Требования ГИС ЭП

Минэкономразвития 4 апреля 2024 года (Исх. NoД08и-10233) совместно со ФСТЭК России утвердило требования к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров), подключаемых к государственной информационной системе «Электронная путевка» (аттестация ГИС ЭП).

Данный документ предъявляет требования к защищенности компьютерной системы тур оператора, подключенной к ГИС ЭП.

А в частности, речь о получении аттестата ФСТЭК России на те компьютеры, с которых тур оператор направляет сведения в ГИС ЭП.

 

Требования ФСТЭК к ГИС ЭП?

ФСТЭК России 7 марта 2024 года (Исх. No240/22/1072) согласовала указанные выше требования, в которых предъявляется целый ряд мер, подлежащих реализации, чтобы компьютерную систему можно было аттестовать:

  • формирование требований к защите информации;
  • разработка системы защиты информации;
  • внедрение системы защиты информации (сертифицированных средств защиты).

Далее, после аттестации системы также необходимо:

  • обеспечение защиты информации в ходе эксплуатации аттестованной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной системы.

 

Аттестация ГИС ЭП?

Информационная система / АРМ, подключаемые к ГИС ЭП должна иметь аттестат по 3 классу (уровню) защищенности, в соответствии с требованиями следующих нормативных документов:

  • Приказ ФСТЭК России от 11 февраля 2013г. No 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности, а также соответствие требованиям безопасности информации, предъявляемым к информационным системам персональных данных третьего уровня защищенности.

 

Документы для электронной путевки?

Для подтверждения выполнения указанных выше требований, в адрес Оператора ГИС ЭП направляются следующие документы:

  • технический паспорт на информационную систему;
  • действующий аттестат соответствия требованиям по безопасности информации;
  • акты установки/настройки средств защиты информации.

По запросу эксплуатирующей ГИС «Электронная путевка» предоставляются иные сведения, подтверждающие выполнение условий согласно указанным требованиям.

При переоформлении аттестата необходимо направить Оператору ГИС ЭП скан-копию аттестата в течении 5 дней.

 

Документы ГИС ЭП?

Приложением №2 к указанным выше требованиям приведен перечень документации, необходимой для аттестации ГИС ЭП (Электронная путевка):

  1. Приказ об организации обработки и защиты персональных данных;
  2. Приказ о назначении ответственного за организацию обработки персональных данных;
  3. Приказ о назначении ответственных за обеспечение безопасности информации персональных данных;
  4. Приказ о назначении администратора безопасности;
  5. Приказ о комиссии по определению уровней защищенности персональных данных, обрабатываемых в информационных системах персональных данных;
  6. Приказ об утверждении списка лиц, которым необходим доступ к персональным данным, обрабатываемым в информационных системах персональных данных, для выполнения трудовых обязанностей;
  7. Приказ о выделении помещений, в котором производится обработка персональных данных;
  8. Правила рассмотрения запросов субъектов персональных данных или их представителей;
  9. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
  10. Положение об организации режима безопасности помещений, где осуществляется работа с персональными данными;
  11. Порядок резервного копирования информации;
  12. Положение о порядке организации и проведения работ по защите персональных данных при их обработке;
  13. Положение о защите персональных данных;
  14. Правила обработки персональных данных;
  15. Положение о порядке хранения и уничтожения носителей персональных данных;
  16. План мероприятий по обеспечению защиты персональных данных;
  17. Форма журнала по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  18. Руководство пользователя;
  19. Руководство администратора информационной безопасности;
  20. Инструкция администратора;
  21. Инструкция по антивирусной защите;
  22. Инструкция по парольной защите;
  23. Инструкция о порядке обращения с носителями конфиденциальной информации;
  24. Форма журнала учета машинных носителей информации;
  25. Форма журнала по учету мероприятий по контролю обеспечения защиты персональных данных;
  26. Приказ о ведении электронного журнала обращений пользователей;
  27. Перечень персональных данных;
  28. Перечень информационных систем;
  29. Правила работы с обрабатываемыми обезличенными персональными данными;
  30. Перечень должностей, ответственных за проведение мероприятий по обезличиванию персональных данных;
  31. Типовая форма согласия на обработку персональных данных;
  32. Типовая форма обязательства о неразглашении;
  33. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои данные;
  34. Памятка по обеспечению режима безопасности в помещении, в котором осуществляется обработка персональных данных;
  35. Инструкция по обработке персональных данных без использования средств автоматизации;
  36. Политика в отношении обработки персональных данных;
  37. Должностная инструкция ответственного за организацию обработки персональных данных.
  38. Организация эксплуатации средств криптографической защиты информации
  39. Приказ о назначении ответственного за эксплуатацию СКЗИ, утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации;
  40. Инструкция ответственного за эксплуатацию средств криптографической защиты информации;
  41. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
  42. Форма журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
  43. Типовая форма акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов;
  44. Перечень работников, допущенных к работе с сертифицированными СКЗИ, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
  45. Перечень мест хранения СКЗИ;
  46. Приказ о назначении лиц, допущенных к работе в информационной системе.

Средства защиты для аттестации ГИС ЭП?

Согласно указанным требованиям, чтобы аттестовать ИС/АРМ необходимо установить, как минимум следующий набор СЗИ:

  • средство защиты от НСД;
  • средство антивирусной защиты (АВЗ);
  • средство обнаружения вторжений (СОВ);
  • средства межсетевого экранирования (МЭ);
  • средство криптографической защиты информации (СКЗИ).

Только тогда можно будет пройти аттестацию ГИС ЭП.

Также указано: данный набор средств минимально необходим, но в отдельных случаях может быть дополнен в соответствии с принятыми внешними пользователями моделями угроз и нарушителя безопасности информации, а также по решению владельца ГИС «Электронная путевка».

 

Контроль аттестации ГИС ЭП?

Периодический контроль аттестованной ИС/АРМ для подключения к ГИС ЭП устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.

Это справедливо для систем 2 и 3 классов.

Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Срок аттестация ГИС ЭП?

Вообще срок аттестации не один день и занимает достаточно продолжительное время.

Вот типовые сроки:

  • Обследование и формирование требований к системе — около 1 мес.
  • Проектирование системы защиты — около 1 мес.
  • Закупка и внедрение средств защиты — около 1 мес.
  • Аттестационные испытания — около 1 мес.

 

Почему так много?

 

Сроки во много зависят от:

  1. Скорости предоставления исходных данных
  2. Сроков согласования отчетных документов
  3. Качества коммуникации
  4. Сроки закупки средств защиты занимают от 2 до 4 недель

 

Как выглядит аттестат ГИС ЭП?

Вот так:

Аттестация ГИС ЭП