Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Заказать звонок
Работаем
по всей России

Аттестация по конфиденциальной информации

В современном мире каждое предприятие обрабатывает огромное количество информации. Многие из сведений являются конфиденциальными. Их разглашение может привести к негативным последствиям для самой компании или для ее работников и клиентов. Поэтому конфиденциальная информация (КИ) подлежит защите по закону. Правила работы с КИ диктуются Решением Коллегии Гостехкомиссии России №7.2 от 2 марта 2001 г. Документ содержит основные понятия и требования по охране КИ.

Что относится к конфиденциальной информации

Первым делом необходимо определиться, с каким видом информации работает организация. Согласно Указу Президента РФ «Об утверждении перечня сведений конфиденциального характера» КИ считаются:

  • персональные данные, которые дают возможность установить личность человека;
  • тайна следствия или судебного производства, данные о защищаемых гражданах;
  • служебная тайна;
  • профессиональные сведения: врачебная тайна, адвокатская тайна и т.д.;
  • коммерческая тайна;
  • данные об изобретении компании до официального объявления о нем.

Даже самая небольшая компания обрабатывает, как минимум, один из видов таких сведений: персональные данные (ПДн). Сюда относятся ПДн сотрудников и клиентов. Так, школы, больницы, детские сады обязаны охранять ПДн своих клиентов.

Аттестация: конфиденциальная информация

Для того, чтобы обезопасить КИ от незаконного доступа или утечки, необходимо аттестовать систему обработки данных и помещение. Аттестация по конфиденциальной информации – совокупность проверочных мероприятий, которые направлены на оценку соответствия объекта нормам по защите КИ. Правила и порядок процедуры описаны в «Положении по аттестации объектов информатизации» от 25.11.1994 г. К объектам информатизации относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) и помещения. Поэтому в документе указан общий порядок аттестации, применимый к каждому из объектов. На деле проверочные мероприятия могут отличаться, что зависит от типа предмета аттестации и предъявляемых к нему требований.

В «Положении по аттестации» приведен такой алгоритм процедуры:

  • Подача заявки аттестующую организацию. Аттестовать по нормам безопасности информации может исключительно лицензиат ФСТЭК в части технической защиты конфиденциальной информации.
  • Когда аттестующий орган получает заявку, он рассматривает ее в течение 30 дней. Если исходные сведения окажутся недостаточными, предпринимается предварительное ознакомление с объектом.
  • Орган по аттестации составляет программу аттестационных испытаний, в которой указываются сроки и методы проверок, контрольное оборудование, состав комиссии. Документ отправляется на согласование заявителю.
  • Заключается договор на аттестацию.
  • Проводятся аттестационные испытания.
  • По факту проверки составляются протоколы испытаний и заключение, в котором перечисляются выявленные недочеты и даются указания по их устранению.
  • Если объект отвечает установленным нормам, на него выдается аттестат соответствия. При отказе заявитель может подать апелляцию в ФСТЭК. Аттестат действует до 3 лет, это время необходимо сохранять неизменными условия работы с КИ.

Требования по защите конфиденциальной информации

Аттестация объектов обработки конфиденциальной информации проводится для АС, АРМ и помещений. Помещения, где происходит работа с КИ, проходят совещания и переговоры, называются защищаемыми (ЗП).

Для ЗП существуют свои требования, которым важно соответствовать. Они касаются и расположения ЗП и обстановки внутри. Например, имеет значение количество окон, батарей и вентиляций, материал стен и двери. Подготовленное ЗП не должно допускать утечки информации по различным каналам. На это и направлены проводимые в ходе аттестации испытания: проверяются акустический, виброакустический, электроакустический каналы утечки. Для охраны данных используются сертифицированные средства защиты информации. Чтобы подготовиться к аттестации ЗП нужно изучить требования, указанные в документах ограниченного доступа. Получить их можно, отправив заявку в ФСТЭК.

А вот АС аттестуются по другим правилам, которые зависят от вида системы. Всего их существует 7 типов:

  • информационные системы персональных данных (ИСПДн),
  • государственные информационные системы (ГИС),
  • АС обработки конфиденциальной информации,
  • АС управления технологическими процессами (АСУ ТП),
  • информационные системы общего пользования (ИСОП),
  • критические информационные структуры (КИИ),
  • автоматизированные банковские системы (АБС).

Важно правильно категорировать АС, потому что для разных систем требования отличаются и диктуются разными нормативными документами. Основными правилами для эксплуатации любой АС являются ограниченный доступ к сведениям, учет носителей информации, антивирусная защита, подсистема выявления фактов незаконного доступа, использование только разрешенного ПО.

Сложность состоит в том, что одна и та же АС может аттестоваться по двум направлениям. Поэтому самостоятельно определить требования к системе не всегда возможно. Другой проблемой при аттестации является разработка внутренней документации. Указания на этот счет могут быть туманны и не точны, а количество требуемых документов – пугающим. Например, для аттестации ИСПДн требуется разработать около 60 документов.

Центр безопасности информационных систем поможет в разработке документации и подготовке по требованиям информационной безопасности с последующей аттестацией и гарантией прохождения других проверок.

 

 

Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.