Аттестация СЗИ. Приказ №66 ОАЦ. | Softmart
support_agent Заказать
звонок

Аттестация СЗИ. С чего начать и как "побороть"?

В списке актуальных вопросов и задач, с которыми мы все чаще сталкиваемся в рамках встреч и общения с нашими заказчиками, является аттестация системы защиты информации. Тот самый приказ №66 ОАЦ. В данной статье мы кратко опишем этапы процесса аттестации СЗИ.


1-ый этап. Аудит.


Первый шаг к пониманию масштаба предстоящих работ, которому нужно уделить особое внимание, т.к. от него зависят и сроки и стоимость проекта. На этапе аудита не обязательно привлекать специалистов и компании, имеющих лицензии на аттестацию СЗИ, если у вас есть в штате высококвалифицированные сотрудники. Об этом мы поговорим ниже.


С чего начать?


  • классифицировать хранящиеся и обрабатываемые в системе данные и разделить по категориям доступа;
  • присвоить класс системе (данная услуга в нашей компании предоставляется бесплатно);

Следует иметь ввиду, что построение СЗИ это не только закупка требуемого ПО, либо программно-аппаратных комплексов, но и подготовка документации, описание процессов, обучение персонала, утверждение регламентов и многое другое.


2-ой этап. Проектирование системы защиты информации.


  • проанализировать ИС и информационные потоки, в том числе внешние;
  • собрать информацию о программных и программно-аппаратных решениях, которые уже есть «на борту»;
  • определить физические и логические границы;
  • разработать, утвердить и выпустить политики ИБ;
  • разработать техническое задание на создание СЗИ, учитывая собранную информацию и присвоенный класс;
  • определить состав средств (провести пилотные проекты, выбрать программные решения и программно-аппаратные комплексы);
  • разработать и утвердить общую схему СЗИ.

3-ий этап. Создание системы защиты информации.


  • непосредственное внедрение утвержденных технических и криптографических средств защиты;
  • настройка функционала и совместимости с другими объектами ИС предприятия;
  • создание пакета документов по предварительно утвержденному списку на этапе технического задания;

4-ый этап. Аттестация.


На что обращают внимание?


  • корректность отнесения к классу СЗИ;
  • распределение ролей (зон ответственности) сотрудников отдела ИБ;
  • пакет документов анализируют на соответствие требованиям регулирующего органа (ОАЦ);
  • проводят испытание систем на предмет выполнения установленных законодательством требований по защите информации;
  • предоставляют отчет;
  • оформляют аттестат.

На этом этапе подключаются аттестующие компании, имеющие лицензию на данный вид деятельности. С момента подписания договора на проведение аттестации у заказчика есть 180 дней на все процессы. Как упоминалось выше, лучше подходить к решению задачи заблаговременно. Своими силами, либо привлекая специалистов в качестве консультантов, тем самым увеличив сроки на разработку документации, закупку, пилотные проекты и другие мероприятия, а также оптимизировать нагрузку на бюджет. Следует учитывать, что в связи со сложившейся на рынке ситуацией и уходом зарубежных вендоров, поставка программно-аппаратных комплексов может затянуться до полугода.


Согласно законодательству Республики Беларусь, любая информационная система, которая обрабатывает потоки информации ограниченного распространения, в том числе: персональные данные сотрудников, информацию для служебного пользования, банковские, налоговые и другие виды тайн, подлежит обязательной аттестации.

description Скачать приказ №66 ОАЦ