Все сайты
Digital Design МСК +7 (499) 788-74-94 СПб +7 (812) 346-58-33 Заказать звонок

Аттестация информационных систем

Проведем независимую оценку уровня защищенности информационных систем вашей компании в соответствии с Приказом ФСТЭК России № 77 от 29 апреля 2021 г.

Заказать услугу
Аттестация информационных систем

Для чего проводить аттестацию ИС

В условиях постоянных киберугроз и растущей активности злоумышленников важно иметь уверенность в том, что информационные системы компании соответствуют стандартам безопасности и способны предотвратить утечки данных и атаки.

Аттестация информационных систем (ИС) является одной из ключевых составляющих процесса обеспечения информационной безопасности как государственных, так и частных организаций.

Целью проведения аттестации является подтверждение эффективности применяемых мер защиты и соответствие информационных систем требованиям законодательства по защите информации, а также внутренними стандартами безопасности компании. Это позволяет выявить уязвимости работы системы, минимизировать риски и защитить корпоративные данные.

Особенности аттестации

Обязательной аттестации подлежат системы:

Государственные информационные системы

Информационные системы управления экологически опасными объектами

Информационные системы предназначенные для обработки информации, составляющей государственную тайну

Во всех остальных случаях аттестация носит добровольный характер.

Центр информационной безопасности Digital Design предлагает полный комплекс услуг подготовки и проведения аттестации информационных систем в соответствии с требованиями ФСТЭК России для:

  • государственных информационных систем (ГИС);
  • информационных систем персональных данных (ИСПДн);
  • систем критической информационной инфраструктуры (КИИ);
  • автоматизированных систем управления технологическими процессами (АСУ ТП);
  • информационных систем общего пользования (ИСОП);
  • автоматизированных систем, обрабатывающих конфиденциальную информацию.

Порядок проведения
аттестации информационных систем

Аттестация информационных систем включает несколько ключевых этапов, каждый из которых имеет свои задачи и процессы. Каждая организация должна учитывать уникальные особенности своей деятельности и выбирать наиболее подходящую методику для проведения аттестации.

Первым этапом является сбор информации о системе. Это включает в себя определение архитектуры, расположения и типов данных, которые обрабатывает система. Кроме того, на этом этапе необходимо получить информацию о программном и аппаратном обеспечении, а также о процессах, связанных с управлением информацией.

На втором этапе происходит анализ пакета документов на информационную систему. Пакет включает модель угроз, технический паспорт информационной (автоматизированной) системы, проектную, эксплуатационную документацию системы защиты.

На третьем этапе разрабатывается документ «Программа и методики аттестационных испытаний». Данный документ становится основой для всего дальнейшего процесса проведения аттестационных испытаний.

На четвёртом этапе происходит анализ существующих мер безопасности. Это позволяет определить, насколько эффективно действуют текущие защитные механизмы. На этом этапе также важно провести сравнительный анализ с актуальными стандартами и нормами.

Оформляются протокол и заключение по результатам проведения испытаний.
Выдается аттестат соответствия (в случае положительного заключения).

Законодательные нормы

Основным нормативным документом, регулирующим методику и требования к аттестации информационных систем, является Приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Также, при аттестации проверяется соответствие информационных систем требованиям нормативным документам:

  • Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
  • Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
  • Приказ ФСТЭК России от 31 августа 2010 г. № 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
  • Руководящий документ от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
  • Нормативно-методический документ от 30 августа 2002 г. «Специальные требования и рекомендации по технической защите конфиденциальной информации».

Документы включают детальные указания и стандарты, направленные на обеспечение информационной безопасности.

Помимо этого, аттестация информационных систем производится в соответствии с требованиями Федерального законодательства:

  • № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
  • № 184-ФЗ «О техническом регулировании»;
  • № 152‑ФЗ «О персональных данных»;
  • № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • № 98‑ФЗ «О коммерческой тайне».

Выбирайте экспертов в области
информационной безопасности

33

года обеспечиваем безопасность
информационных систем с повышенными
уровнями сложности

20

сертифицированных специалистов
в штате компании

Лицензиат ФСТЭК России

Разработка средств защиты конфиденциальной информации

Лицензия

Техническая защита конфиденциальной информации

Лицензия

Компании, которые уже доверили
нам свою безопасность

logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo

Отраслевые услуги

Защита КИИ

Защита АСУ ТП

Защита от утечек и несанкционированного доступа

Защита от направленных атак
Свяжитесь с нами!

Я ознакомлен(а) с условиями политики в отношении обработки персональных данных и даю согласие на обработку персональных данных

Продолжая использовать данный веб-сайт, вы соглашаетесь с Политикой использования файлов cookie и тем,
что группа компаний Digital Design может использовать файлы cookie для оптимизации работы веб-сайта.