Выполнение установленных законодательством Российской Федерации требований о защите информации и наличие действующего аттестата соответствия государственной информационной системы по требованиям защиты информации является обязательным условием для эксплуатации и ввода системы (или очереди системы) в эксплуатацию (см. пп.15, 19_1 Требований, утвержденных Постановлением Правительства РФ от 6 июля 2015 года № 676).

В подавляющем большинстве случаев операторы государственных информационных систем либо относятся к этому вопросу формально, либо не предусматривают в государственных контрактах последующее сопровождение аттестованных информационных систем. У операторов зачастую отсутствуют штатные специалисты, что не позволяет поддерживать систему защиты информации и выполнять все процессы по защите информации в полном объеме.

При этом развитие самих государственных информационных систем не стоит на месте, инфраструктура модернизируется, возникают новые уязвимости и угрозы, появляются новые пользователи, а мероприятия, связанные с управлением конфигурацией, настройкой и обновлением средств защиты, а также повышением осведомленности, должным образом не выполняются.

ООО «АСЭСТИК ИБТ» предлагает услуги по комплексному сопровождению защиты информации в ходе эксплуатации аттестованной информационной системы. В общем случае услуга может включать в себя следующие мероприятия:

  1. Обследование текущего состояния системы защиты информации и документационного обеспечения по вопросам защиты информации, определение лиц, ответственных за защиту информации и распределения обязанностей между ними.
  2. Анализ (пересмотр) актуальных угроз безопасности информации, оперативное информирование о наличии угроз безопасности, планирование и контроль принятия мер по их устранению
  3. Актуализация документации по защите информации при внесении изменений в конфигурацию информационной системы, возникновении новых актуальных угроз безопасности информации и изменениях в нормативных-правовых актах по защите информации.
  4. Сопровождение процедур управления изменениями информационной системы и ее системы защиты информации, поддержание в актуальном состоянии правил разграничения доступа, управление средствами защиты информации, обновлением программного обеспечения информационной системы и средств защиты информации.
  5. Организация процесса мониторинга и анализа зарегистрированных событий безопасности.
  6. Информирование, контроль осведомленности персонала по вопросам защиты информации, организация практических занятий и тренировок с персоналом.
  7. Проведение процедур периодического контроля (материалы, по которым необходимо направлять во ФСТЭК России не реже одного раза в два года) за обеспечением уровня защищенности информации, дополнительных аттестационных испытаний или повторной аттестации информационной системы.

Преимущества ООО «АСЭСТИК ИБТ»:

  • команда экспертов с реальным многолетним опытом проведения аттестаций и последующей поддержки аттестованных информационных систем;
  • успешный опыт решения множества проблем, связанных с непрерывным развитием и модернизацией информационных систем и необходимостью обеспечения заданного уровня защиты информации;
  • акцент на ключевых вопросах защиты информации и гармоничное встраивание оказываемых услуг в процессы оператора информационной системы;
  • нашими руками вы можете решить свои проблемы нехватки кадров и получите независимую информацию о состоянии защищенности и дорожную карту требуемых действий
  • учитываем потребности бизнеса и формируем для руководства наглядную систему измерений и метрик состояния защиты информации информационной системы и выполнения требований законодательства по вопросам защиты информации.

Услуга может оказываться как на длительной и постоянной основе, так и предусматривать периодический контроль.

  1. Защищенность информационной системы (средства защиты информации, выполнение ими функциональных требований и обновления, работа с уязвимостями).
  2. Правила и процедуры по защите информации (наличие, соблюдение и развитие).
  3. Документационное обеспечение (актуальность, ведение документации и актуализация).
  4. Осведомленность персонала (наличие ответственных, контроль осведомленности, практические занятия).
  5. Подтверждение соответствия (внесение изменений в технический паспорт, наличие протоколов контроля защиты информации, материалов дополнительных аттестационных испытаний или повторной аттестации).

Расходование бюджетных средств для обеспечения эксплуатации государственной информационной системы, не имеющей действующего аттестата соответствия требованиям защиты информации, может являться признаком правонарушения в соответствии с УК РФ Статья 285.1. Нецелевое расходование бюджетных средств, предусматривающей лишение свободы на срок до пяти лет.

На руководителей организации, подпадающих под требования Указа Президента Российской Федерации от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» предусматривается персональная ответственность за обеспечение информационной безопасности (статьи 274.1 УК РФ и 13.12 КоАП).

Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия (п.18 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных Приказом ФСТЭК России от 11 февраля 2013 года № 17):

  • планирование мероприятий по защите информации в информационной системе;
  • анализ угроз безопасности информации в информационной системе;
  • управление (администрирование) системой защиты информации информационной системы;
  • управление конфигурацией информационной системы и ее системой защиты информации;
  • реагирование на инциденты;
  • информирование и обучение персонала информационной системы;
  • контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.

При эксплуатации аттестованного объекта информатизации не допускается (Приложение № 4 к Порядку организации и проведения работ по аттестации объектов информатизации, утвержденному приказом ФСТЭК России от 29 апреля 2021 года № 77):

  • вносить несанкционированные изменения в конфигурацию программных, программно-технических средств, средств защиты информации;
  • осуществлять несанкционированную замену программных, программно-технических средств, средств защиты информации на аналогичные средства;
  • вносить изменения в архитектуру системы защиты информации, изменять состав, структуру системы защиты информации;
  • проводить обработку информации в случае приостановки действия аттестата соответствия в соответствии с решением ФСТЭК России;
  • проводить обработку информации в случае обнаружения неисправностей в системе защиты информации объекта информатизации;
  • проводить обработку информации в случае обнаружения инцидента безопасности.

Оставьте заявку на получение консультации наших специалистов и расчет стоимости услуги: