+7 (495) 150 36 83

Напишите нам

Меню

+7 (495) 150 36 83
+7 (495) 150 36 83
Аттестация информационной системы КИИ

Аттестация информационной системы КИИ

Аттестация объектов КИИ по 239 приказу ФСТЭК распространяется на субъекты критической информационной инфраструктуры, а именно на государственные органы и учреждения, юридические лица и (или) индивидуальных предпринимателей, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ ТП).

Кто выдаёт аттестат соответствия:   Общество с ограниченной ответственной «Центр Защиты информации»

Срок действия разрешительного документа:   Бессрочно

Сроки проведения работ: В среднем не более 4 месяцев
Стоимость: По запросу
Дополнительные услуги: Аудит на соответствие требований нормативных документов;
Поставка и установка программных и технических СЗИ;
Подключение к ГосСОПКЕ;
Категорирование;
Скачать опросный лист
Заказать услугу Задать вопрос

Кому необходимо аттестовывать объекты КИИ?


Субъекты критической информационной инфраструктуры функционируют в следующих сферах:

  • здравоохранение
  • наука
  • транспорт
  • связь
  • энергетика
  • финансовый сектор
  • топливно-энергетический комплекс
  • атомная энергетика
  • оборонная промышленность
  • ракетно-космическая промышленность
  • горнодобывающая промышленность
  • металлургическая промышленность
  • химическая промышленность


Прежде чем приступить к оценке соответствия объекта (ИС, ИТС, АСУ ТП), сначала необходимо создать комиссию по категорированию, составить перечень объектов, а после пройти обязательное категорирование для определения категории значимости объекта. К значимым объектам относятся те, которым присвоена одна из 3 (трех) категорий значимости и которых потом регулятор включает в реестр ЗОКИИ

Категорирование осуществляется исходя из социальной, политической, экономической, экологической значимости, а также при обеспечении обороны страны. Субъекты КИИ в соответствии с критериями и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам КИИ.

Если объект КИИ не соответствует критериям и показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. В этом случае отпадает обязательство по аттестации ОИ согласно приказа ФСТЭК от 25 декабря 2017 года № 239.

Общепринятые понятия описываются в Федеральном Законе от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».  

Правила категорирования описаны в Постановлении Правительства РФ от 08 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». После ознакомления становится понятно, что категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, а также что категорирование осуществляется субъектами КИИ и какая ответственность предусмотрена при неправомерном воздействии. 


Кто может проводить аттестацию значимых объектов КИИ?
 

Для выполнения оценки соответствия и аттестационных мероприятий владелец объекта привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (далее - ТЗКИ) с правом проведения работ и оказания услуг на соответствие требования нормативных документов по защите информации, выданную ФСТЭК России согласно постановления Правительства РФ от 03 февраля 2012 г. № 79, а также изменений в постановлении Правительства № 541 от 15 июня 2016 г. 

Наша компания попала в перечень организаций, которые имеют право на проведение работ как орган по аттестации объектов информатизации в сфере безопасности информации и является аккредитованным центром (лицензия ФСТЭК на деятельность по ТЗКИ № Л024-00107-00/00583065). Мы проводим оценку эффективности реализованных мер, проектирование и внедрение системы защиты, аттестации объектов информатизации любой степени сложности и на любом этапе работ.

Ведущие специалисты и инженеры органа по аттестации при выполнении мероприятий по защите ЗОКИИ проводят:

  1. обследование и формирование требований к защите информации информационной системы значимого объекта;
  2. разработку системы защиты информации ИС и режимных мер по обеспечению безопасности значимого объекта (техническое задание, модель угроз, акт классификации подсистемы информационной безопасности);
  3. разработку технического проекта, рабочие и эксплуатационные документы подсистемы информационной безопасности;
  4. внедрение системы защиты информации ИС и режимных мер, проведение предварительных испытаний и опытной эксплуатации, приемочные испытания подсистемы безопасности значимого объекта;
  5. проведение опытной эксплуатации и анализа защищенности подсистемы информационной безопасности;
  6. разработку проектов организационно-распорядительной и регламентирующей документации;
  7. оформление отчётной документации и «Аттестата соответствия требованиям по безопасности информации».

Рассчитать стоимость

Скачайте, заполните и отправьте нам опросный лист. Мы рассчитаем стоимость и свяжемся с Вами в ближайшее время.

Скачать опросный лист Отправить опросный лист

Стоимость аттестации информационной системы

Стоимость аттестации информационной системы на текущий момент составляет от 500 тыс./руб.
Дополнительные услуги:

Поставка и установка программных и аппаратных средств защиты

1

Консультирование по вопросам обеспечения информационной безопасности

2

Проектирование информационной системы

3

Разработка организационно-распорядительной документации

4

Есть вопросы?

Оставьте свои данные, мы перезвоним Вам и ответим на все вопросы

Нажимая на кнопку “Оставить заявку”, Вы даете согласие на обработку персональных данных, согласно политике конфиденциальности

Кто осуществляет контроль, что такое ГосСОПКА и НКЦКИ?

В качестве регулятора выступает ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК), оценивает безопасность и проводит анализ полученных данных от субъектов, а также проводит их контроль. В ходе контроля за обеспечением безопасности значимого объекта осуществляется анализ защищенности значимого объекта с учетом особенностей его функционирования. В случае если значимый объект является ГИС или ИСПДн, то меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются
в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.

ГосСОПКА – государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленные на КИИ Российской Федерации, которая была создана в соответствии с Указом Президента РФ от 15 января 2013 года № 31с.


Система состоит из связанных государственных и корпоративных центров, обменивающихся информацией о зафиксированных кибератаках и методах их предотвращения.

В соответствии с 187-ФЗ необходимо выполнить подключение к системе ГосСОПКА для компаний, которые имеют объекты КИИ. После подключения к системе они должны направлять информацию о произошедших инцидентах по информационной безопасности, а также о предотвращении и обезвреживании атак на объекты КИИ. Полученные сведения накапливаются в Национальном координационном центре по компьютерным инцидентам (НКЦКИ) и распространяются по предприятиям, имеющим подключение к системе. 

Данное взаимодействие направлено на получение актуальной информации о киберинцидентах и эффективных способах воздействия на них, и как следствие это способствует совершенствованию системы защиты и повышению компетенций сотрудников, отвечающих за эксплуатацию. 

Коммерческие предложения на оказываемые услуги составляются индивидуально и зависят от следующих факторов:

  • наличие проектной документации на систему защиты ИС;
  • первичная аттестация или осуществление контроля эффективности;
  • территориальное месторасположение владельца объектов информатизации;
  • состав ИС значимого объекта;
  • наличия или необходимости поставки программных и программно-аппаратных сертифицированных СЗИ;

Порядок работы

1
Обследование и формирование

Обследование и формирование требований к защите информации информационной системы персональных данных

2
Разработка системы защиты

Разработка системы защиты информации информационной системы информационной системы персональных данных и режимных мер

3
Внедрение системы защиты

Внедрение системы защиты информации информационной системы персональных данных и режимных мер

4
Обследование и формирование

Обследование и формирование требований к защите информации информационной системы персональных данных

5
Разработка системы защиты

Разработка системы защиты информации информационной системы информационной системы персональных данных и режимных мер

6
Внедрение системы защиты

Внедрение системы защиты информации информационной системы персональных данных и режимных мер

Почему всё больше клиентов выбирают нас?

За 10 лет мы завоевали репутацию компании, которой можно доверить все вопросы, связанные с защитой информации. Благодаря нашей слаженной и профессиональной работе наши клиенты становятся нашими постоянными заказчиками, открывают новые направления деятельности в сфере информационной безопасности и рекомендуют нас своим бизнес-партнерам.

Оставить заявку
Экспертиза в КИИ-аттестации

Наши специалисты имеют практический опыт работы с субъектами критической информационной инфраструктуры: знают требования Приказа № 239 и других нормативов, а также особенности категорирования значимых объектов.

Комплексная оценка системы

Проводим детальный аудит всех уровней: архитектуры, ИТС, АСУ ТП, каналов связи, подсистем безопасности, модели угроз — чтобы выявить любые слабые места до подачи на аттестацию.

Документальная и проектная подготовка

Разрабатываем всю необходимую проектную, организационно-распорядительную и регламентирующую документацию: от технического задания до эксплуатационных инструкций и моделей угроз — таким образом, чтобы все бумаги были приняты без замечаний.

Тестирование в реальных условиях

Проводим предварительные испытания, опытную эксплуатацию, анализ функционирования системы под нагрузкой и после реализации мер безопасности — используем проверенные методики и сертифицированные средства.

Обеспечение соответствия на весь срок эксплуатации

После аттестации оказываем консультации по обновлению защиты и реагированию на изменения в нормативной базе, помогаем внедрять корректировки при масштабировании системы или изменении угроз — чтобы аттестат сохранял действительность и проверяемость.

Часто задаваемые вопросы

Кто обязан проходить аттестацию информационных систем КИИ?

Аттестация обязательна для субъектов критической информационной инфраструктуры, включая государственные органы, учреждения, юридические лица и индивидуальных предпринимателей, владеющих информационными системами, информационно-телекоммуникационными сетями или автоматизированными системами управления технологическими процессами, признанными значимыми объектами КИИ.

Каковы сроки проведения аттестации информационной системы КИИ?

Средняя продолжительность работ по аттестации составляет до четырёх месяцев. Конкретные сроки могут варьироваться в зависимости от сложности объекта и объёма необходимых мероприятий.

Каков срок действия аттестата соответствия?

Аттестат соответствия, выданный по результатам аттестации информационной системы КИИ, является бессрочным, что означает его неограниченный срок действия при условии соблюдения всех требований и отсутствия изменений в объекте аттестации.

Какие дополнительные услуги предоставляются в рамках аттестации?

В процессе аттестации могут быть предоставлены дополнительные услуги, включая аудит на соответствие требованиям нормативных документов, поставку и установку программных и технических средств защиты информации, подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также проведение категорирования объектов КИИ.

Многие корпоративные сети уязвимы.
А ваша?

Усильте свою безопасность, оставьте заявку на тестирование прямо сейчас