Аттестация государственных информационных систем

Аттестация ИС, обрабатывающих государственные и муниципальные информационные ресурсы, по требованиям безопасности информации является обязательной процедурой и проводится до начала обработки информации, подлежащей защите.

Аттестация должна проводиться независимой организацией. В соответствии с нормативными документами ФСТЭК России, выполнение работ по проведению аттестационных испытаний организацией, ранее выполнившей проектирование и внедрение системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, не допускается.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия используемого комплекса мер и средств защиты информации требуемому классу защищенности ИС.

НТЦ «Вулкан» выполняет в интересах заказчика работы по аттестации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

Состав работ

  • Разработка программы и методики проведения аттестационных испытаний на объекте информатизации.
  • Сбор и анализ исходных данных по аттестуемому объекту информатизации, проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации объекта информатизации.
  • Изучение (проверка) технологического процесса обработки и хранения информации, анализ информационных потоков.
  • Экспертное обследование объекта информатизации и анализ разработанной документации по защите информации на предмет ее соответствия требованиям нормативной и методической документации.
  • Испытания отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в том числе методом тестирования на проникновение.
  • Комплексные испытания объекта информатизации на соответствие требованиям по безопасности информации.
  • Анализ уязвимостей ИС, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации.
  • Анализ результатов экспертного обследования и аттестационных испытаний объекта информатизации, оформление результатов аттестации.

При аттестации ИС на основе анализа проектной и эксплуатационной документации, разработанных организационно-технических мер и проектных решений на создание системы защиты информации ИС, подтверждается ее соответствие требованиям по защите информации по следующим аспектам:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных.

Преимущества

Аттестат соответствия, выдаваемый по результатам работ, официально подтверждает, что объект информатизации соответствует требованиям безопасности информации.