Наша работа - Ваша уверенность

Аттестация объектов информатизации МКУ МФЦ г. Ростова-на-Дону

Аттестация объектов информатизации — это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ.

Почему потребовалась аттестация?

Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых.

Цель и задачи проведения аттестации

Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты информации. Аттестация выбрана как способ оценки эффективности принимаемых мер, по обеспечению безопасности персональных данных в соответствии с 21 приказом ФСТЭК.

Были установлены следующие задачи:

—        оценка эффективности средств защиты информации, применяемых в инфраструктуре учреждения;

—        разработка проектов организационно-распорядительной документации;

—        аттестация ИСПДн по требованиям безопасности информации;

—        поставка программного обеспечения для автоматизации формирования и актуализации внутренней документации

—        выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации.

Система управления событиями информационной безопасности (СУС ИБ)

Работа с СУС ИБ – основная работа в кейсе. Напомним для чего предназначена СУС ИБ – для обнаружения, анализа и устранения угроз безопасности раньше, чем они нанесут ущерб предприятию/организации.

Так как в МФЦ идет плотная работа с персональными данными, то защита от их утечки, защита от угроз является первоочередной.

Общие задачи, которые решает СУС ИБ:

  • сбор, обработка, отображение и долгосрочное хранение информации о событиях и подозрениях на инциденты информационной безопасности, выявляемых в инфраструктуре заказчика;
  • предоставление инструментов для анализа событий и расследования инцидентов информационной безопасности, в том числе, масштабных инцидентов ИБ, затрагивающие несколько территориальных подразделений;
  • предоставление исходной информации для определения влияния события или подозрения на инцидент ИБ на ИТ-сервисы.


    • СУС ИБ строится как единая система с иерархической функциональной структурой и централизованным пунктом управления и являться составной частью информационно-телекоммуникационной системы заказчика.

    Также СУС ИБ обеспечивает сохранность данных при возникновении аварийной ситуации с программно-техническими комплексами СУС ИБ путем резервного копирования и восстановления данных и программного обеспечения. Для этого информационные ресурсы СУС ИБ включаются в контур существующих систем резервного копирования.

    СУС ИБ включает в себя 7 подсистем:

  • подсистема сбора и обработки событий ИБ;
  • подсистема хранения событий ИБ;
  • подсистема корреляции событий ИБ;
  • подсистема поиска событий и подозрений на инциденты ИБ;
  • подсистема регистрации инцидентов ИБ;
  • подсистема информационной безопасности;
  •  подсистема управления.

    • Этапы реализации проекта

    Было определено 4 этапа работ.

    1. Информационно-техническое обследование ИСПДн и разработка частной модели угроз безопасности.
    2. Передача прав на программное обеспечение (в том числе на продление лицензий) СУС ИБ.
    3. Внедрение СУС ИБ.
    4. Доработка организационно-распорядительной документации, доработка средств защиты информации всех уровней.
    5. Аттестационные испытания и разработка аттестационной документации.

    Заключение

    По выполнении работ система защиты информации на объектах заказчика приведена в соответствие с законодательством и регулирующими работу с данными приказами ФСТЭК, ФСБ. Весь пакет аттестационной документации, а так же аттестатов соответствия передан заказчику.

    Проведена необходимая разъяснительная работа с ответственными сотрудниками.

    Если у вас горят сроки получения аттестата или планируете проводить аттестацию объектов информатизации – свяжитесь с нами. ООО «Рубикон» имеет достаточный опыт работы в этом направлении, а так же является лицензиатом ФСТЭК на проведение работ такого вида.

    Теги

    ГИСЗОКИИПЕНТЕСТИСПДнЛВС

    Мы в соцсетях
    Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
    Дзен-канал компании «Рубикон»

    Создание системы обеспечения информационной безопасности ЗОКИИ АО «Донэнерго»

    Создание системы обеспечения информационной безопасности ЗОКИИ АО «Донэнерго» ОА «Донэнерго» является субъектом значимых объектов КИИ. При реализации проекта важно было учитывать, что заказчик имеет 10 филиалов, расположенных по Ростовской области. Это значит что важно не только обеспечить безопасность всех ЗО КИИ, но и не нарушить взаимодействие между ними.

    Пентест: анализ защищенности внутренних и внешних ресурсов

    Анализ защищенности внутренних и внешних ресурсов Реализованный в 2023 году проект по оценка защищённости внешних и внутренних информационных ресурсов компании от угроз, связанных с намеренными действиями физических лиц. В результате проведенных работ заказчик получил подробный отчет о выявленных ИБ-уязвимостях, а также комплекс рекомендаций по их устранению.

    Аттестация областной градостроительной ГИС

    Аттестация областной градостроительной ГИС Провели работы по построению системы безопасности ГИС в соответствии с приказом ФСТЭК № 17 и выдали аттестат соответствия требованиям защиты информации, предъявляемым к государственным информационным системам третьего класса защищенности и четвертого уровня защищенности персональных данных.

    Создание системы защиты персональных данных

    Создание системы защиты персональных данных Проект по заказу Региональной службы по тарифам Ростовской области. Построили систему защиты персональных данных, обрабатываемых информационной системой. Проведена аттестация информационной системы на соответствие требованиям законодательства по защите информации.

    Проект системы ГИС «Современная цифровая образовательная среда

    Проект системы ГИС «Современная цифровая образовательная среда Проект по развитию ГИС «СЦОС» в части информационной безопасности заключался в приведении системы защиты информации в соответствие с законодательством РФ. Доработали модель угроз и технический проект на подсистему ИБ, разработали техзадание по модернизации системы ИБ, провели аттестационные испытания ГИС.

    Модернизация информационно-телекоммуникационной сети АО «Донэнерго»

    Модернизация информационно-телекоммуникационной сети АО «Донэнерго» Построили СЗИ на уровне приложений и систему управления событиями ИБ, имеющую интеграцию с с личным кабинетом ГосСОПКА. Разработали документацию по работе СУС ИБ, провели тестирование системы и ввели ее в эксплуатацию. Дополнительно предоставили заказчику рекомендации по необходимому штату сотрудников, требования к их квалификации для работы с новыми средствами безопасности.

    Модернизации системы защиты информационной системы «ЕАС УОФ в Ростовской области»

    Модернизации системы защиты информационной системы «ЕАС УОФ в Ростовской области» Осуществили весь спектр работ по модернизации СЗИ: от обследования до подбора и установки необходимых средств защиты. Провели аттестацию системы на соответствие законодательству. Совместно с заказчиком разработали методические рекомендации по распространению аттестата соответствия «ЕАС УОФ в Ростовской области» на сегменты единой автоматизированной системы управления общественными финансами в Ростовской области и регламент подключения к системе для новых участников.

    Аттестация ГИС-МЭВ Администрации города Ростова-на-Дону

    Аттестация ГИС-МЭВ Администрации города Ростова-на-Дону ГИС-МЭВ предназначена для автоматизации процесса межведомственного электронного взаимодействия подразделений Администрации города Ростова-на-Дону при предоставлении государственных и муниципальных услуг в электронной форме. В данном кейсе выполнили комплекс работ по созданию системы защиты информации, а также выдали аттестат соответствия с законодательством РФ.

    Подпишитесь на получение новостей

    Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

    Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

    Принять