double arrow

Аттестация информационных систем персональных данных



Заключающим шагом организационно-технических мероприятий в учреждении ГКУЗ «ЯНОСДР» будет проведение аттестации ИСПДн, которая должна соответствовать требованиям стандартов или иной нормативно-технической документации по защите информации, утвержденных ФСБ и ФСТЭК России.

На шаге аттестации происходит разработка и согласование методики и программы аттестационных испытаний на соответствие требованиям безопасности информации, которые должны быть зафиксированы в специальном документе - "Аттестате соответствия".

Аттестация в техническом смысле включает в себя проведение аттестационных испытаний внедренной СЗПДн, по итогам которой будет вынесено заключение о получении аттестата соответствия на ИСПДн.

В ходе осуществления аттестационных испытаний используются такие методы проверок как:

· проверка соответствия ИСПДн стандартам по защите информации на базе экспертного решения о полноте и достаточности предложенной документации, по созданию необходимых мер защиты информации в ИСПДн, а также проверка на соответствие реальным условиям эксплуатации требованиям по расположению, монтированию и использованию технических средств ИСПДн.




· проверка всех функций или совокупности функций защиты информации от НСД при помощи тестирующих средств, а также посредством проверочного запуска средств защиты информации от НСД и мониторинг за их осуществлением.

На базе первичных данных по технологии обработки и трансляции информации, системы предоставления доступа персонала к защищенным ресурсам ИСПДн, производится анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками, возможностями доступа к передаваемым и обрабатываемым данным, определяются представляющие опасность факторы и угрозы, уязвимые участки ИСПДн, понижающие степень защиты, полноту и характеристики средств защиты.

В процессе аттестации объекта ИСПДн была проведена:

1. Проверка соответствия представленной первичной информации, документов и положение технологического процесса в момент автоматизированной обработки информации конкретным требованиям размещения, монтирования и эксплуатации ИСПДн, включая в том числе:

· анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками и возможностями доступа к передаваемым и обрабатываемым данным;



· контроль соответствия описания технологического процесса хранения, обработки и передачи защищаемых данных в ИСПДн существующей практике;

· контроль паспортных (исходных) данных на ИСПДн и ее компонентов, обнаружение факторов представляющих опасность, угрозу и уязвимых мест ИСПДн, понижающих степень ее защищенности;

· проверку соответствия заданным требованиям технологических инструкций администраторам безопасности информации, операторам, администраторам, пользователям обособленных подсистем ИСПДн и обслуживающему персоналу;

· конкретизация схемы технологического процесса автоматизированной обработки информации с привязкой к определенным средствам передачи и обработки данных и основному составу персонала.

2. Контроль ИСПДн и ее компонентов на соответствие организационным и техническим стандартам по защите информации, включая:

· контроль полноты представленной документации и соответствия ее требованиям по защите информации;

· контроль соответствия конфигурации программно-технических средств представленных документов;

· контроль верности классификации ОИ;

· контроль степени подготовки персонала и определение и установление степени ответственности между персоналом.

3. При осуществлении аттестационных испытательных работ было сосредоточенно внимание на проверке соответствия ИСПДн требованиям по обеспечению защиты данных от несанкционированного доступа при подготовке согласованного действия ИСПДн с другими сетями.

По завершению всех аттестационных испытаний и контролю на соответствие требованиям по защите информации, можно убедиться, что внедренные средства защиты информации в полной мере соответствуют необходимым требованиям по безопасности персональных данных, регламентируемыми регуляторами, и на основании чего может быть предоставлен аттестат соответствия требованиям безопасности информации на ИСПДн ГКУЗ «ЯНОСДР». С помощью аттестата соответствия подтверждается соответствие стандартам и требованиям регулирующих и надзорных органов, всех принятых мер по обеспечению защиты информации, также «аттестат соответствия» гарантирует, что при обнаружении регуляторами каких угодно нарушений актуальных регламентов, организация-исполнитель работ по аттестации разделит возможные риски вместе с аттестованным учреждением.

 

Заключение

В ходе написания дипломной работы была создана система защиты персональных данных ГКУЗ «ЯНОСДР», а также непосредственно:

1. был проведен осмотр и комплексное исследование автоматизированных рабочих мест и общего состояния организации защиты информации в государственном казенном учреждении здравоохранения «ЯНОСДР».

2. разработан комплект организационно-распорядительной документации, регулирующий весь жизненный цикл процесса обработки персональных данных.

3. разработана проектная документация с описанием структуры защищенной сети.

4. введены в действие сертифицированные и прошедшие порядок оценки соответствия требованиям безопасности средства защиты информации.

5. произведены аттестационные испытания ИСПДн на предмет соответствия требованиям безопасности информации по результатам которого был выдан аттестат соответствия.

Полное осуществление работ по каждому этапу деятельности помогло достичь основной цели выпускной квалификационной работы – привести информационные системы персональных данных автономного учреждения ГКУЗ «ЯНОСДР» в соответствии со всеми современным требованиям законодательной базы Российской Федерации в области обеспечения безопасности ПДн.


СПИСОК ЛИТЕРАТУРЫ

1. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

2. ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированной системы».

3. ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».

4. ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

5. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа».

6. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»

7. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».

8. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении».

9. ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

10. ГОСТ Р ИСО/МЭК 15408-1(2,3)-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

11. ГОСТ Р ИСО/МЭК 15408-2005 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».

12. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

13. ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

14. ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью».

15. Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года.

16. Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года.

17. Нормативно-методический документ «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 18 февраля 2013 года №21.

18. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год.

19. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20.

20. Постановление Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

21. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687.

22. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 года №1203 (с изменениями и дополнениями от 24 января 1998 года №61; от 6 июня 2001 года №659; от 10 сентября 2001 года №1114; от 29 мая 2002 года №518; от 3 марта 2005 года №243; от 11 февраля 2006 года №90).

23. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года).

24. Федеральный закон "О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" от 19 декабря 2005 г. №160-ФЗ.

25. Федеральный закон «О коммерческой тайне» от 29 июля 2004 года №98-ФЗ.

26. Федеральный Закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

27. Федеральный закон «О техническом регулировании» от 27 декабря 2002 года №184-ФЗ (с изменениями от 9 мая 2005 года).

28. Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. №149-ФЗ.

 



Сейчас читают про: