Аттестация ГИС "Электронная путевка" под ключ
В соответствии с Требованиями к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров), подключаемых к государственной информационной системе «Электронная путевка» согласованными ФСТЭК России подключаемым туроператорам предстоит аттестовать информационную систему в соответствии с К3.
Туроператору необходимо:
- Провести инструментальный анализ уязвимостей в ИС;
- Разработать модель угроз;
- разработать систему защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка» (Разработка технического задания на создание системы защиты информации и разработка технического проекта на создание системы защиты информации);
- внедрить систему защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
- внедрить организационные меры защиты информации на объекте;
- установить и настроить средства защиты информации на ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
- провести предварительные испытания системы защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
- провести опытную эксплуатацию системы защиты информации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка»;
- аттестовать ИС/АРМ внешнего пользователя ГИС «Электронная Путевка» по требованиям защиты информации (не менее К3 приказ №17 ФСТЭК России) (не менее УЗ3 - приказ №21 ФСТЭК России).
Провести аттестацию может организация находящаяся в реестре ФСТЭК.
Реестр лицензий на деятельность по технической защите конфиденциальной информации
Вы можете обратиться к нам за помощью в аттестации ИС/АРМ внешнего пользователя ГИС «Электронная Путевка».
ПОЛУЧИТЬ КОММЕРЧЕСКОЕ ПРЕДЛОЖЕНИЕ
Разберем подробнее об необходимой аттестации:
Аттестация ИС/АРМ внешнего пользователя организуется туроператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации ИС/АРМ внешнего пользователя требованиям приказа ФСТЭК России приказа ФСТЭК России от 11 февраля 2013г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» в соответствии с установленным третьем классом защищенности информационных систем (К3) и требования Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Для организации взаимодействия ИС/АРМ внешних пользователей с ГИС «Электронная путевка», подключаемая ИС должна иметь действующий аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности, а также действующий аттестат (результаты проведенной оценки эффективности), подтверждающий соответствие требованиям безопасности информации, предъявляемым к информационным системам персональных данных третьего уровня защищенности.
Туроператорам необходимо предоставить в адрес эксплуатирующей ГИС «Электронная путевка» Организации скан-копии документов, подтверждающих наличие необходимых средств защиты и выполнение условий согласно настоящим Требованиям в составе:
- технические паспорта на информационные системы;
- действующие аттестаты соответствия ИС/АРМ внешних пользователей туроператоров требованиям по безопасности информации;
- акты установки/настройки средств защиты информации.
По запросу эксплуатирующей ГИС «Электронная путевка» предоставляются иные сведения, подтверждающие выполнение условий согласно настоящим Требованиям.
Организационные и технические меры защиты информации, реализуемые в ИС/АРМ внешних пользователей в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно- функциональных характеристик ИС/АРМ внешних пользователей должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации; регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность информационной системы и информации;
- доступность информации;
- защиту среды виртуализации; защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.
Базовый набор организационных мер для ИС/АРМ внешних пользователей с ГИС «Электронная путевка» приведен ниже:
- Приказ об организации обработки и защиты персональных данных;
- Приказ о назначении ответственного за организацию обработки персональных данных;
- Приказ о назначении ответственных за обеспечение безопасности информации персональных данных;
- Приказ о назначении администратора безопасности;
- Приказ о комиссии по определению уровней защищенности персональных данных, обрабатываемых в информационных системах персональных данных;
- Приказ об утверждении списка лиц, которым необходим доступ к персональным данным, обрабатываемым в информационных системах персональных данных, для выполнения трудовых обязанностей;
- Приказ о выделении помещений, в котором производится обработка персональных данных;
- Правила рассмотрения запросов субъектов персональных данных или их представителей;
- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- Положение об организации режима безопасности помещений, где осуществляется работа с персональными данными;
- Порядок резервного копирования информации;
- Положение о порядке организации и проведения работ по защите персональных данных при их обработке;
- Положение о защите персональных данных;
- Правила обработки персональных данных;
- Положение о порядке хранения и уничтожения носителей персональных данных;
- План мероприятий по обеспечению защиты персональных данных;
- Форма журнала по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- Руководство пользователя;
- Руководство администратора информационной безопасности;
- Инструкция администратора;
- Инструкция по антивирусной защите;
- Инструкция по парольной защите;
- Инструкция о порядке обращения с носителями конфиденциальной информации;
- Форма журнала учета машинных носителей информации;
- Форма журнала по учету мероприятий по контролю обеспечения защиты персональных данных;
- Приказ о ведении электронного журнала обращений пользователей;
- Перечень персональных данных;
- Перечень информационных систем;
- Правила работы с обрабатываемыми обезличенными персональными данными;
- Перечень должностей, ответственных за проведение мероприятий по обезличиванию персональных данных;
- Типовая форма согласия на обработку персональных данных;
- Типовая форма обязательства о неразглашении;
- Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои данные;
- Памятка по обеспечению режима безопасности в помещении, в котором осуществляется обработка персональных данных;
- Инструкция по обработке персональных данных без использования средств автоматизации;
- Политика в отношении обработки персональных данных;
- Должностная инструкция ответственного за организацию обработки персональных данных.
- Организация эксплуатации средств криптографической защиты информации
- Приказ о назначении ответственного за эксплуатацию СКЗИ,
- утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации;
- Инструкция ответственного за эксплуатацию средств криптографической защиты информации;
- Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
- Форма журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
- Типовая форма акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов;
- Перечень работников, допущенных к работе с сертифицированными СКЗИ, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
- Перечень мест хранения СКЗИ;
- Приказ о назначении лиц, допущенных к работе в информационной системе.
Остались вопросы? Обратитесь к нам!