MEDOED Аттестация ИС – теперь можно готовиться к ней автоматизировано.
Аттестация информационных систем по требованиям ФСТЭК
Модуль подготовит документы к аттестации системы, соберет сведения о текущем составе программных и аппаратных средств, позволит контролировать сроки действия сертификатов средств защиты.
Автоматизация без потери контроля
Меньше ручной работы: сведения о составе ПО и аппаратного обеспечения собираются агентом автоматически.
Гибкий подход: для тех, кто не готов полностью полагаться на автоматизацию, доступны ручные корректировки.
Быстрый перенос данных: сведения можно переносить из одного паспорта в другой без повторного заполнения.
Контроль изменений: изменения в системе отслеживаются через связанные модули ITAM.
Аттестация нужна в следующих случаях:
- Вы являетесь владельцем Информационной системы, для которой аттестация обязательна (Приказ ФСТЭК от 11 апреля 2025 г. № 117);
- Вы являетесь владельцем информационной инфраструктуры, которая используется для обеспечения функционирования (взаимодействия) ГИС. К таким объектам относятся ЦОД, в которых размещаются элементы аттестованных систем, СКЗИ, предоставляющие защищённые каналы передачи данных и т. п. (Приказ ФСТЭК от 11 апреля 2025 г. № 117);
- Вы произвели модернизацию аттестованной системы (ПП 676 от 06.07.2015);
- Вам поступило требование от Владельца (Оператора) ГИС (внешней ИС) подтвердить выполнение мер защиты информации Вашей системы в форме аттестации;
- Вы планируете подключится к ГИС (СМЭВ, ЕБС, МВД и т. п. (149-ФЗ));
- Вы приняли решение подтвердить реализацию мер защиты информации на Вашем объекте информатизации с привлечением лицензиата ФСТЭК России и выполнением всех мероприятий, предписанных регулятором.
Какие системы аттестуем и когда аттестация обязательна
В соответствии с ФЗ-149 от 27.07.2006, а также приказами ФСТЭК России № 77 от 29.04.2021 и № 117 от 11.04.2025, аттестация на соответствие требованиям по защите информации обязательна для ряда объектов информатизации, а в отдельных случаях может проводиться по решению владельца.
Аттестация обязательна
- для информационных систем государственных органов, государственных унитарных предприятий и государственных учреждений;
- для инфраструктур, обеспечивающих работу ИС государственных органов;
- для систем управления производством в организациях ОПК, включая автоматизированные системы станков с ЧПУ;
- для защищаемых помещений, предназначенных для конфиденциальных переговоров, совещаний и обсуждений;
- для информационных систем, которым аттестация необходима для подключения к внешним ИС, включая ГИС и МИС.
Кого это обычно касается
- государственные органы: правительства субъектов, суды общей юрисдикции, прокуратура, государственные комитеты, региональные министерства и департаменты;
- ГУП: водоканалы, теплосети, электросети, ЖКХ, транспорт, фармацевтика, промышленность, НИИ, отдельные организации медиасферы;
- государственные учреждения: лечебные и образовательные организации, театры, музеи, библиотеки, социальные центры, МФЦ, ФОМС и ТФОМС, спортивные учреждения;
- защищаемые помещения: служебные кабинеты, переговорные, актовые и конференц-залы.
По решению владельца объекта
- значимые объекты критической информационной инфраструктуры, включая КИИ, АСУ ТП и иные технологические системы;
- информационные системы персональных данных, за исключением государственных и муниципальных ИСПДн;
- автоматизированные системы управления производственными и технологическими процессами на критически важных и потенциально опасных объектах;
- информационные системы оповещения о чрезвычайных ситуациях;
- информационные системы, в которых обрабатывается конфиденциальная информация, включая коммерческую тайну, секреты производства и профессиональную тайну.
Типовые примеры
- медицинские информационные системы;
- системы бухгалтерии и управления персоналом;
- СКУД, видеонаблюдение и внутренние корпоративные ИС;
- отраслевые производственные и диспетчерские системы.
Отдельно о модернизации ГИС
При модернизации государственной информационной системы, в соответствии с пунктом 17 ПП РФ № 676 от 06.07.2015, мероприятия по развитию системы выполняются по правилам, установленным для ее создания, за исключением требования о разработке концепции. При этом аттестация остается обязательной.
Что вы получите с MEDOED
Благодаря модулю Вы получите корректный акт классификации ГИС (сегмента) и паспорт системы.
Помимо конечной документации пользователь получает снимок состояния системы, а также срез актуальности сертификатов применяемых средств защиты.
Также в системе MEDOED возможно проведение моделирования угроз, категорирования КИИ (актуально для ГИС) и учета инфраструктуры.
В планах разработки – подготовка организационно-распорядительной документации для ГИС согласно 117 приказу ФСТЭК, а также методики аттестационных испытаний по методическому документу ФСТЭК.