Аттестация ИСОП
Начнем с того, что аттестация ИСОП в соответствии с 489 приказом ФСТЭК не является обязательной! Т.е. требование о необходимости проведения аттестации ИСОП в указанном приказе отсутствует.
Но это совсем не значит, что информационную систему не нужно защищать!
В соответствии с пунктом 8. приказа ФСТЭК № 489 «работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем».
Этим приказом установлены два класса защищенности ИСОП и требования к их мерам защиты информации.
Оператор/владелец информационной системы должен обеспечить выполнение указанных мер защиты, а также обеспечить подтверждение их выполнения в ходе создания и эксплуатации информационной системы.
Классы защищенности ИСОП
Приказ ФСТЭК № 489 устанавливает всего 2 (два) класса защищенности информационных систем общего пользования.
К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.
Ко II классу относятся информационные системы общего пользования, не указанные в I классе.
Первый класс в основном характеризуется необходимостью использования средств защиты информации, сертифицированных только в ФСБ России (с сертификатом ФСБ России).
Второй класс характеризуется возможностью применения средств защиты информации, сертифицированных как в ФСБ, так и во ФСТЭК России.
Кто проводит аттестацию?
Аттестацию ИСОП имеет право проводить только компания с лицензией ФСТЭК России на техническую защиту конфиденциальной информации. Такая лицензия выдается в соответствии с постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
В лицензии в обязательном порядке должны быть указаны следующие виды деятельности:
- Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации.
- Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
- Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- средств и систем информатизации.
Сколько стоит аттестация?
Стоимость аттестации зависит от ряда факторов. В первую очередь это масштаб системы (количественные характеристики), так как от количества используемых в ИСОП объектов вычислительной техники прямо зависит трудоемкость проводимых работ.
Полный набор критериев, по которым определяется стоимость аттестации ИСОП, выглядит следующим образом:
- Масштаб информационной системы:
- количественные характеристики (количество объектов вычислительной техники, сетевого и коммуникационного оборудования);
- Архитектура информационной системы:
- качественные характеристики (состав используемого прикладного программного обеспечения, типы аппаратных платформ и др.);
- применяемые технологии обработки информации (терминальный доступ, беспроводной доступ, SAAS, облачные технологии и др.);
- Распределенность информационной системы (географическая/территориальная);
- Была ли информационная система ранее аттестована.
Только оценив информационную систему по всем указанным критериям, можно сформировать точную стоимость работ по аттестации ИСОП.
8(800)-550-44-71
Требования к ИСОП
Требования к ИСОП устанавливаются приказом ФСТЭК России № 489.
С этим приказом можно ознакомиться на официальном сайте ФСТЭК России в разделе:
Главная \ Техническая защита информации \ Документы \ Приказы
Или по ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/370-prikaz-fstek-rossii-ot-31-avgusta-2010-g-n-489