Аттестация по требованиям безопасности информации ФСТЭК — что это
Федеральная служба технического и экспортного контроля – режимное секретное подразделение, которое взаимодействует с информацией, имеющей отношение к государственной тайне.
Она же оказывает режимное секретное обслуживание организаций. Контролирует работы, имеющие отношение к гостайне. Для того, чтобы такие работы проводить, требуется соответствующая аттестация оборудования и АС по информационной безопасности. Она регламентируется государственными нормами в ФЗ-152.
Аттестация ФСТЭК проводится компанией https://ec-as.ru/.
Особенности аттестации
Обязательной процедуре подлежат:
- Автоматизированные системы (АС), которые обрабатывают данные, содержащие элементы государственной тайны.
- Системы управления объектами, представляющими экологическую опасность.
- Процедуры и документация, с которыми будут вестись секретные переговоры.
Аттестуются все держатели систем, включая физических и юридических лиц, индивидуальных предпринимателей.
Другие разновидности систем и процедур могут аттестоваться на добровольной основе.
При этом инициироваться заказчиками или владельцами АС.
Аттестация представляет собой оценку систем защиты информации (СЗИ), насколько они соответствуют нужному уровню секретности данных. Их устанавливает сам регулятор по режимности информационных структур – ФСТЭК.
Полученный документ подтверждает соблюдение безопасности системой, организацией или лицом, с федеральным подтверждением.
Предмет тестирования
Аттестации подвергаются следующие системы работ с информацией:
- В Центрах обработки данных – алгоритмы построения до того, как развертывается операционная система.
- Серверные элементы – физические серверы, входящие в систему.
- Технические средства пользователей – которые переправляют данные через информационные каналы.
- Общая аттестация информационных систем.
Заказчик аттестационных тестирований обязан предоставлять пакет со следующими документами:
- Актом распределения по классам;
- Организационной и распорядительной документацией;
- Моделями угроз в виде технического задания, технического проекта.
Вся документация должна обновляться на момент проведения аттестации.
Чем грозит не аттестация
Для государственных организаций ее обязательность регулируется президентскими указами, актами ФСБ и ФСТЭК, Роскомнадзора. В том случае, когда требования игнорируются, накладываются административные штрафы.
Не сертифицированные СЗИ конфискуются.
Коммерческие организации пока не подпадают под обязательную аттестацию.
Твитнуть