Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
23

Как подключение к ГИС может повлиять на безопасность данных

Ищете информацию о подключении к ГИС для ЖКХ, МТ, ГМП и Электронного бюджета? Узнайте требования, этапы подключения и аттестации информационных систем.

Содержание

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем (ГИС) обрабатывает персональные данные. А потому, чтобы подключиться, существует целый ряд требований, которые нужно соблюсти.

Это касается защиты данных и обеспечения безопасности на каждом этапе подключения. Ведь для того, чтобы эффективно и безопасно работать с ГИС, нужно следить за конфиденциальностью и целостностью данных, а также избежать несанкционированного доступа к ним.

О законодательном регулировании

Законодательство РФ предъявляет строгие требования к защите информации, которая не составляет государственную тайну, но содержится в государственных информационных системах (ГИС).

Одним из главных документов, регулирующих защиту этих данных, является Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 15 февраля 2017 года №27. Этот документ вносит изменения в более ранний приказ ФСТЭК 2013 года и устанавливает новые требования по защите информации в ГИС, которые должны соблюдаться для обеспечения безопасности данных и предотвращения угроз.

Основные требования и изменения в законодательстве

  1. Классификация информации и систем. Для начала, все системы и данные, которые обрабатываются в ГИС, классифицируются по уровням защищенности. Это делается для того, чтобы правильно применить меры защиты в зависимости от важности информации. Разделение на классы защищенности (от 1 до 3) помогает определить, какие средства защиты информации должны быть использованы.
  2. Использование банка данных угроз. Важным нововведением стало требование использовать банк данных угроз безопасности информации (bdu.fstec.ru), который ведется ФСТЭК. Этот ресурс помогает в определении возможных угроз для информации и позволяет строить модель защиты системы, чтобы минимизировать риски.
  3. Этапы работы по защите информации
    • проектирование системы защиты: создание архитектуры и выбор средств защиты;
    • разработка документации: составление нормативных и организационно-распорядительных документов, которые регламентируют защиту данных;
  4. Аттестация информационных систем. Аттестация системы безопасности — это обязательный этап. Важно, чтобы система защиты не только соответствовала нормативным актам, но и была признана безопасной на практике. В приказе уточняется, что аттестационные испытания проводятся с участием специалистов, которые проверяют как теоретическую, так и практическую реализацию мер защиты.
  5. Меры защиты на различных уровнях защищенности. В зависимости от класса защищенности, устанавливаются мера защиты информации, которые должны применяться в информационных системах. Например:
    • для систем 1-го класса защищенности используются средства защиты, проверенные по 4-му уровню контроля;
    • для более низких классов защиты применяются средства, сертифицированные на соответствие меньшим стандартам, но с сохранением необходимых функций безопасности.
  6. Применение средств защиты. При реализации защиты данных необходимо использовать технические средства защиты, такие как программные и аппаратные средства. Все эти средства должны быть сертифицированы и соответствовать требованиям ФСТЭК. Документ также указывает, что такие средства должны включать в себя функции для предотвращения несанкционированного доступа, защиты от внешних угроз и обеспечения безопасности хранения и передачи информации.
  7. Периодические обновления и контроль. В соответствии с требованиями законодательства, системы защиты должны подвергаться регулярному мониторингу и обновлениям. Это включает в себя установку обновлений для защиты информации от новых угроз, анализ уязвимостей и контроль за корректной работой средств защиты.

Основные этапы процесса подключения к ГИС

Процесс подключения к ГИС требует внимательности и соблюдения множества технических и правовых норм. Обсудим шаги для подключения.

1. Классификация информационной системы и определение угроз безопасности

Процесс начинается с классификации информационной системы. Это необходимо для того, чтобы понять, какие меры безопасности должны быть применены в зависимости от важности обрабатываемой информации. Для этого классифицируют системы по классам защищенности, которые могут варьироваться от третьего до первого класса.

Класс защищенности зависит от того, какие данные обрабатываются, и какие угрозы могут повлиять на безопасность этих данных.

После классификации проводится оценка угроз безопасности. Угрозы определяются путем анализа возможных уязвимостей и моделей реализации угроз. При этом также анализируются последствия утраты конфиденциальности, целостности и доступа к данным.

2. Сформировать требования к системе обработки информации

Следующим этапом является формирование требований к системе обработки информации. В эти требования входят цели и задачи защиты информации, а также нормативные документы, которым должна соответствовать информационная система. Нужно будет определить объекты защиты, а также меры и средства защиты информации, которые будут применяться в системе.

3. Разработка системы защиты информации

На этом этапе разрабатывается система защиты для информационной системы. Это включает в себя проектирование системы защиты, создание документации, а также тестирование этой системы. Важно, чтобы система защиты была не только эффективной, но и надежной, обеспечивая безопасность на всех уровнях.

4. Внедрение системы защиты

Когда система защиты разработана, следующим шагом является ее внедрение и настройка. Здесь устанавливаются средства защиты информации и разрабатываются организационно-распорядительные документы, которые определяют правила работы с системой. Также важным моментом является проведение предварительных испытаний системы защиты, ее опытная эксплуатация и проверка на уязвимости.

5. Аттестация информационной системы

Последним шагом является аттестация системы безопасности. Это важный процесс, который позволяет официально подтвердить соответствие системы требованиям безопасности. Аттестация проводится с использованием специальной методики и включает в себя аттестационные испытания. По итогам испытаний выдается аттестат соответствия, который подтверждает, что система соответствует всем стандартам безопасности, установленным законодательством РФ.

Почему важно соблюдать требования ФСТЭК и ФСБ?

Многие компании считают, что достаточно просто оформить документы для того, чтобы пройти проверку контролирующих органов. Однако это не так. Важно понимать, что к проверке могут быть привлечены специалисты ФСТЭК и ФСБ, и их требования гораздо более жесткие. Просто наличие бумажных документов не всегда достаточны, чтобы подтвердить, что система защищена.

Пример

Представьте, что ваша компания работает с персональными данными клиентов, например, с номерами паспортов или номерами банковских карт. Если у вас не будет реально работающей системы защиты этих данных, а только документы, подтверждающие, что система защищена, то при проверке ФСТЭК может обнаружить уязвимости, например, старое ПО или неправильную настройку криптографической защиты. Это приведет к тому, что ваша система будет признана не соответствующей требованиям, и вам придется тратить время и деньги на исправление.

Что проверяет ФСТЭК

ФСТЭК (Федеральная служба по техническому и экспортному контролю) занимается тем, что оценивает, насколько эффективно система защищает информацию. Они проверяют технические средства защиты и особенно важны такие моменты, как:

  • Правильность модели угроз: Это когда система оценивает возможные риски, например, кто может получить несанкционированный доступ к данным и каким образом.
  • Технические меры защиты: Это все, что касается установки защитных программ и оборудования, которые препятствуют доступу злоумышленников к вашим данным.

Что проверяет ФСБ

ФСБ (Федеральная служба безопасности) также играет важную роль в аттестации. Основное внимание ФСБ уделяет криптографической защите данных. Это означает, что информация должна быть защищена от перехвата и несанкционированного доступа при передаче, а также храниться в зашифрованном виде. Например, если ваша система использует слабую или устаревшую криптографию, это может стать причиной отказа в аттестации.

Как избежать проблем с данными? Аттестация ИС

Аттестация информационных систем по стандартам безопасности ФСТЭК и ФСБ – это не просто формальность. Это реальный способ избежать утечек данных и других проблем с безопасностью. Проверка системы на уязвимости и соответствие всем нормам поможет вам не только пройти проверку, но и укрепить защиту вашей информации.

Если вы не хотите столкнуться с последствиями утечек данных или попасть под штрафы, важно не только соблюдать требования законодательства, но и обеспечить реальную защиту данных на всех уровнях вашей информационной системы.

Мы понимаем, насколько сложен и важен процесс аттестации и подключения к ГИС, и готовы взять на себя всю головную боль. Мы не просто проводим аттестацию, но и предварительно готовим вашу организацию к сдаче аттестации, обеспечивая полное соответствие всем требованиям безопасности. Включая выполнение всех этапов – от классификации и разработки системы защиты до аттестации и внедрения необходимых средств защиты.

Этапы аттестации

Аттестация — это проверка: насколько ваша информационная система соответствует требованиям по защите данных. Чтобы все прошло гладко, важно понимать, как вообще устроен процесс. Разложим все по шагам.

Подключение к ГИС: этапы аттестации информационных систем для соответствия требованиям ФСТЭК

1. Обследование

На старте специалисты приезжают к вам, чтобы разобраться, какие именно требования нужно соблюсти. Сюда входит:

  • Классификация системы — определяем, какие данные обрабатываются, насколько они важны;
  • Определение набора требований по безопасности — чтобы не защищать сверх меры, но и не недооценить риски.

2. Поставка средств защиты

Когда понятно, какие угрозы актуальны, подбираются и устанавливаются нужные средства защиты информации — антивирусы, межсетевые экраны, системы контроля доступа и т.д.

3. Программа и методики испытаний

Готовится документ, по которому будут проходить испытания. Его:

  • Разрабатывают под конкретную систему;
  • Согласовывают с заказчиком.

4. Аттестационные испытания

Тот самый «экзамен» для системы. Здесь проверяют:

  • Документацию — все ли бумаги на месте и как оформлены;
  • Наличие сотрудников, отвечающих за ИБ;
  • Настройки СЗИ — правильно ли они работают;
  • Знания персонала — насколько люди понимают, как действовать при инцидентах;
  • Организационные меры — инструкции, регламенты, приказы;
  • Защиту от несанкционированного доступа (НСД) — тут все серьезно.

5. Заключение и протоколы

После испытаний:

  • Формируются протоколы;
  • Составляется общее заключение;
  • При необходимости, все это уходит на проверку во ФСТЭК.

6. Аттестат соответствия

Если все пройдено — вы получаете аттестат соответствия. Это официальный документ, подтверждающий, что система защищена как положено.

Почему стоит выбрать нас

  • Мы обладаем лицензиями ФСТЭК России и ФСБ России.
  • В нашей практике более 300 успешно аттестованных объектов.
  • Полное соответствие 152-ФЗ о защите персональных данных.
  • Мы оперативно реагируем на запросы клиентов и готовы выехать в любой регион России.
  • Индивидуальный подход и выполнение проекта «под ключ».

Если вы хотите быть уверены в безопасности вашей системы и правильно пройти аттестацию, обратитесь к нам. Мы сделаем все за вас.

Подключение к ГИС и безопасность данных – это обязательные этапы в рамках законодательство.

Мы поможем вам пройти этот путь правильно.

Подробнее
Персональные данные ГИС Аттестация ИС
Поделиться  

Рейтинг статьи:

3.8

(на основе 4 голосов)

Читайте также

Защита ИСПДн: как минимизировать риски утечек персональных данных

Утечка данных стоит дороже, чем их защита: почему вам нужна грамотная ИТ-инфраструктура

Организационная документация компании: ошибки, которые могут стоить вам репутации

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 512 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ