов информатизации по требованиям безопасности информации включают в себя необходимость защиты конфиденциальной информации, а также обеспечение целостности и доступности данных. Это особенно актуально для государственных и коммерческих организаций, обрабатывающих и хранящих чувствительную информацию.

Целью аттестации является установление уровня безопасности информационной системы и технологий, а также выявление уязвимостей и предложение мер по их устранению. Для достижения этой цели проводятся специальные испытания, анализ системы защиты, инспекции и аудиты.

Задачи аттестации объектов информатизации включают в себя оценку соответствия информационной системы требованиям законодательства в области информационной безопасности. Среди основных нормативных актов Российской Федерации, предъявляющих требования к аттестации, являются:

Помимо указанных нормативных документов есть также документы, допуск к которым и использование которых при аттестации осуществляется только по строго определенной форме секретности. Ранее таким документом, до ввода СТР-К, был СТР 97, после отмены СТР 97 и ввода в эксплуатацию СТР-К, для аттестации объектов информатизации необходимо соответствие Требованиям по технической защите информации, содержащей сведения, составляющие государственную тайну, утвержденным приказом ФСТЭК России от 20 октября 2016 г. № 025

Существует два вида аттестаций – добровольная и обязательная. Добровольная проводится по инициативе владельца объекта информатизации и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка. Обязательная же проводится для объекта информатизации в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат объекты информатизации, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные информационные системы и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.

Разделяя между собой объекты информатизации, можно выделить следующие:

  1. Автоматизированные системы.
  2. Помещения, которые в свою очередь подразделяются на:

Способы проведения аттестации могут включать в себя использование специализированных методик и методов, а также проведение специальных тестов и проверок системы безопасности. Также при аттестации используется специальное контрольно-измерительное оборудование, например – осциллограф.

В Российской Федерации требования по безопасности информации содержатся в ряде законодательных актов, включая ФЗ №149 «Об информации, информационных технологиях и о защите информации» и соответствующие нормативные документы, устанавливающие требования к защите информации в различных сферах деятельности.

Процесс аттестации включает в себя ряд этапов. Во-первых, необходимо провести анализ угроз безопасности информации и оценить возможные риски. Затем устанавливаются необходимые меры по защите информации от этих угроз. После этого производится подбор подходящих средств защиты информации и их внедрение. После внедрения предпринимается контроль за эффективностью применяемых мер безопасности, и наконец, проводится процедура аттестации.

Как часто случается в практике аттестации, вместе с указанными выше этапами, у Заказчика услуг должен быть стандартный пакет документов, называемых организационно-распорядительной документацией. В зависимости от аттестуемого объекта комплект документов всегда разный, для помещений – один, для ИС – уже совсем другой. Данные документы по своему содержанию должны отражать, например, используемые средства защиты информации, четко определенный перечень лиц, допущенных до обработки информации, различные журналы учета, инструкции ответственных работников и акты классификации автоматизированных систем.

Таким образом, аттестация объектов информатизации по требованиям безопасности информации является важной процедурой для обеспечения безопасности информационных систем и данных, и ее проведение в соответствии с законодательством Российской Федерации имеет большое значение для обеспечения информационной безопасности. Аттестация играет важную роль в обеспечении защиты информации от различных угроз. Важно соблюдать требования законодательства России и использовать разработанные практики в области информационной безопасности для того, чтобы обеспечить достаточную защиту информационных систем и данных от несанкционированного доступа, вмешательства, утечек или уничтожения.

Только полезные выпуски

    Поле "E-mail" не заполнено

    Служба поддержки

    24/7/365