Автор: Надежда Скакун
-
Аттестация защищаемого помещения по требованиям ФСТЭК России: руководство по соблюдению регуляторных норм
В условиях современного информационного обмена защита конфиденциальной информации становится критически важной задачей для организаций любого профиля. Одним из ключевых элементов системы защиты информации (СЗИ) является обеспечение безопасности помещений, где ведутся конфиденциальные переговоры или обрабатываются сведения ограниченного доступа. Процедура подтверждения соответствия таких помещений установленным требованиям называется аттестацией. Данная статья призвана разъяснить регуляторные требования к аттестации защищаемых…
-
Аттестация объектов критической информационной инфраструктуры: руководство по соблюдению регуляторных требований
Введение С 1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [ссылка], который коренным образом изменил подход к защите информационных систем в ключевых отраслях экономики. Для руководителей организаций и специалистов по информационной безопасности важно понимать разницу между категорированием объектов КИИ и аттестацией информационных систем, а также…
-
Аттестация информационных систем в среде «ViPNet-Гринатом»: руководство по соответствию требованиям ФСТЭК России
Введение Внедрение и эксплуатация информационных систем (ИС), взаимодействующих с защищенными сегментами сетей, такими как комплекс «ViPNet-Гринатом», требует строгого соблюдения законодательства Российской Федерации в области защиты информации. Ключевым этапом легализации обработки информации ограниченного доступа является аттестация объекта информатизации. Данная статья систематизирует нормативные требования и предлагает практическое руководство по организации процесса аттестации. 1. Нормативная база: иерархия документов…
-
Аттестация и обеспечение безопасности ИСОП: Руководство по соответствию регуляторным требованиям
Введение В условиях цифровизации государственных услуг обеспечение безопасности информационных систем общего пользования (ИСОП) становится критически важным элементом национальной информационной инфраструктуры. Термин «аттестация ИСОП» широко используется в профессиональной среде, однако с точки зрения действующего законодательства речь идёт о комплексном процессе оценки соответствия, уведомления регуляторов и поддержания защищённости в течение всего жизненного цикла системы. Настоящая статья предназначена…
-
Аттестация автоматизированной системы управления в сфере образования (АСУ СО): регуляторные требования и руководство к действию
Внедрение цифровых технологий в образовательный процесс привело к тому, что современные школы, вузы и управленческие органы зависят от автоматизированных систем управления (АСУ). Эти системы обрабатывают персональные данные обучающихся и сотрудников, обеспечивают электронный документооборот, организуют дистанционное обучение и взаимодействуют с государственными информационными системами (например, ФРДО, «Моя школа», ГИС «Современная цифровая образовательная среда»). В связи с этим…
-
Аттестация АСУ ТП по требованиям 31 приказа ФСТЭК: регуляторные требования и руководство к действию
Автоматизированные системы управления технологическими процессами (АСУ ТП) являются критическим элементом инфраструктуры промышленных предприятий, энергетического сектора и транспорта. Нарушение их безопасности может привести не только к утечке данных, но и к техногенным авариям. В Российской Федерации основным документом, регулирующим защиту таких систем, является Приказ ФСТЭК России от 14 марта 2014 г. № 31 [официальный текст]. В…
-
Аттестация инфраструктуры хостинг-провайдера: регуляторные требования и руководство к действию
В условиях цифровизации государственных услуг и ужесточения требований к информационной безопасности (ИБ) хостинг-провайдеры все чаще сталкиваются с необходимостью обеспечения соответствия своей инфраструктуры нормативным актам РФ. Термин «аттестация хостинг-провайдера» в законодательстве отсутствует, однако на практике под ним понимается подготовка инфраструктуры центра обработки данных (ЦОД) к размещению государственных информационных систем (ГИС) или систем, обрабатывающих конфиденциальную информацию. Данная…
-
Аттестация информационных систем для подключения к ЕГИСЗ: регуляторные требования и руководство к действию
Внедрение Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) стало обязательным этапом цифровизации отрасли. Для медицинских организаций (МО) и разработчиков медицинских информационных систем (МИС) подключение к ЕГИСЗ подразумевает не только техническую интеграцию, но и строгое соблюдение требований по защите информации. В обиходе процесс подтверждения соответствия системы требованиям безопасности часто называют «аттестацией для ЕГИСЗ». Данная статья…
-
Аттестация для подключения к «Документам ОМС» в ГИС ОМС: регуляторные требования и руководство к действию
Интеграция медицинских организаций, страховых компаний и органов власти с Государственной информационной системой обязательного медицинского страхования (ГИС ОМС) является обязательным требованием законодательства. Ключевым модулем системы является подсистема «Документы ОМС», обеспечивающая обмен данными в сфере здравоохранения. Подключение к ГИС ОМС накладывает на участников строгие обязательства по информационной безопасности. Данная статья разбирает нормативную базу и предлагает алгоритм действий…
-
Аттестация для взаимодействия с АС ЭТРАН ОАО «РЖД»: регуляторные требования и руководство к действию
Введение автоматизированной системы управления перевозками на новой платформе (АС ЭТРАН НП) ужесточило требования к информационной безопасности участников перевозочного процесса. Для подключения к информационным системам ОАО «РЖД» и ведения электронного документооборота организациям-клиентам необходимо обеспечить соответствие своей инфраструктуры требованиям регуляторов и условиям договора с перевозчиком. Данная статья предназначена для специалистов по информационной безопасности и руководителей компаний, планирующих…