Аттестация ЭТРАН
Соглашение об оказании информационных услуг и предоставлении электронных сервисов в сфере грузовых перевозок от 31 июля 2024 г. №1841/р предъявило следующие требования по аттестации компьютерных систем при подключении к АС ЭТРАН:
Разъяснения от ТЦФТО поступило следующие:
В рамках взаимодействия с АС ЭТРАН НП в режиме АСУ-АСУ необходимо иметь аттестат соответствия классу защищённости К3.
Такие работы проводятся в рамках аттестации по требованиям 17 приказа ФСТЭК.
Порядок аттестации ЭТРАН?
Порядок аттестации по классу защищенности К3 установлен приказом ФСТЭК № 17, который устанавливает следующую последовательность подготовки и аттестации информационной системы:
- формирование требований к защите информации;
- разработка системы защиты информации;
- внедрение системы защиты информации (сертифицированных средств защиты);
- аттестация информационной системы.
После аттестации также необходимо:
- обеспечение защиты информации в ходе эксплуатации аттестованной системы;
- обеспечение защиты информации при выводе из эксплуатации аттестованной системы.
Аттестат ЭТРАН?
Информационная система (сервер / рабочая станция), подключаемая к АС ЭТРАН должна иметь аттестат по классу К3 по требованиям следующих нормативных документов:
- Приказ ФСТЭК России от 11 февраля 2013г. No 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах», (утвержден приказом ФСТЭК России от 11.02.2014).
Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности.
Средства защиты: аттестация ЭТРАН
Согласно 17 приказа ФСТЭК, чтобы аттестовать систему необходимо установить, как минимум следующий набор средств защиты информации (СЗИ):
- средство защиты от НСД;
- средство антивирусной защиты (АВЗ);
- средство защиты среды виртуализации (ЗСВ);
- средство анализа защищенности (АНЗ);
- средства межсетевого экранирования (МЭ);
- средство криптографической защиты информации (СКЗИ).
Только тогда можно будет получить аттестат для взаимодействия с ЭТРАН.
Внимание: указан минимально необходимый набор средств защиты информации, но относительно модели угроз для конкретной информационной системы, могут быть применены дополнительные средства защиты.
Контроль: аттестация ЭТРАН
Периодический контроль аттестованной системы для подключения к АС ЭТРАН устанавливается владельцем системы во внутренней организационно-распорядительной документации по защите информации, но не реже 1 раза в два года.
Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
8(800)-550-44-71
Срок: аттестация ЭТРАН
Срок аттестации для взаимодействия с ЭТРАН занимает не один день, поэтому нужно закладывать, как минимум, следующие сроки:
- Обследование и формирование требований к системе — около 1 нед.
- Проектирование системы защиты — около 1 нед.
- Закупка и внедрение средств защиты — около 1 нед.
- Аттестационные испытания — около 1 нед.
Почему так?
Сроки зависят:
- Скорости предоставления Заказчиком исходных данных
- Сроков согласования Заказчиком отчетных документов
- Качества коммуникации между Заказчиком и Исполнителем
- Сроки закупки средств защиты
Стоимость: аттестация ЭТРАН
Стоимость зависит от масштаба системы.
Для одной локальной рабочей станции это одна цена, а для серверных компонент и особенно в ЦОД — другая.
Поэтому для расчета стоимости — оставьте заявку.
Как выглядит аттестат ЭТРАН?
Вот так: