Провести аттестацию «под ключ»
Государственные информационные системы
Информационные системы персональных данных
Медицинские информационные системы
Муниципальные информационные системы
Информационные системы образования
Корпоративные информационные системы
Подготовка ИС к подключению с соблюдением требований по защите информации.
Проведение комплекса работ для подтверждения соответствия установленным мерам защиты.
Снижение рисков получения замечаний при проверках.
Сопровождение изменений в составе ИС и актуализация аттестационных материалов.
Поддержание актуальности документов и соответствия требованиям после ввода системы в эксплуатацию.
Помощь в своевременном прохождении всех этапов подготовки.
Обследование информационной системы
Разработка документации и технического задания
Поставка и настройка средств защиты
Анализ уязвимости проведения аттестационных испытаний
Выдача аттестата соответствия
Провести аттестацию «под ключ»
Подготовить систему к аттестации
Выполнить анализ защищённости
Разработать комплект документов
Подобрать средства защиты информации
Провести контроль защищенности
Выполнить переаттестацию
Комплексный подбор оборудования и сопутствующих решений под вашу задачу
В обязательном порядке государственная аттестация информационных систем требуется для всех государственных информационных систем (ГИС) федерального, регионального и местного уровней на основании требований федерального законодательства.
Также данная процедура обязательна для информационных систем персональных данных (ИСПДН), если они развернуты внутри государственных органов, напрямую взаимодействуют с государственными цифровыми платформами или функционируют в коммерческих организациях с жесткими отраслевыми требованиями по безопасности.
Кроме того, под эти правила подпадают значимые объекты критической информационной инфраструктуры, которые одновременно обладают статусом ГИС или интегрированы с государственными сервисами.
Таким образом, если ваша организация работает в государственном секторе, обрабатывает личные данные граждан в регулируемых сферах или использует защищенные каналы связи ведомств, то аттестация ГИС или комплексная аттестация ИСПДН является неотъемлемым условием для легитимной эксплуатации вашей ИТ-инфраструктуры.
Итоговая стоимость процедуры под названием аттестация информационных систем никогда не бывает фиксированной, так как она рассчитывается индивидуально под каждый конкретный проект.
Цена напрямую зависит от масштаба и сложности инфраструктуры, включая класс защищенности ГИС или уровень защищенности ИСПДН, общее количество автоматизированных рабочих мест, состав серверного оборудования и перечень внедряемых средств защиты информации. Для малых систем, насчитывающих до двадцати рабочих мест, начальная стоимость стартует примерно от двухсот тысяч рублей.
Защита и проверка средних систем в пределах ста рабочих мест обходится организациям в сумму от трехсот до шестисот тысяч рублей. В свою очередь, для крупных, географически распределенных ГИС и ИСПДН стоимость комплексных работ может существенно превышать один миллион рублей, поскольку в нее закладывается детальный аудит, проектирование систем защиты, разработка ОРД и финальные испытания лицензиатом ФСТЭК России.
Для того чтобы успешно запустить и завершить такой регламентированный процесс, как аттестация информационных систем, владельцу инфраструктуры необходимо сформировать внушительный пакет организационно-распорядительной и технической документации. В этот обязательный перечень входят техническое задание на создание или модернизацию системы защиты, действующая и согласованная модель угроз и нарушителя безопасности информации, а также подробный технический паспорт на аттестуемый объект информатизации.
Дополнительно требуются официальные акты классификации ГИС и определения уровня защищенности ИСПДН, должностные инструкции для администраторов безопасности и пользователей, а также регламенты резервного копирования и оперативного реагирования на инциденты.
Без наличия этих документов полноценная аттестация ГИС или аттестация ИСПДН не может быть начата, поэтому компетентные органы по аттестации обычно берут разработку или актуализацию данных материалов на себя в рамках первого этапа работ.
Сроки проведения всех необходимых мероприятий зависят исключительно от текущей готовности информационной системы и степени укомплектованности документации. В среднем весь цикл выполнения работ занимает от одного до четырех месяцев.
Если защищаемая система является полностью типовой, а все документы заранее приведены в идеальный порядок, то аттестация ИСПДН или аттестация ГИС может быть завершена в ускоренном режиме примерно за один месяц.
Заблаговременная подготовка информационной системы не просто возможна, но и настоятельно рекомендуется всеми ведущими экспертами отрасли.
Предварительный аудит и плановая предаттестационная подготовка ИС позволяют выявить критические уязвимости в архитектуре, некорректные настройки программного обеспечения или пробелы в организационно-распорядительных документах задолго до официального начала проверок.
Своевременное приведение инфраструктуры в полное соответствие жестким требованиям регуляторов гарантирует, что итоговая аттестация информационных систем пройдет гладко, без получения отрицательных заключений, срыва сроков и необходимости экстренных переделок в процессе испытаний.
Аккредитованный лицензиат ФСТЭК России имеет полное право зайти на объект заказчика исключительно для проведения финального этапа, то есть для выполнения самих аттестационных испытаний.
Однако такой изолированный формат сотрудничества возможен только в том случае, если владелец на сто процентов уверен в своей инфраструктуре, у него корректно разработана и согласована модель угроз, развернуты сертифицированные средства защиты, а пакет документов полностью укомплектован.
В противном случае, если в ходе испытаний эксперты обнаружат серьезные несоответствия или уязвимости, аттестация ИСПДН или ГИС будет официально приостановлена, а компании придется тратить время и ресурсы на экстренное устранение замечаний.
Большинство аккредитованных органов по аттестации предпочитают работать по принципу полного цикла или под ключ. Если в процессе проведения предварительного аудита или самих испытаний выявляются какие-либо несоответствия, например, незакрытые уязвимости или ошибки в политиках межсетевого экранирования, эксперты выдают детальные рекомендации и помогают оперативно донастроить систему.
В рамках таких комплексных проектов аттестация ГИС и аттестация ИСПДН сопровождаются непрерывной технической и методической поддержкой заказчика вплоть до момента успешного внесения готового аттестата в официальный реестр ФСТЭК России.
Да, работаем со всеми регионами России.
Согласно действующему Порядку организации и проведения работ, для систем конфиденциальной информации и коммерческих ИСПДН аттестат соответствия выдается на весь срок эксплуатации данного объекта информатизации.
Для государственных систем ситуация аналогична, однако для них законодательно установлены строгие требования по регулярности контроля. Владелец аттестованной системы обязан проводить периодический контроль эффективности защиты информации силами лицензиата, причем для ГИС первого класса эта процедура обязательна не реже одного раза в год, а для ГИС второго и третьего классов — не реже одного раза в два года.
По этой причине формально аттестация ГИС считается бессрочной, но она требует постоянного периодического подтверждения защищенности, без которого действие выданного аттестата может быть приостановлено надзорным органом.
Любая модернизация инфраструктуры, будь то добавление новых серверов, смена программных средств защиты, подключение дополнительных каналов связи или изменение состава обрабатываемых данных, напрямую влияет на общий уровень безопасности.
При незначительных технических изменениях владелец обязан оперативно внести корректировки в технический паспорт ИС и провести дополнительные испытания силами аттестатора.
Если же проводимые изменения носят масштабный характер, затрагивают базовую архитектуру или меняют класс защищенности, то потребуется повторная аттестация информационных систем в части обновленных компонентов, чтобы подтвердить, что аттестация ИСПДН или ГИС полностью сохраняет свою законную силу.
Проведение независимой оценки соответствия в форме декларирования или приемочных испытаний является вполне стандартной и доступной процедурой. Например, для ИСПДН, не имеющих статуса государственных, обязательная аттестация ИСПДН по закону может быть официально заменена добровольным декларированием соответствия требованиям по безопасности.
Аттестующая организация может провести аудит и выдать экспертное заключение об оценке соответствия, однако важно помнить, что для полноценных государственных систем замена испытаний обычной декларацией недопустима, и в этом случае строго необходима официальная аттестация ГИС с последующей выдачей аттестата соответствия.