Аттестация информационных систем персональных данных
Проверка соответствия ИСПДн стандартам по защите информации на базе экспертного решения о полноте и достаточности предложенной документации, по созданию необходимых мер защиты информации в ИСПДн, а также проверка на соответствие реальным условиям эксплуатации требованиям по расположению, монтированию и использованию технических средств ИСПДн. Заключающим шагом организационно-технических… Читать ещё >
Аттестация информационных систем персональных данных (реферат, курсовая, диплом, контрольная)
Заключающим шагом организационно-технических мероприятий в учреждении ГКУЗ «ЯНОСДР» будет проведение аттестации ИСПДн, которая должна соответствовать требованиям стандартов или иной нормативно-технической документации по защите информации, утвержденных ФСБ и ФСТЭК России.
На шаге аттестации происходит разработка и согласование методики и программы аттестационных испытаний на соответствие требованиям безопасности информации, которые должны быть зафиксированы в специальном документе — «Аттестате соответствия» .
Аттестация в техническом смысле включает в себя проведение аттестационных испытаний внедренной СЗПДн, по итогам которой будет вынесено заключение о получении аттестата соответствия на ИСПДн.
В ходе осуществления аттестационных испытаний используются такие методы проверок как:
проверка соответствия ИСПДн стандартам по защите информации на базе экспертного решения о полноте и достаточности предложенной документации, по созданию необходимых мер защиты информации в ИСПДн, а также проверка на соответствие реальным условиям эксплуатации требованиям по расположению, монтированию и использованию технических средств ИСПДн.
проверка всех функций или совокупности функций защиты информации от НСД при помощи тестирующих средств, а также посредством проверочного запуска средств защиты информации от НСД и мониторинг за их осуществлением.
На базе первичных данных по технологии обработки и трансляции информации, системы предоставления доступа персонала к защищенным ресурсам ИСПДн, производится анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками, возможностями доступа к передаваемым и обрабатываемым данным, определяются представляющие опасность факторы и угрозы, уязвимые участки ИСПДн, понижающие степень защиты, полноту и характеристики средств защиты.
В процессе аттестации объекта ИСПДн была проведена:
1. Проверка соответствия представленной первичной информации, документов и положение технологического процесса в момент автоматизированной обработки информации конкретным требованиям размещения, монтирования и эксплуатации ИСПДн, включая в том числе:
анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками и возможностями доступа к передаваемым и обрабатываемым данным;
контроль соответствия описания технологического процесса хранения, обработки и передачи защищаемых данных в ИСПДн существующей практике;
контроль паспортных (исходных) данных на ИСПДн и ее компонентов, обнаружение факторов представляющих опасность, угрозу и уязвимых мест ИСПДн, понижающих степень ее защищенности;
проверку соответствия заданным требованиям технологических инструкций администраторам безопасности информации, операторам, администраторам, пользователям обособленных подсистем ИСПДн и обслуживающему персоналу;
конкретизация схемы технологического процесса автоматизированной обработки информации с привязкой к определенным средствам передачи и обработки данных и основному составу персонала.
2. Контроль ИСПДн и ее компонентов на соответствие организационным и техническим стандартам по защите информации, включая:
контроль полноты представленной документации и соответствия ее требованиям по защите информации;
контроль соответствия конфигурации программно-технических средств представленных документов;
контроль верности классификации ОИ;
контроль степени подготовки персонала и определение и установление степени ответственности между персоналом.
3. При осуществлении аттестационных испытательных работ было сосредоточенно внимание на проверке соответствия ИСПДн требованиям по обеспечению защиты данных от несанкционированного доступа при подготовке согласованного действия ИСПДн с другими сетями.
По завершению всех аттестационных испытаний и контролю на соответствие требованиям по защите информации, можно убедиться, что внедренные средства защиты информации в полной мере соответствуют необходимым требованиям по безопасности персональных данных, регламентируемыми регуляторами, и на основании чего может быть предоставлен аттестат соответствия требованиям безопасности информации на ИСПДн ГКУЗ «ЯНОСДР». С помощью аттестата соответствия подтверждается соответствие стандартам и требованиям регулирующих и надзорных органов, всех принятых мер по обеспечению защиты информации, также «аттестат соответствия» гарантирует, что при обнаружении регуляторами каких угодно нарушений актуальных регламентов, организация-исполнитель работ по аттестации разделит возможные риски вместе с аттестованным учреждением.