Аттестация СЗИ

Аттестация
систем защиты
информации

Выполняем полный комплекс работ по технической и криптографической защите информации в соответствии с требованиями приказа ОАЦ № 66

Смотреть этапы работ

защита информации

Требования законодательства

1. Классификация информации

В зависимости от категории доступа информация делится на:

  • общедоступную информацию
  • информацию, распространение и (или) предоставление которой ограничено

К информации, распространение и (или) предоставление которой ограничено, относится:

  • информация о частной жизни физического лица и персональные данные
  • сведения, составляющие государственные секреты
  • служебная информация ограниченного распространения
  • информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну
  • информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда
  • иная информация, доступ к которой ограничен законодательными актами

2. Обязательность аттестации

Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном ОАЦ

Наличие аттестата соответствия является обязательным условием для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, в течение установленного в нем срока

3. Сертифицированные средства защиты

Для создания системы защиты информации используются средства технической и криптографической защиты информации, имеющие:

сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь
или
положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется ОАЦ

4. Защита персональных данных

Одной из обязательных мер по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ, в соответствии с классификацией информационных ресурсов (систем)

К техническим мерам по защите информации относятся:

  • меры по использованию средств технической и криптографической защиты информации
  • меры по контролю защищенности информации

5. Комплекс работ

Работы по технической и криптографической защите информации включают:

1
Проектирование системы защиты информации
2
Создание системы защиты информации
3
Аттестацию системы защиты информации
4
Обеспечение функционирования средств защиты информации в процессе эксплуатации информационной системы
5
Обеспечение защиты информации в случае прекращения эксплуатации информационной системы

6. Ответственность

Персональная ответственность за организацию работ по технической и криптографической защите информации в организации, обеспечение кибербезопасности организации возложена на ее руководителя.

Уголовная ответственность:

  • ст. 203-2. Несоблюдение мер обеспечения защиты персональных данных
  • ст. 425. Бездействие должностного лица
  • ст. 428. Служебная халатность

Административная ответственность:

  • ст. 23.7. Несоблюдение мер обеспечения защиты персональных данных физических лиц
  • ст. 23.11. Нарушение требований по кибербезопасности
  • ст. 23.12. Нарушение требований по кибербезопасности КВОИ

Меры пресечения:

Приостановка обработки персональных данных в информационном ресурсе компании либо блокировка информационного ресурса.

7. Цели злоумышленников

Основная цель злоумышленника – блокирование продуктивной деятельности организации с последующим вымогательством денежных средств.

🔒 Шифрование баз данных
👤 Кража персональных данных
⚠️ Вывод из строя АСУТП
разъяснение требований (pdf)

Надежность и доверие

Преимущества прохождения аттестации

Аттестованная система защиты информации — это инвестиция в безопасность и репутацию вашего бизнеса

01

Соответствие регуляторным требованиям

Прохождение аттестации гарантирует полное соблюдение законодательства в области технической и криптографической защиты информации, включая требования к обработке персональных данных. Это подтверждает легитимность ваших бизнес-процессов для контролирующих органов

02

Надежная система защиты информации

По итогам аттестации вы получаете систему защиты информации, устойчивую к киберугрозам. Это надёжный фундамент кибербезопасности вашего бизнеса

03

Доверие партнёров и доступ к тендерам крупных компаний

Аттестация позволяет компании подтвердить клиентам и партнёрам, что все услуги оказываются с использованием аттестованной системы защиты информации. Как следствие - рост деловой репутации и реальное конкурентное преимущество в коммерческой деятельности

04

Минимизация финансовых и репутационных потерь

Аттестация снижает риски утечек информации, штрафов со стороны регуляторов и вынужденной приостановки деятельности. Это прямая защита бюджета компании и её деловой устойчивости

Этапы выполнения работ

Полный цикл услуг по аттестации системы защиты информации

1

Определение вида информации и классификация. До проведения проектных работ осуществляется отнесение информационной системы (ИС) к соответствующим классам типовых ИС и составляется акт

2

Обследование информационной системы. Формируется отчет, который структурирует данные об ИС и служит опорным документом для всей последующей проектной базы

3

Разработка проекта Политики информационной безопасности. Документ учитывает специфику обработки данных в организации, отражает систему управления ИБ и содержит все обязательные нормативы

4

Проектирование структурной и логической схем ИС. Разрабатываются схемы (с приложениями), в которых отражается вся обязательная информация о технических особенностях системы

5

Разработка технического задания (ТЗ). ТЗ формализует правовые, организационные и технические меры, обязательные при создании и эксплуатации системы защиты

6

Подготовка локальных нормативных актов. Проектируются регламенты и инструкции с учетом ТЗ, включая порядок выявления и реагирования на киберинциденты, а также правила работы с электронной цифровой подписью (ЭЦП)

7

Подготовка спецификации. Формируется перечень необходимых технических и криптографических средств защиты с оценкой их стоимости для планирования бюджета

8

Защита проекта

1

Подбор и реализация средств защиты информации (по согласованию с Заказчиком). Партнерство с ведущими вендорами позволяет нам подбирать оптимальные средства защиты информации и проводить пилотные проекты для оценки их реальной эффективности

2

Внедрение и пусконаладочные работы (по согласованию с Заказчиком). Сертифицированные специалисты выполняют монтаж и настройку средств защиты информации в соответствии с нормативными актами, рекомендациями производителей и требованиями совместимости

3

Комплексная проверка работоспособности. Тщательное тестирование корректности работы средств защиты информации в реальных условиях эксплуатации, их взаимодействия с активами ИС, а также маркировка физических линий связи

4

Актуализация документации. Корректировка структурной и логической схем, а также локальных нормативных актов по результатам фактического внедрения средств защиты с их последующим утверждением

1

Разработка программы и методики аттестации

2

Проверка правильности отнесения информационной системы к классу (классам) типовых информационных систем

3

Установление соответствия фактического состава активов информационной системы структурной и логической схемам информационной системы

4

Проверка достаточности реализованных в системе защиты информации мер по защите информации, в том числе:

  • анализ локальных правовых актов и других организационно-распорядительных документов по вопросам применения системы защиты информации на предмет их соответствия требованиям законодательства об информации, информатизации и защите информации

  • проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по защите информации

  • внешнюю и внутреннюю проверку отсутствия либо невозможности использования нарушителем свойств активов информационной системы, средств защиты информации, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих активов информационной системы, средств защиты информации

  • оценку эффективности защищенности информационной системы классов «3-бг» и (или) «3-дсп» (тестирование на проникновение)

5

Оформление технического отчета и протокола испытаний

6

Оформление аттестата соответствия

Лицензии и сертификаты

Подтверждение нашей компетенции в сфере информационной безопасности

Лицензия ОАЦ

Лицензия ОАЦ

Сертификат СТБ ISO/IEC 27001

Сертификат СТБ ISO/IEC 27001

Сертификат СТБ ISO 9001

Сертификат СТБ ISO 9001

Требуется аттестация системы защиты информации?

Свяжитесь с нами для получения детальной консультации и расчета стоимости работ для вашей организации.

Сайт использует файлы cookie для обеспечения удобства пользователей сайта, его улучшения, предоставления персонализированных рекомендаций.