Открытое акционерное общество «АГАТ-системы управления» – управляющая компания холдинга «Геоинформационные системы управления» пр. Независимости,117, 220114,

Презентация:



Advertisements
Похожие презентации
Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.
Advertisements

«Основное содержание приказов Министерства регионального развития Российской Федерации 99, 100 и их применение при подготовке инвестиционных программ на.
Информационные системы в экономике Лекция 1. Основные понятия и определения Автоматизированная информационная система это совокупность технических программных.
Начальник отдела экспертизы ФГБУ «ВНИИИМТ» Росздравнадзора Никифорова Лариса Юрьевна.
Департамент образования администрации Владимирской области.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Концепция создания нормативно-правовой базы, методических основ и систем информационного обеспечения органов исполнительной власти.
Проект Положения об общественно – профессиональной аккредитации ОПОП НПО и СПО ОГБОУ СПО «Иркутский аграрный техникум»
Основные подходы и проблемы во введении в Москве платы за подключение к системе централизованного теплоснабжения. Разработка Положения о подключении тепловых.
НОРМАТИВНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СФЕРЕ: ИЗМЕНЕНИЯ И НАПРАВЛЕНИЯ РАЗВИТИЯ Барановский Олег Константинович.
Защита персональных данных в информационных системах операторов связи Тесцов Алексей, руководитель отдела управления проектами ЗАО «ДиалогНаука»
Система сертификации УкрСЕПРО План лекции 1. Нормативные документы по сертификации 2. Перечень основных документов 3. Цель и принципы построения УкрСЕПРО.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Отчет по исполнению первого этапа Государственного контракта 07.Р от 17 октября 2011 г. Создание федеральной базы данных результатов олимпиад.
Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела нормативно-методической.
Порядок проведения экспертизы опасного объекта в целях оценки вреда, который может быть причинен в результате аварии на опасном объекте, максимально возможного.
СТРУКТУРА АППАРАТА КОНТРОЛЬНО-СЧЕТНОЙ ПАЛАТЫ МОСКВЫ (Проект на ) АППАРАТ Сводно- аналитическая инспекция Линейные инспекции ( 5 ) Экспертно-
Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела административного и технологического.
Методика обследования предприятий при создании ИС Селезнев Валерий 3-й партнерский форум DOCSVISION 6-8 июня 2008г. Санкт-Петербург.
Транксрипт:

Открытое акционерное общество «АГАТ-системы управления» – управляющая компания холдинга «Геоинформационные системы управления» пр. Независимости,117, , г. Минск, Республика Беларусь Тел.: ( ) Факс: ( )

XVII научно-практическая конференция «Комплексная защита информации» г. Суздаль, мая 2012г. Опыт проведения аттестации систем защиты государственных информационных систем Начальник отдела управления высоких технологий Бобов Михаил Никитич Начальник сектора управления высоких технологий Обухович Андрей Анатольевич

Аттестация - комплекс организационно- технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия

Проведение обследования объекта аттестации (ОА) Разработка исходных данных (приложение к ПСМ 675 от ) Разработка программы аттестации Согласование программы аттестации Проведение проверок Проведение организа- ционных мероприятий по обеспечению проверок Анализ результатов проверок Выдача аттестата соответствия Исполнитель Заявитель

Существующий порядок проведения аттестации: отражает функциональный подход к аттестации ИС; приемлем для простых по структуре и небольших по количеству пользователей ИС; порождает проблемы для распределенных, иерархических, больших по количеству пользователей и особенно межведомственных ИС

Факторы, влияющие на объем работ и достоверность результатов аттестации структура и состав информационной системы; история создания аттестуемой системы; уровень подготовки кадров по защите информации в организациях, эксплуатирующих информационные системы

Структура межведомственной распределенной иерархической системы.

Исполнитель Заявитель Разработка методических рекомендаций по разработке исходных данных по аттестуемой системе Разработка исходных данных (приложение к Постановлению Совета Министров 675 от ) Проведение обследования объекта аттестации (ОА) Разработка методических указаний по подготовке ОА к аттестации Выполнение методических указаний по подготовке ОА Разработка отчетности о выполнении методических указаний (дополнение к исходным данным) Разработка программы аттестации Согласование программы аттестации Проведение проверок Проведение организационных мероприятий по обеспечению проверок Анализ отчетности о выполнении методических указаний и результатов проверок Выдача аттестата соответствия

Преимущества предложенной схемы аттестации представление исходных данных в достаточном объеме, исключающем потребность в их уточнении и дополнении; возможность проведения выборочных проверок на однотипных объектах системы и использование отчётов заявителя о выпол- нении методических указаний в зачёт проверок, что важно для имеющих сотни однотипных распределенных объектов систем; снижение вероятности повторной аттестации в случае несоответствия объектов системы требованиям законодательства; более точное определение трудоемкости и сроков проведения работ при заключении договора, предусматривающего два этапа: - подготовка к аттестации (итог: программа аттестации); - проведение аттестационных проверок и анализ результатов

Предложения 1.Разработать новую редакцию «Положения о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено», определяющего: состав и содержание работ (с перечнем документов, утверждаемых по их окончании) по разработке и оценке подсистем защиты информации; права, обязанности и ответственность заказчика разработки (модернизации) информационной системы, владельцев используемых системой информационных ресурсов, разработчика системы и специализированных организаций (испытательных лабораторий, организаций, проводящих работы по аттестации).

2. Разработать СТБ П «Правила проведения аттестации систем защиты информации государственных информационных систем», содержащий: правила принятия решений по оценке достаточности применяемых средств и организационных мер защиты в информационных системах, относящихся к различным классам по СТБ ; особенности аттестации при использовании действующей технической инфраструктуры (комплексы средств автоматизации, ЛВС и ведомственные системы связи) для нужд внедряемой информационной системы. Предложения