Аттестация систем защиты информации

ООО «ИТТАС» осуществляет работы по аттестации систем защиты информации (далее - СЗИ) информационных систем в соответствии со специальным разрешением (лицензией) Оперативно-аналитического центра при Президенте Республики Беларусь № 01019/312 от 29 апреля 2015г.

Аттестация, как комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия.

Необходимость проведения мероприятий по аттестации, как оценки соответствия СЗИ информационных систем требованиям нормативных правовых актов Республики Беларусь в области защиты информации, в том числе технических нормативных правовых актов, определена:

  • Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» в редакции Закона Республики Беларусь от 4 января 2014 года «О внесении изменений и дополнений в Закон Республики Беларусь «Об информации, информатизации и защите информации»;
  • Положением о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 в редакции приказа ОАЦ от 16.01.2015 № 64;
  • Положением о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации, утвержденным приказом ОАЦ от 30.08.2013 № 62;
  • Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденным приказом ОАЦ от 30.08.2013 № 62 в редакции приказа ОАЦ от 16.01.2015 №64;
  • Положением о технической и криптографической защите информации, утвержденным Указом Президента Республики Беларусь от 16.04.2013 № 196 «О некоторых мерах по совершенствованию защиты информации».

Состав работ по оценке системы защиты информации

Перечень работ по аттестации системы защиты информации определен Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденным приказом ОАЦ от 30.08.2013 № 62 в редакции приказа ОАЦ от 16.01.2015 №64 (Положение об аттестации) и включает в себя:

  • анализ исходных данных, перечень которых определен Приложением 2 к Положению об аттестации;
  • предварительное ознакомление с информационной системой и системой защиты информации;
  • разработку программы и методики аттестации;
  • проведение обследования информационной системы и системы защиты информации;
  • проверку правильности отнесения информационной системы к классу типовых информационных систем, выбора и применения средств защиты информации;
  • анализ состава и структуры комплекса технических средств и программного обеспечения информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации;
  • анализ разработанной документации и локальных нормативных правовых актов собственника (владельца) информационной системы на предмет их соответствия требованиям законодательства об информации, информатизации и защите информации, в том числе техническим нормативным правовым актам;
  • закрепление ответственности персонала за организацию и обеспечение выполнения требований по защите информации;
  • проведение испытаний системы защиты информации на предмет выполнения установленных требований безопасности и корректности функционирования данной системы;
  • проверку отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств;
  • оформление технического отчета и протокола испытаний;
  • оформление аттестата соответствия.

ООО «ИТТАС» имеет опыт аттестации систем защиты информации информационных систем класса 4-фл, 4-юл, 4-дсп, 3-фл, 3-юл, 3-дсп (в соответствии с положениями документа СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация»).