By continuing to use the site, you consent to the use of cookies
Privacy Policy
Accept
Contact us

Аттестация ГИС "Электронная путевка" под ключ

В соответствии с Требованиями к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров), подключаемых к государственной информационной системе «Электронная путевка» согласованными ФСТЭК России подключаемым туроператорам предстоит аттестовать информационную систему в соответствии с К3.

Туроператору необходимо:

  • Провести инструментальный анализ уязвимостей в ИС;
  • Разработать модель угроз;
  • разработать систему защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка» (Разработка технического задания на создание системы защиты информации и разработка технического проекта на создание системы защиты информации);
  • внедрить систему защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
  • внедрить организационные меры защиты информации на объекте;
  • установить и настроить средства защиты информации на ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
  • провести предварительные испытания системы защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
  • провести опытную эксплуатацию системы защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
  • аттестовать ИС/АРМ внешнего пользователя ГИС «Электронная Путевка» по требованиям защиты информации (не менее К3 приказ №17 ФСТЭК России) (не менее УЗ3 - приказ №21 ФСТЭК России).

Провести аттестацию может организация находящаяся в реестре ФСТЭК.

Реестр лицензий на деятельность по технической защите конфиденциальной информации

Вы можете обратиться к нам за помощью в аттестации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка».

ПОЛУЧИТЬ КОММЕРЧЕСКОЕ ПРЕДЛОЖЕНИЕ

Разберем подробнее об необходимой аттестации:

attestatiya

Аттестация ИС/АРМ внешнего пользователя организуется туроператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации ИС/АРМ внешнего пользователя требованиям приказа ФСТЭК России приказа ФСТЭК России от 11 февраля 2013г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» в соответствии с установленным третьем классом защищенности информационных систем (К3) и требования Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Ввод в действие ИС/АРМ внешнего пользователя ГИС «Электронная Путевка» осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

Для  организации  взаимодействия  ИС/АРМ  внешних  пользователей с ГИС «Электронная путевка», подключаемая ИС должна иметь действующий аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности, а также действующий аттестат (результаты проведенной оценки эффективности), подтверждающий соответствие требованиям безопасности информации, предъявляемым к информационным системам персональных данных третьего уровня защищенности.

Туроператорам необходимо предоставить в адрес эксплуатирующей ГИС «Электронная путевка» Организации скан-копии документов, подтверждающих наличие необходимых средств защиты и выполнение условий согласно настоящим Требованиям в составе:

  • технические паспорта на информационные системы;
  • действующие аттестаты соответствия ИС/АРМ внешних пользователей туроператоров требованиям по безопасности информации;
  • акты установки/настройки средств защиты информации.

По запросу эксплуатирующей ГИС «Электронная путевка» предоставляются иные сведения, подтверждающие выполнение условий согласно настоящим Требованиям.

 

Организационные и технические меры защиты информации, реализуемые в ИС/АРМ внешних пользователей в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно- функциональных характеристик ИС/АРМ внешних пользователей должны обеспечивать:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации; регистрацию событий безопасности;
  • антивирусную защиту;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защиту среды виртуализации; защиту технических средств;
  • защиту информационной системы, ее средств, систем связи и передачи данных.

 

 

Базовый набор организационных мер для ИС/АРМ  внешних  пользователей с ГИС «Электронная путевка» приведен ниже:

  • Приказ об организации обработки и защиты персональных данных;
  • Приказ о назначении ответственного за организацию обработки персональных данных;
  • Приказ о назначении ответственных за обеспечение безопасности информации персональных данных;
  • Приказ о назначении администратора безопасности;
  • Приказ о комиссии по определению уровней защищенности персональных данных, обрабатываемых в информационных системах персональных данных;
  • Приказ об утверждении списка лиц, которым необходим доступ к персональным данным, обрабатываемым в информационных системах персональных данных, для выполнения трудовых обязанностей;
  • Приказ о выделении помещений, в котором производится обработка персональных данных;
  • Правила рассмотрения запросов субъектов персональных данных или их представителей;
  • Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
  • Положение об организации режима безопасности помещений, где осуществляется работа с персональными данными;
  • Порядок резервного копирования информации;
  • Положение о порядке организации и проведения работ по защите персональных данных при их обработке;
  • Положение о защите персональных данных;
  • Правила обработки персональных данных;
  • Положение о порядке хранения и уничтожения носителей персональных данных;
  • План мероприятий по обеспечению защиты персональных данных;
  • Форма журнала по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  • Руководство пользователя;
  • Руководство администратора информационной безопасности;
  • Инструкция администратора;
  • Инструкция по антивирусной защите;
  • Инструкция по парольной защите;
  • Инструкция о порядке обращения с носителями конфиденциальной информации;
  • Форма журнала учета машинных носителей информации;
  • Форма журнала по учету мероприятий по контролю обеспечения защиты персональных данных;
  • Приказ о ведении электронного журнала обращений пользователей;
  • Перечень персональных данных;
  • Перечень информационных систем;
  • Правила работы с обрабатываемыми обезличенными персональными данными;
  • Перечень должностей, ответственных за проведение мероприятий по обезличиванию персональных данных;
  • Типовая форма согласия на обработку персональных данных;
  • Типовая форма обязательства о неразглашении;
  • Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои данные;
  • Памятка по обеспечению режима безопасности в помещении, в котором осуществляется обработка персональных данных;
  • Инструкция по обработке персональных данных без использования средств автоматизации;
  • Политика в отношении обработки персональных данных;
  • Должностная инструкция ответственного за организацию обработки персональных данных.
  • Организация эксплуатации средств криптографической защиты информации
  • Приказ о назначении ответственного за эксплуатацию СКЗИ,
  • утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации;
  • Инструкция ответственного за эксплуатацию средств криптографической защиты информации;
  • Инструкция по порядку обращения с сертифицированными средствами криптографической защиты  информации, предназначенными  для  защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
  • Форма журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
  • Типовая форма акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов;
  • Перечень работников, допущенных к работе с сертифицированными СКЗИ, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
  • Перечень мест хранения СКЗИ;
  • Приказ о назначении лиц, допущенных к работе в информационной системе.

Остались вопросы? Обратитесь к нам!

ПОЛУЧИТЬ КОММЕРЧЕСКОЕ ПРЕДЛОЖЕНИЕ