Оценка соответствия и Аттестация информационных систем ПДн

Федеральный закон «О персональных данных» и Приказ ФСТЭК России от 18.02.2013 г. № 21 предусматривают оценку эффективности принимаемых мер по обеспечению безопасности ПДн. Данная оценка может проводиться в форме аттестации по требованиям безопасности.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия используемого комплекса мер и средств защиты информации требуемому уровню защищенности ПДн.

НТЦ «Вулкан» выполняет в интересах заказчика работы по аттестации ИСПДн, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

Состав работ

  • Разработка программы и методики проведения аттестационных испытаний на объекте информатизации.
  • Сбор и анализ исходных данных по аттестуемому объекту информатизации, проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации объекта информатизации.
  • Изучение (проверка) технологического процесса обработки и хранения информации, анализ информационных потоков.
  • Экспертное обследование объекта информатизации и анализ разработанной документации по защите информации на предмет ее соответствия требованиям нормативной и методической документации.
  • Испытания отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в том числе методом тестирования на проникновение.
  • Комплексные испытания объекта информатизации на соответствие требованиям по безопасности информации.
  • Анализ уязвимостей ИСПДн, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации.
  • Анализ результатов экспертного обследования и аттестационных испытаний объекта информатизации, оформление результатов аттестации.

При аттестации ИСПДн на основе анализа проектной и эксплуатационной документации, разработанных организационно-технических мер и проектных решений на создание СЗПДн, подтверждается ее соответствие требованиям по защите информации по следующим аспектам:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся или обрабатываются ПДн;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности ПДн;
  • обеспечение целостности ИСПДн и ПДн;
  • обеспечение доступности ПДн;
  • защита среды виртуализации;
  • защита технических средств;
  • защита ИСПДн, ее средств, систем связи и передачи данных;
  • выявление инцидентов;
  • управление конфигурацией ИСПДн и системы защиты ПДн.

Преимущества

Аттестат соответствия, выдаваемый по результатам работ, официально подтверждает, что ИСПДн соответствует требованиям безопасности информации.