Если вы готовитесь к сертификации объектов информатизации компании и не знаете, с чего начать, то наша статья будет вам полезна.
В материале приведены рекомендации по подготовке к этому непростому процессу, взятые из опыта работы сотрудников компании «Газинформсервис», которая уже более 17 лет оказывает услуги по подготовке и сертификации подобных систем.
Почему все так сложно?
Этим вопросом задается каждый, кто пытается пройти квест под названием «аттестация» на практике впервые.Здесь имеется немало сложностей, и одна из них связана с тем, что сегодня в Российской Федерации принято большое количество норм и требований по защите различных информационных ресурсов.
Можно считать, что информационное право окончательно выделилось в отдельную отрасль, и чтобы разобраться во всех тонкостях и особенностях этих законов, необходим узкоспециализированный юрист, работающий именно в этой сфере.
Однако не каждая компания может себе позволить иметь в штате такого специалиста.
Еще одной сложностью является назначение специалистов ИТ-подразделения, ответственных за вопросы ИБ, которые работают по совместительству в сфере ИБ и, соответственно, не имеют ни профильного образования, ни должной подготовки, ни достаточного рабочего времени для систематического выполнения работ по обеспечению ИБ.
Все это негативно влияет на качество сертификации информационных систем.
Без должной квалификации проверка систем зачастую проводится поверхностно, требования информационной безопасности устанавливаются неверно, а результатом такой работы зачастую являются ошибки при проектировании и реализации системы информационной безопасности.
С 1 июня 2021 года появилась еще одна сложность.
Согласно новым требованиям ФСТ России, владелец объекта информационных технологий теперь обязан направить в организацию, выполняющую работы по сертификации автоматизированных систем, электронные копии технического паспорта, акта классификации, технических условий на создание системы защиты информации и другой проектной и эксплуатационной документации, определенной государственными стандартами.
Также необходимо предоставить организационно-распорядительные документы по технической защите информации, регламентирующие правила эксплуатации объекта, в том числе по управлению системой информационной безопасности, управлению конфигурацией объекта и т.д. Далее лицензиат ФНСЭК России обязан перенаправить вышеуказанные документы в территориальный орган государственного регулятора.
На данный момент это касается систем, в которых обрабатываются государственные тайны, но есть предпосылки полагать, что аналогичные требования будут обязательными для владельцев информационных систем, обрабатывающих данные ограниченного доступа, которые не не составляют государственной тайны.
Следовательно, вероятность подробного рассмотрения и оценки регулятором работ на объекте существенно возрастает, а значит, качественная подготовка к этому процессу приобретает больший вес, и провести его самостоятельно будет сложнее.
Где они чаще всего ошибаются?
В ходе сертификационных мероприятий на стороне заказчика нами было выявлено большое количество как мелких недостатков, так и грубых нарушений при подготовке информационных систем к сертификации.Наиболее распространенными из них были:
- ошибки в организационно-распорядительных документах по охране объектов (несоответствие сведений, указанных в документах, реальным условиям эксплуатации систем), а иногда и полное отсутствие таких документов;
- ошибки при определении класса (уровня) защищенности информационных систем;
- использование документов ФСТ России, утративших силу;
- ошибки в выявлении действующих технических каналов утечки информации;
- неправильно выбранные меры защиты информации от несанкционированного доступа;
- несоответствие параметров информационной безопасности требованиям информационной безопасности и эксплуатационной документации.
Поэтому, если организация не имеет собственного квалифицированного персонала, занимающегося вопросами информационной безопасности, рекомендуем прибегнуть к помощи организации-лицензиата ФНС? лицензии (полный список организаций, уполномоченных оказывать услуги, размещен на официальном сайте регулятор ).
Данное решение обеспечит комплексный подход к защите информационных систем и гарантированный положительный результат сертификационных испытаний.
Но если вы все же решили все сделать самостоятельно, хотим дать несколько важных рекомендаций.
Как подготовить объект информатизации к сертификации
Приведем примерный алгоритм действий при подготовке к сертификационным испытаниям.Первое, что необходимо сделать, это провести первичный анализ объектов информатизации: оценить исходные данные (обследование объекта), проанализировать и сформулировать требования безопасности и анализ рисков.
Далее необходимо определить, обладают ли сотрудники необходимыми компетенциями и распределить обязанности при выполнении работ (в том числе при подготовке организационно-распорядительных документов, настройке программно-технических средств обеспечения ИБ, эксплуатации системы ИБ, управлении работой и организации контроля за их деятельностью).
выполнение).
Следующим шагом является определение механизмов защиты, состава и структуры комплекса средств защиты информации в зависимости от установленного класса (уровня) защищенности объекта.
Также необходимо будет оценить временные затраты и ресурсы на подготовку объектов к сертификации.
По окончании подготовки необходимо будет выбрать организацию, которая после проведения комплекса мероприятий подтвердит соответствие системы защиты информации объекта информатизации требованиям безопасности.
Мы рассказали о двух подходах к сертификации и надеемся, что наши рекомендации помогут вам в подготовке к ней объектов информатизации.
Материал подготовил Станислав Бабкин, начальник отдела сертификационных испытаний ООО «Газинформсервис».
Теги: #информационная безопасность #сертификация информационных объектов
-
Яндекс Открыл Новый Офис В Калифорнии
19 Oct, 24 -
Пароль Для Гиков — Смешивать, Но Не Трясти.
19 Oct, 24
