.PNG)
Аттестация информационных систем
Аттестация ИС по требованиям безопасности информации согласно приказу ФСТЭК № 77. Полный цикл аттестационных испытаний с получением аттестата соответствия и занесением в реестр ФСТЭК.
Описание услуги
Аттестация информационных систем — процедура подтверждения соответствия системы защиты информации установленным требованиям безопасности. Аттестация информационных систем ФСТЭК является обязательной для государственных информационных систем, систем, обрабатывающих государственную тайну, и рекомендуется для информационных систем персональных данных (ИСПДн). Порядок аттестации информационных систем регламентируется приказом ФСТЭК России № 77.
Аттестация информационной системы по требованиям безопасности необходима в следующих случаях: ввод в эксплуатацию государственной информационной системы (приказ ФСТЭК 17/117), обработка персональных данных в ИСПДн (аттестация информационных систем персональных данных по приказу ФСТЭК 21), защита значимых объектов критической информационной инфраструктуры (приказ ФСТЭК 239), обработка информации ограниченного доступа. Аттестация государственных информационных систем является обязательным условием для их ввода в эксплуатацию.
Организации, проводящие аттестацию информационных систем, должны иметь аттестат аккредитации ФСТЭК России. КРЕДО-С имеет аттестат на право проведения аттестационных испытаний и лицензии ФСТЭК и ФСБ России.
Этапы аттестационных испытаний информационных систем:
Предаттестационное обследование — специалисты КРЕДО-С проводят предварительный анализ готовности информационной системы к аттестации. Проверяется наличие и полнота проектной и эксплуатационной документации: модель угроз, технический паспорт информационной системы, акт классификации (определение класса защищённости), техническое задание на систему защиты информации. При выявлении недостатков оказывается помощь в их устранении до начала аттестационных испытаний.
Формирование аттестационной комиссии — создаётся рабочая группа, включающая специалистов аттестационной организации (КРЕДО-С) и представителей заказчика. Разрабатывается программа и методики аттестационных испытаний, определяются объём и последовательность проверок.
Документарная проверка — анализируется полнота и корректность комплекта документов: модель угроз безопасности информации, акт классификации информационной системы, технический паспорт, описание системы защиты информации, должностные инструкции, регламенты безопасности. Проверяется соответствие документации требованиям приказов ФСТЭК 17/117, 21 или 239 (в зависимости от типа системы).
Технический аудит — проверяется фактическая конфигурация средств защиты информации и её соответствие проектным решениям. Проводится инвентаризация установленных СЗИ, проверяется наличие действующих сертификатов ФСТЭК, корректность настроек средств защиты. Анализируется сетевая архитектура, проверяется сегментация, настройки межсетевых экранов, политики контроля доступа.
Тестирование механизмов безопасности — проверяется эффективность реализованных мер защиты: корректность разграничения доступа, работоспособность средств идентификации и аутентификации, функционирование системы регистрации событий безопасности, работа антивирусной защиты, средств обнаружения вторжений. Проводится проверка реагирования на попытки несанкционированного доступа.
Оформление результатов — по результатам аттестационных испытаний составляется протокол с детальным описанием проведённых проверок и их результатов. Формируется заключение о возможности эксплуатации информационной системы. При положительных результатах выдаётся аттестат соответствия информационной системы требованиям безопасности информации.
Срок действия аттестата информационной системы составляет 5 лет, после чего требуется повторная аттестация.
Внесение в реестр ФСТЭК — данные об аттестованной информационной системе вносятся в реестр аттестованных объектов информатизации ФСТЭК России. Для систем, подпадающих под действие приказа ФСТЭК России № 117, дополнительно выполняется расчёт показателя защищённости КЗИ. Стоимость аттестации информационных систем зависит от класса защищённости (К1, К2, К3), количества и территориальной распределённости объектов, состава применяемых средств защиты информации.
Сопровождение после аттестации — КРЕДО-С осуществляет контроль соответствия аттестованной системы установленным требованиям в период действия аттестата. При изменениях в составе СЗИ или архитектуре системы проводятся дополнительные аттестационные испытания для подтверждения сохранения уровня защищённости. Для государственных информационных систем предусмотрено периодическое подтверждение соответствия с направлением протоколов во ФСТЭК.
КРЕДО-С — обладатель лицензии ФСТЭК России на техническую защиту конфиденциальной информации, аттестат аккредитации на проведение аттестационных испытаний. Компания проводит аттестацию информационных систем с 1993 года. За это время аттестовано более 500 информационных систем различных классов защищённости — от К3 до К1, включая системы, обрабатывающие государственную тайну.
Аттестационные испытания проводятся во всех регионах России.
Что входит
- Предаттестационное обследование и анализ готовности ИС
- Формирование аттестационной комиссии и программы испытаний
- Документарная проверка технической и эксплуатационной документации
- Технический аудит конфигурации средств защиты информации
- Тестирование механизмов безопасности и контроля доступа
- Оформление протокола и выдача аттестата соответствия
- Внесение данных в реестр ФСТЭК России
- Расчёт показателя защищённости КЗИ по приказу ФСТЭК №117
- Сопровождение в период действия аттестата
Результаты работы
Преимущества
Аттестат ФСТЭК на право проведения аттестационных испытаний
Более 500 аттестованных информационных систем за 33 года
Опыт аттестации систем всех классов защищённости (К1-К4)
Проведение аттестации во всех регионах России
Сопровождение в период действия аттестата и при повторной аттестации
Проекты по этой услуге
Аттестация АС ФЗД предприятия авиакосмической промышленности
Аттестация автоматизированной системы управления финансовой и закупочной деятельностью (АС ФЗД) предприятия корпорации «Ростех» в рамках 17 приказа ФСТЭК России.
- Выдан аттестат соответствия требованиям безопасности информации ФСТЭК России
- Информационной системе присвоен К3 класс защищённости
- Внедрены сертифицированные СЗИ: Secret Net Studio, Kaspersky, «Сакура», «Континент»
Защита ГИС АИС многофункционального миграционного центра
Комплексная система защиты государственной информационной системы ГБУ КО «ММЦ» — 2 сервера, 53 АРМ — по требованиям ФСТЭК к ГИС.
- Разработана модель угроз и нарушителя ИБ, а также ОРД, регламентирующая процесс обработки защищаемой информации
- Спроектирована и внедрена комплексная система ЗИ в полном соответствии с требованиями ФСТЭК России к ГИС и обработке ПДн
- Реализована двухфакторная аутентификация на АРМ под управлением ОС ALT Linux «Базальт» с RUTOKEN ECP
Аттестация радионавигационной системы диспетчерского управления транспортом
Аттестация автоматизированной радионавигационной системы диспетчерского управления пассажирским транспортом по требованиям приказа ФСТЭК № 17.
- Информационная система аттестована по требованиям приказа ФСТЭК России № 17 (с 2025 г. — приказ ФСТЭК №117)
- Регламентирован процесс обработки конфиденциальной информации
- Внедрено решение по защите информации на 2 серверах, 2 виртуальных серверах и 12 АРМ
Защита федеральной ГИС «Нозологические регистры» Минздрава
Защита двух инсталляций федеральной государственной ИС — 94 сервера в ЦОД Москвы и Новосибирска. Аттестация по ФСТЭК для Минздрава.
- Защищены 94 сервера федеральной ГИС в двух ЦОД (Москва и Новосибирск)
- Внедрена система защиты медицинских персональных данных
- Доработана ОРД и регламенты обработки конфиденциальной информации
Другие услуги
Защита государственных информационных систем
Построение системы защиты ГИС в соответствии с приказом ФСТЭК № 17. Классификация системы, моделирование угроз, разработка технического проекта, внедрение необходимых мер защиты и аттестация.
- Определение класса защищённости государственной информационной системы
- Разработка модели угроз безопасности ГИС с использованием БДУ ФСТЭК
- Формирование базового набора мер защиты информации в ГИС по приказу ФСТЭК 17/117
- Проектирование системы защиты с выбором сертифицированных СЗИ
- и ещё 4...
Защита персональных данных
Приведение обработки персональных данных в соответствие с требованиями 152-ФЗ и приказами ФСТЭК. Аудит ИСПДн, моделирование угроз, разработка документации, внедрение организационных и технических мер защиты.
- Аудит информационных систем персональных данных (ИСПДн)
- Определение уровня защищённости персональных данных (1-4 УЗ)
- Разработка модели угроз безопасности ИСПДн
- Формирование комплекса организационных и технических мер по приказу ФСТЭК 21
- и ещё 4...
Внедрение средств защиты информации
Поставка, установка и настройка сертифицированных средств защиты информации. Работа с решениями: Secret Net, Dallas Lock, ViPNet, Kaspersky, UserGate, С-Терра, Astra Linux и другими.
- Подбор сертифицированных средств защиты информации из реестра ФСТЭК
- Поставка оборудования, программных лицензий и сертификатов ФСТЭК
- Проектирование архитектуры защиты и схем размещения СЗИ
- Установка и первичная настройка средств защиты информации
- и ещё 4...
Часто задаваемые вопросы
Что такое аттестация информационной системы?
Кому обязательна аттестация?
Сколько действует аттестат соответствия?
Как аттестация связана с приказом ФСТЭК №117?
Обсудить ваш проект
Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации