Требования АСУ СО

Для исполнения ФЗ-273 «Об образовании в Российской Федерации», с целью «информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности» региональными министерствами образования и науки (далее Министерствами) разрабатываются Автоматизированные системы управления сферой образования (АСУ СО).

Состоят они, как правило, из двух модулей:

  • «Сетевой город. Образование» – электронный журнал и дневник
  • «Е-Услуги» – оказание государственных и муниципальных услуг

А для соответствия требованиям по безопасности для взаимодействия с АСУ СО — Министерствами предъявляются требования по защите информации — что совершенно справедливо согласно нормативной документации ФСБ и ФСТЭК России.


Требования по аттестации АСУ СО?

Указанными Министерствами реализуются мероприятия по аттестации АСУ СО на соответствие требованиям безопасности информации (требованиям ФСТЭК России) для серверных сегментов АСУ СО.

На выходе Аттестат соответствия требованиям по защите информации, который подтверждает, что АСУ СО соответствует классу защищенности, установленному Актом классификации АСУ СО.

Как правило, для серверного сегмента Министерствами устанавливаются следующие классы и уровни  защищенности:

  • не ниже 2 класса защищенности согласно 17 приказа ФСТЭК
  • не ниже 2 уровня защищенности согласно 21 приказа ФСТЭК

А для клиентских (пользовательских) сегментов АСУ СО достаточно аттестации по следующим классам и уровням защищенности:

  • не ниже 3 класса защищенности согласно 17 приказа ФСТЭК
  • не ниже 3 уровня защищенности согласно 21 приказа ФСТЭК

Поэтому образовательным учреждениям достаточно аттестации пользовательских сегментов АСУ СО по 3 классу/уровню защищенности.

 

Порядок аттестации АСУ СО

Порядок организации и проведения работ по аттестации объектов информатизации (далее  — Порядок) утвержден приказом ФСТЭК России от 29 апреля 2021 г. № 77.

Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа.

Данный порядок применяется с 1 сентября 2021 года.

Пунктом 5 указанного Порядка определено, что аттестационные испытания объектов информатизации, предназначенных для обработки информации ограниченного доступа, не составляющей государственную тайну, проводятся организациями, имеющими лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации).

Общий порядок подготовки и аттестации пользовательских сегментов АСУ СО выглядит так:

  • формирование требований к защите информации;
  • разработка системы защиты информации;
  • внедрение системы защиты информации (сертифицированных средств защиты);
  • аттестация по требованиям безопасности информации.

 

Аттестация АСУ СО?

Автоматизированные рабочие места, размещенные в муниципальных органах управления образованием и образовательных организациях, подключенных к модулям АСУ СО посредством VPN клиентов должны иметь аттестат по 3 классу (уровню) защищенности, в соответствии с требованиями следующих нормативных документов:

Т.е. конкретный АРМ, размещенный на территории образовательного учреждения должен пройти процедуру аттестации по третьему классу / уровню защищенности и на выходе получить аттестат соответствия указанным требованиям.

 

Меры защиты АСУ СО

Для выполнения вышеуказанных требований и получения аттестата на АРМ АСУ СО необходимо реализовать следующие категории мер защиты:

  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  • Управление доступом субъектов доступа к объектам доступа (УПД)
  • Ограничение программной среды (ОПС)
  • Защита машинных носителей персональных данных (ЗНИ)
  • Регистрация событий безопасности (РСБ)
  • Антивирусная защита (АВЗ)
  • Обнаружение вторжений (СОВ)
  • Контроль (анализ) защищенности персональных данных (АНЗ)
  • Обеспечение целостности информационной системы и информации (ОЦЛ)
  • Защита технических средств (ЗТС)
  • Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
  • Управление конфигурацией информационной системы и системы защиты информации (УКФ)

 

Как правило такие сложные работы по анализу реализованных мер защиты и проектированию системы защиты выполняют лицензиаты ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

Не так просто выполнить изыскательные работы и выполнить проектирование согласно методологии, установленной 17 и 21 приказами ФСТЭК, а также с учетом доп. требований ФСБ России (приказ № 378).

 

Средства защиты АСУ СО

Для того, чтобы получить аттестат на 3 класс/уровень защищенности, необходимо закупить, как минимум, следующий набор средств защиты:

  • Средство защиты информации от несанкционированног о доступа (например Secret Net Studio)
  • Средство криптографической защиты (например Vipnet Client)
  • Сканер уязвимостей (например Сканер-ВС)

Итого бюджет на такой набор средств защиты — составит около 60 тыс. руб.

 

Контроль аттестации АСУ СО?

Согласно 17 приказа ФСТЭК, каждый оператор аттестованного объекта информатизации  устанавливает в своих внутренних организационно-распорядительных документах срок проведения периодического контроля:

  • для информационных систем 2 и 3 класса защищенности — не реже 1 раза в 2 года
  • для информационных систем 1 класса защищенности — не реже 1 раза в год

 

Сроки могут быть реже — это определяется самим владельцем системы с учетом особенностей функционирования информационных систем и степени важности такой системы.

Периодический контроль аттестованного компьютера для взаимодействия с АСУ СО проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.

 

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

 

Срок аттестации АСУ СО?

Аттестация АСУ СО проводится в договорные сроки.
Однако, сроки обычно зависят от степени готовности объекта к аттестации, а также его масштаба.

Если, например, это всего лишь 1 автоматизированное рабочее место (один компьютер), то срок его аттестации может составить до 1 месяца. Почему так долго?

Давайте распишем сроки по этапам:

    • Обследование и формирование требований к системе — около 1 недели
    • Проектирование системы защиты — около 1 недели
    • Закупка и внедрение средств защиты — около 2 недели*
    • Аттестационные испытания — около 1 недели

 

    • * — для оптимизации сроков проекта — закупать средства защиты необходимо начинать одновременно с основным объемом услуг

Итого: общий срок аттестации 1 АРМ для взаимодействия с АСУ СО составляет — до 1 месяца.

 

Цена аттестации АСУ СО?

Цена зависит от количество аттестуемых компьютеров для взаимодействия с АСУ СО, их типа, их географической расположенности (в одном месте или в нескольких), а также наличие закупленных средств защиты.

Например стоимость аттестации 1 (одного) локального компьютера в офисе небольшой организации это всего лишь 90 тыс., а если это среднее или крупное предприятие и речь идет не только об АРМ, но и о серверах, то такие проекты по аттестации стоят существенно дороже.

 

Если кратко, то по услугам аттестации 1 АРМ малой организации:

  • Обследование информационной системы — 36 тыс.
  • Проектирование системы защиты — 36 тыс
  • Внедрение системы защиты — 9 тыс.
  • Аттестационные испытания — 9 тыс.

Итого стоимость услуг составит: 90 тыс. руб.

Стоимость средств защитысоставит около 60 тыс.


Итого за проект: около 150 тыс.

Для индивидуального расчета вашей ситуации — оставьте заявку или позвоните по телефонам:
8(800)600-60-41 или 8(800)550-44-71

Скачать коммерческое предложение на аттестацию АСУ СО
СКАЧАТЬ PDF

 

Аттестат АСУ СО?

Вы спросите как же выглядит аттестат АСУ СО и как его получить?
Как его получить подробно разобрано в настоящей статье, а выглядит он примерно вот так:

 

аттестация асу со