Кейс «Аттестация объектов информатизации МКУ МФЦ г. Ростова-на-Дону

Кейс «Аттестация объектов информатизации МКУ МФЦ г. Ростова-на-Дону

Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ.

Почему потребовалась аттестация?

Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых.

Цель и задачи проведения аттестации

Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты информации. Аттестация выбрана как способ оценки эффективности принимаемых мер, по обеспечению безопасности персональных данных в соответствии с 21 приказом ФСТЭК.

Были установлены следующие задачи:

-        оценка эффективности средств защиты информации, применяемых в инфраструктуре учреждения;

-        разработка проектов организационно-распорядительной документации;

-        аттестация ИСПДн по требованиям безопасности информации;

-        поставка программного обеспечения для автоматизации формирования и актуализации внутренней документации

-        выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации.

Система управления событиями информационной безопасности (СУС ИБ)

Работа с СУС ИБ – основная работа в кейсе. Напомним для чего предназначена СУС ИБ – для обнаружения, анализа и устранения угроз безопасности раньше, чем они нанесут ущерб предприятию/организации.

Так как в МФЦ идет плотная работа с персональными данными, то защита от их утечки, защита от угроз является первоочередной.

Общие задачи, которые решает СУС ИБ:

- сбор, обработка, отображение и долгосрочное хранение информации о событиях и подозрениях на инциденты информационной безопасности, выявляемых в инфраструктуре заказчика;

- предоставление инструментов для анализа событий и расследования инцидентов информационной безопасности, в том числе, масштабных инцидентов ИБ, затрагивающие несколько территориальных подразделений;

- предоставление исходной информации для определения влияния события или подозрения на инцидент ИБ на ИТ-сервисы.

СУС ИБ строится как единая система с иерархической функциональной структурой и централизованным пунктом управления и являться составной частью информационно-телекоммуникационной системы заказчика.

Также СУС ИБ обеспечивает сохранность данных при возникновении аварийной ситуации с программно-техническими комплексами СУС ИБ путем резервного копирования и восстановления данных и программного обеспечения. Для этого информационные ресурсы СУС ИБ включаются в контур существующих систем резервного копирования.

СУС ИБ включает в себя 7 подсистем:

-      
подсистема сбора и обработки событий ИБ;
-      
подсистема хранения событий ИБ;
-      
подсистема корреляции событий ИБ;
-      
подсистема поиска событий и подозрений
на инциденты ИБ;
-      
подсистема регистрации инцидентов ИБ;
-      
подсистема информационной безопасности;
-      
подсистема управления.

Этапы реализации проекта

Было определено 4 этапа работ.

1.    Информационно-техническое обследование ИСПДн и разработка частной модели угроз безопасности.

2.    Передача прав на программное обеспечение (в том числе на продление лицензий) СУС ИБ.

3.    Внедрение СУС ИБ.

4.    Доработка организационно-распорядительной документации, доработка средств защиты информации всех уровней.

5.    Аттестационные испытания и разработка аттестационной документации.

Заключение

По выполнении работ система защиты информации на объектах заказчика приведена в соответствие с законодательством и регулирующими работу с данными приказами ФСТЭК, ФСБ. Весь пакет аттестационной документации, а так же аттестатов соответствия передан заказчику.

Проведена необходимая разъяснительная работа с ответственными сотрудниками.

Если у вас горят сроки получения аттестата или планируете проводить аттестацию объектов информатизации – свяжитесь с нами. ООО «Рубикон» имеет достаточный опыт работы в этом направлении, а так же является лицензиатом ФСТЭК на проведение работ такого вида.

Изображение:
аттестация стандартизация ИБ информационная безопасность ИТ 152-ФЗ ПДн система управления информационной безопасностью
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.