Аттестация информационных систем
по приказу №66 Оперативно-аналитического центра Республики Беларусь
Группа IT-компаний SoftClub
ведущий международный разработчик решений для банков, финансовых компаний, электронной торговли, биржевой отрасли и цифровой экономики в Восточной Европе и странах СНГ, эксперт в области технической и криптографической защиты.
30
лет опыта работы с клиентами enterprise уровня
15
лет в аудите и аттестации
1500
клиентов в 24 странах мира
3 этапа аттестации информационной системы
Этап 1
Предпроектное исследование ИС
1. Обследование информационной системы
Анализ структуры информационной системы, информационных потоков, состава и мест размещения элементов информационной системы, ее физических и логических границ с классификацией обрабатываемой информации и рекомендациями по улучшению мер защиты.
Отчёт по результатам обследования.
2. Подготовка проекта акта отнесения ИС к классу типовых информационных систем
в порядке, установленном СТБ 34.101.30-2017.
Приложение к Отчету обобследовании.
3. Подготовка перечня средств технической и криптографической защиты информации
необходимых для создания СЗИ.
Приложение к Отчету об обследовании.
4. Сканирование на наличие уязвимостей
программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы.
Результаты сканирования в электронном виде.
Этап 2
Проектирование и создание СЗИ ИС
1. Разработка технического задания на создание системы защиты информации
согласование с ОАЦ (при необходимости). Проект технического задания на создание системы защиты информации (далее — ТЗ) для утверждения Заказчиком.
2. Проект схемы системы защиты информации
ИС для утверждения Заказчиком
3. Рекомендации по внесению изменений
в действующие политики информационной безопасности организации, действующие локальные нормативные правовые акты по защите информации в организации.
4. Типовые локальные правовые акты по защите информации
адаптированные под Заказчика, в случае отсутствия документов, необходимых в соответствии с требованиями законодательства
5. Рекомендации для разработчиков ИС
по внесению изменений в программное обеспечение ИС, проектную и эксплуатационную документацию.
6. Внедрение Заказчиком средств технической и криптографической защиты информации
в соответствии с Перечнем средств защиты информации, необходимых для создания СЗИ, проверка их работоспособности и совместимости с другими объектами информационной системы.
Этап 3
Аттестация СЗИ ИС
1. Разработка программы и методики аттестации СЗИ ИС
осуществляется совместно с техническими специалистами Заказчика. Программа и методика аттестации СЗИ ИС.
2. Проведение аттестации СЗИ ИС в соответствии с утвержденной программой и методикой аттестации
в том числе анализ реального состава и структуры объектов информационной системы и разработанной документации на СЗИ.
— Протокол аттестации СЗИ ИС;
— Технический отчет о проведении аттестации СЗИ ИС (приложение к протоколу аттестации).
3. Проведение испытаний системы защиты информации
на предмет выполнения установленных функциональных требований по защите информации.
4. Сканирование на наличие уязвимостей
которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств.
5. Получение аттестата соответствия
системы защиты информации информационной системы требованиям по защите информации.
Преимущества
Почему SoftClub
Собственная испытательная лаборатория информационной безопасности
SoftClub имеет собственную испытательную лаборатория информационной безопасности, которая аккредитована Белорусским государственным центром аккредитации на проведение сертификационных испытаний, а также Лицензию, выданную Оперативно-аналитическим центром, на право осуществления деятельности по технической и (или) криптографической защите информации.
FAQ
1. Каким организациям нужна аттестация и является ли она обязательной?
Аттестация необходима в первую очередь для организаций, обрабатывающих персональные данные. При этом, она является обязательной по Закону «О защите персональных данных» и взаимосвязанным нормативным актам.
2. Какие системы нужно аттестовывать?
Аттестовывать нужно системы, обрабатывающие персональные данные и иную информацию, относящуюся к информации ограниченного распространения в соответствии с Законом об информации, информатизации и защите информации.
3. Если система находится на серверах другой компании, ее нужно аттестовывать?
Необходимость аттестации не зависит от физического расположения информационной системы, подлежащей аттестации (даже в случае аттестованной инфраструктуры, например облачного провайдера). При этом аттестация возлагается на владельца информационной системы. Компании получающие доступ к системе в рамках услуги, оказываемой владельцем, должны соблюдать требования по информационной безопасности, установленные при аттестации.
Как мы работаем
Остались вопросы?
Оставьте заявку и с вами свяжется наш специалист
Андрей Ловчий
О нас
- СофтКлуб – ведущий международный разработчик IT-решений для банков, финансовых компаний, электронной торговли, биржевой отрасли и цифровой экономики в Восточной Европе и странах СНГ
- 30 лет опыта с клиентами enterprise уровня
- 40+ решений в портфеле компании
- 24 страны – география деятельности
- 1500+ компаний используют решения SoftClub
- Топ-5 продуктовых компаний Беларуси (согласно результатам исследования инвестфондов AVentures Capital, Aventis Capital и Capital Times), лидер по поставкам на внутреннем рынке (рейтинг ПВТ 2017 г.)
- Топ-100 софтверных ИТ-компаний мира (рейтинг Software Magazine 2020 гг.)
- Топ-100 лучших финансовых технологических компаний 2022 года (The Financial Technology Report, NY)