Аттестация ЭТРАН

Соглашение об оказании информационных услуг и предоставлении электронных сервисов в сфере грузовых перевозок от 31 июля 2024 г. №1841/р предъявило следующие требования по аттестации компьютерных систем при подключении к АС ЭТРАН:

15.1.3. Обеспечивать подключение к информационным системам ОАО «РЖД» только аттестованных объектов информатизации в установленном порядке по классу не ниже максимального класса защищённости исходя из перечня подключаемых систем ОАО «РЖД» – К1/К2/К31.

 

Разъяснения от ТЦФТО поступило следующие:

В рамках взаимодействия с АС ЭТРАН НП в режиме АСУ-АСУ необходимо иметь аттестат соответствия классу защищённости К3.

Такие работы проводятся в рамках аттестации по требованиям 17 приказа ФСТЭК.

 

 

Порядок аттестации ЭТРАН?

Порядок аттестации по классу защищенности К3 установлен приказом ФСТЭК № 17, который устанавливает следующую последовательность подготовки и аттестации информационной системы:

  • формирование требований к защите информации;
  • разработка системы защиты информации;
  • внедрение системы защиты информации (сертифицированных средств защиты);
  • аттестация информационной системы.

После аттестации также необходимо:

  • обеспечение защиты информации в ходе эксплуатации аттестованной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной системы.

 

Аттестат ЭТРАН?

Информационная система (сервер / рабочая станция), подключаемая к АС ЭТРАН должна иметь аттестат по классу К3 по требованиям следующих нормативных документов:

Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности.

 

 

Средства защиты: аттестация ЭТРАН

Согласно 17 приказа ФСТЭК, чтобы аттестовать систему необходимо установить, как минимум следующий набор средств защиты информации (СЗИ):

  • средство защиты от НСД;
  • средство антивирусной защиты (АВЗ);
  • средство защиты среды виртуализации (ЗСВ);
  • средство анализа защищенности (АНЗ);
  • средства межсетевого экранирования (МЭ);
  • средство криптографической защиты информации (СКЗИ).

Только тогда можно будет получить аттестат для взаимодействия с ЭТРАН.

Внимание: указан минимально необходимый набор средств защиты информации, но относительно модели угроз для конкретной информационной системы, могут быть применены дополнительные средства защиты.

 

Контроль: аттестация ЭТРАН

Периодический контроль аттестованной системы для подключения к АС ЭТРАН устанавливается владельцем системы во внутренней организационно-распорядительной документации по защите информации, но не реже 1 раза в два года.

Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

 

Срок: аттестация ЭТРАН

Срок аттестации для взаимодействия с ЭТРАН занимает не один день, поэтому нужно закладывать, как минимум,  следующие сроки:

  • Обследование и формирование требований к системе — около 1 нед.
  • Проектирование системы защиты — около 1 нед.
  • Закупка и внедрение средств защиты — около 1 нед.
  • Аттестационные испытания — около 1 нед.

 

Почему так?

 

Сроки зависят:

  1. Скорости предоставления Заказчиком исходных данных
  2. Сроков согласования Заказчиком отчетных документов
  3. Качества коммуникации между Заказчиком и Исполнителем
  4. Сроки закупки средств защиты

 

 

Стоимость: аттестация ЭТРАН

Стоимость зависит от масштаба системы.

Для одной локальной рабочей станции это одна цена, а для серверных компонент и особенно в ЦОД — другая.

Поэтому для расчета стоимости — оставьте заявку.

 

 

Как выглядит аттестат ЭТРАН?

Вот так:

 

аттестация этран