Наша работа - Ваша уверенность
Кейс «Аттестация объектов информатизации МКУ МФЦ г. Ростова-на-Дону»

Аттестация объектов информатизации — это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК РФ.

Почему потребовалась аттестация?

Аттестация в МФЦ потребовалась из-за изменений в законе 152-ФЗ «О персональных данных», ведь в информационной системе персональных данных (ИСПДн) содержится их огромный объем – данные сотрудников и граждан, пользующихся услугами учреждения. Также важный фактор – открытие новых объектов информатизации и необходимость модернизации старых.

Цель и задачи проведения аттестации

Начнем с цели. Это создание и приведение системы защиты персональных данных на объектах информатизации в соответствие требованиям действующего законодательства Российской Федерации в области защиты информации. Аттестация выбрана как способ оценки эффективности принимаемых мер, по обеспечению безопасности персональных данных в соответствии с 21 приказом ФСТЭК.

Были установлены следующие задачи:

—        оценка эффективности средств защиты информации, применяемых в инфраструктуре учреждения;

—        разработка проектов организационно-распорядительной документации;

—        аттестация ИСПДн по требованиям безопасности информации;

—        поставка программного обеспечения для автоматизации формирования и актуализации внутренней документации

—        выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации.

Система управления событиями информационной безопасности (СУС ИБ)

Работа с СУС ИБ – основная работа в кейсе. Напомним для чего предназначена СУС ИБ – для обнаружения, анализа и устранения угроз безопасности раньше, чем они нанесут ущерб предприятию/организации.

Так как в МФЦ идет плотная работа с персональными данными, то защита от их утечки, защита от угроз является первоочередной.

Общие задачи, которые решает СУС ИБ:

  • сбор, обработка, отображение и долгосрочное хранение информации о событиях и подозрениях на инциденты информационной безопасности, выявляемых в инфраструктуре заказчика;
  • предоставление инструментов для анализа событий и расследования инцидентов информационной безопасности, в том числе, масштабных инцидентов ИБ, затрагивающие несколько территориальных подразделений;
  • предоставление исходной информации для определения влияния события или подозрения на инцидент ИБ на ИТ-сервисы.

  • СУС ИБ строится как единая система с иерархической функциональной структурой и централизованным пунктом управления и являться составной частью информационно-телекоммуникационной системы заказчика.

    Также СУС ИБ обеспечивает сохранность данных при возникновении аварийной ситуации с программно-техническими комплексами СУС ИБ путем резервного копирования и восстановления данных и программного обеспечения. Для этого информационные ресурсы СУС ИБ включаются в контур существующих систем резервного копирования.

    СУС ИБ включает в себя 7 подсистем:

  • подсистема сбора и обработки событий ИБ;
  • подсистема хранения событий ИБ;
  • подсистема корреляции событий ИБ;
  • подсистема поиска событий и подозрений на инциденты ИБ;
  • подсистема регистрации инцидентов ИБ;
  • подсистема информационной безопасности;
  •  подсистема управления.
  • Этапы реализации проекта

    Было определено 4 этапа работ.

    1. Информационно-техническое обследование ИСПДн и разработка частной модели угроз безопасности.
    2. Передача прав на программное обеспечение (в том числе на продление лицензий) СУС ИБ.
    3. Внедрение СУС ИБ.
    4. Доработка организационно-распорядительной документации, доработка средств защиты информации всех уровней.
    5. Аттестационные испытания и разработка аттестационной документации.

    Заключение

    По выполнении работ система защиты информации на объектах заказчика приведена в соответствие с законодательством и регулирующими работу с данными приказами ФСТЭК, ФСБ. Весь пакет аттестационной документации, а так же аттестатов соответствия передан заказчику.

    Проведена необходимая разъяснительная работа с ответственными сотрудниками.

    Если у вас горят сроки получения аттестата или планируете проводить аттестацию объектов информатизации – свяжитесь с нами. ООО «Рубикон» имеет достаточный опыт работы в этом направлении, а так же является лицензиатом ФСТЭК на проведение работ такого вида.

    Поиск
    Мы в соцсетях
    Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
    Дзен-канал компании «Рубикон»
    Услуги

    Подпишитесь на получение новостей

    Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

    Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

    Принять