Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ.
Почему потребовалась аттестация?
Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых.
Цель и задачи проведения аттестации
Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты информации. Аттестация выбрана как способ оценки эффективности принимаемых мер, по обеспечению безопасности персональных данных в соответствии с 21 приказом ФСТЭК.
Были установлены следующие задачи:
- оценка эффективности средств защиты информации, применяемых в инфраструктуре учреждения;
- разработка проектов организационно-распорядительной документации;
- аттестация ИСПДн по требованиям безопасности информации;
- поставка программного обеспечения для автоматизации формирования и актуализации внутренней документации
- выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации.
Система управления событиями информационной безопасности (СУС ИБ)
Работа с СУС ИБ – основная работа в кейсе. Напомним для чего предназначена СУС ИБ – для обнаружения, анализа и устранения угроз безопасности раньше, чем они нанесут ущерб предприятию/организации.
Так как в МФЦ идет плотная работа с персональными данными, то защита от их утечки, защита от угроз является первоочередной.
Общие задачи, которые решает СУС ИБ:
- сбор, обработка, отображение и долгосрочное хранение информации о событиях и подозрениях на инциденты информационной безопасности, выявляемых в инфраструктуре заказчика;
- предоставление инструментов для анализа событий и расследования инцидентов информационной безопасности, в том числе, масштабных инцидентов ИБ, затрагивающие несколько территориальных подразделений;
- предоставление исходной информации для определения влияния события или подозрения на инцидент ИБ на ИТ-сервисы.
СУС ИБ строится как единая система с иерархической функциональной структурой и централизованным пунктом управления и являться составной частью информационно-телекоммуникационной системы заказчика.
Также СУС ИБ обеспечивает сохранность данных при возникновении аварийной ситуации с программно-техническими комплексами СУС ИБ путем резервного копирования и восстановления данных и программного обеспечения. Для этого информационные ресурсы СУС ИБ включаются в контур существующих систем резервного копирования.
СУС ИБ включает в себя 7 подсистем:
-подсистема сбора и обработки событий ИБ;
-
подсистема хранения событий ИБ;
-
подсистема корреляции событий ИБ;
-
подсистема поиска событий и подозрений
на инциденты ИБ;
-
подсистема регистрации инцидентов ИБ;
-
подсистема информационной безопасности;
-
подсистема управления.
Этапы реализации проекта
Было определено 4 этапа работ.
1. Информационно-техническое обследование ИСПДн и разработка частной модели угроз безопасности.
2. Передача прав на программное обеспечение (в том числе на продление лицензий) СУС ИБ.
3. Внедрение СУС ИБ.
4. Доработка организационно-распорядительной документации, доработка средств защиты информации всех уровней.
5. Аттестационные испытания и разработка аттестационной документации.
Заключение
По выполнении работ система защиты информации на объектах заказчика приведена в соответствие с законодательством и регулирующими работу с данными приказами ФСТЭК, ФСБ. Весь пакет аттестационной документации, а так же аттестатов соответствия передан заказчику.
Проведена необходимая разъяснительная работа с ответственными сотрудниками.
Если у вас горят сроки получения аттестата или планируете проводить аттестацию объектов информатизации – свяжитесь с нами. ООО «Рубикон» имеет достаточный опыт работы в этом направлении, а так же является лицензиатом ФСТЭК на проведение работ такого вида.
