|
|
@@ -0,0 +1,52 @@
|
|
|
+# Проведение аттестации объектов информатизации.
|
|
|
+
|
|
|
+Аттестация объектов информатизации – это процесс, направленный на оценку соответствия информационных систем и технологий установленным требованиям безопасности, эффективности и защиты информации. Актуальность данного процесса обусловлена постоянным увеличением угроз в области кибербезопасности.
|
|
|
+
|
|
|
+Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+**Обязательной аттестации подлежат:**
|
|
|
+
|
|
|
+- Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну.
|
|
|
+- Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом.
|
|
|
+- Государственные информационные системы.
|
|
|
+
|
|
|
+1. Цели и задачи аттестации
|
|
|
+
|
|
|
+- **Обеспечение безопасности информации**: Убедиться, что системы хорошо защищены от несанкционированного доступа.
|
|
|
+- **Соответствие нормативным требованиям**: Проверка в соответствии с законодательством и внутренними регламентами.
|
|
|
+- **Оптимизация ресурсов**: Оценка эффективности использования информационных ресурсов.
|
|
|
+
|
|
|
+2. Этапы проведения аттестации
|
|
|
+
|
|
|
+- **Подготовительный этап**:
|
|
|
+- Определение объекта аттестации (аппаратные и программные комплексы).
|
|
|
+- Сбор документации, включая паспорта систем и политики безопасности.
|
|
|
+
|
|
|
+- **Анализ и оценка информации**:
|
|
|
+- Проведение анализа рисков.
|
|
|
+- Оценка уязвимостей системы.
|
|
|
+- Проверка технической документации и разрешительных документов.
|
|
|
+
|
|
|
+- **Практическая проверка**:
|
|
|
+- Тестирование систем на соответствие требованиям (включая стресс-тесты).
|
|
|
+- Обследование систем на предмет физической безопасности.
|
|
|
+
|
|
|
+- **Документирование результатов**:
|
|
|
+- Составление отчета о проведенной аттестации.
|
|
|
+- Рекомендации по устранению выявленных недостатков.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Оформление, регистрацию и выдачу аттестата соответствия.
|
|
|
+Аттестат соответствия требованиям безопасности информации оформляется и выдается после утверждения положительного заключения по результатам аттестационных испытаний объекта информатизации.
|
|
|
+Аттестат соответствия объекта информатизации требованиям безопасности информации выдается сроком на 3 года.
|
|
|
+
|
|
|
+3. Регуляторные аспекты:
|
|
|
+- Основания для аттестации: законы, постановления и стандарты (например, ФЗ-152 «О персональных данных»).
|
|
|
+- Роль государственных органов, таких как Роскомнадзор, в регулировании процесса аттестации.
|
|
|
+
|
|
|
+Вывод
|
|
|
+Проведение аттестации объектов информатизации – это важный процесс для обеспечения безопасности и защиты информации в условиях растущих киберугроз. Регулярные проверки и улучшения систем помогут минимизировать риски и обеспечить должный уровень безопасности.
|
|
|
+
|
