Аттестация ЕГИСЗ

АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ, ПОДКЛЮЧЕННЫХ К ЕДИНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ЗДРАВООХРАНЕНИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…».

Кому нужна аттестация ИС ЕГИСЗ?

Аттестация нужна:

1. Федеральный сегмент ЕГИСЗ (управляет федеральный оператор ЕГИСЗ).
2. Региональный сегмент ЕГИСЗ (управляет региональный государственный оператор сегмента ЕГИСЗ — поставщик услуги по передачи данных в ЕГИС).
3. Оператор иной информационной системы (управляет коммерческая организация — поставщик услуги по передачи данных в ЕГИС).
4. Медицинские учреждения.

Требования к ЕГИСЗ следующие:

— для Федерального сегмента (ФС) ЕГИСЗ требования установлены Постановлением Правительства РФ от 9 февраля 2022 г. N 140 «О единой государственной информационной системе в сфере здравоохранения». Конкретный класс/уровень защищенности устанавливается федеральным оператором по результатам обследования системы и моделирования угроз безопасности. Для федеральной ГИС это не ниже 2 класса / уровня защищенности;
— для регионального сегмента (РС), устанавливаются региональными органами здравоохранения, но по сути они базируются на федеральных. Требования по защите и аттестации информации устанавливает сам региональный оператор, опираясь на федеральные требования. Класс защищенности также не может быть ниже 2-го класса / уровня защищенности, при обработке данных не менее 100 тыс. субъектов персональных данных, иначе класс/уровень 3 (третий).
Рекомендуется устанавливать уровень/класс защищенности не ниже 2 (второго), так как региональный сегмент агрегирует данные от множества клиник;
— для операторов иных информационных систем, т.е. коммерческие организации, которые оказывают услугу по передаче данных в ЕГИСЗ. Для них Требования — это постановление Правительства № 447, в которых указано о необходимости наличия аттестата соответствия по требованиям безопасности информации.
Класс/уровень защищенности рекомендуется устанавливать не ниже 2 (второго), так как оператор иных систем будет агрегировать у себя персональные данные от множества клиник и общий их объем будет более 100 тыс.;
— для медицинских учреждений требования аналогичны к операторам иных информационных систем, т.е. необходимо подготовить и аттестовать рабочие места для подключения и передачи данных в ЕГИСЗ по требованиям безопасности информации:

- не ниже требований к 2-му классу защищенности государственных информационных систем;
- не ниже требований к 2-му уровню защищенности персональных данных.

Что включает в себя аттестация ИС ЕГИСЗ?

Аттестация ИС ЕГИСЗ включает в себя
комплексные аттестационные испытания в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

программа и методики аттестационных испытаний ИС ЕГИСЗ;
заключение по результатам аттестационных испытаний ИС ЕГИСЗ;
протокол аттестационных испытаний ИС ЕГИСЗ;
аттестат соответствия ИС ЕГИСЗ.

Примечание: аттестация ИС ЕГИСЗ — это только процедура оценки соответствия (защищенности, эффективности принимаемых мер защиты), которая не включает в себя подготовку к аттестации ИС ЕГИСЗ.

Что нужно сделать перед началом аттестации ИС ЕГИСЗ?

Порядок работ следующий:
1. Обследование ИС ЕГИСЗ:

акт (отчет) об обследовании;
модель угроз и нарушителя безопасности информации (bdu.fstec.ru);
акт классификации ИС ЕГИСЗ;
техническое задание на создание системы защиты ИС ЕГИСЗ.

2. Проектирование системы защиты ИС ЕГИСЗ:

технический проект на систему защиты ИС ЕГИСЗ, в составе:
- ведомость эксплуатационных документов;
- структурная схема комплекса технических средств;
- спецификация средств защиты информации;
- пояснительная записка.

3. Внедрение системы защиты информации:

закупка, установка и настройка сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ);
проведение анализа уязвимостей в ИС ЕГИСЗ;
разработка организационно-распорядительной документации (ОРД);
внедрение организационных мер защиты.

Минимальный набор сертифицированных средств защиты информации (СрЗИ) следующий:

средство защиты от НСД;
средство антивирусной защиты (АВЗ);
средство обнаружения вторжений (СОВ);
средство доверенной загрузки (СДЗ);
средство анализа защищенности (АНЗ);
средство резервного копирования и восстановления (СРКВ);
средства межсетевого экранирования (МЭ);
средство криптографической защиты информации (СКЗИ).

Приведенный набор средств защиты минимально необходим, но в отдельных случаях может быть дополнен в соответствии с принятыми внешними пользователями моделями угроз и нарушителя безопасности информации, а также по решению владельца ИС ЕГИСЗ. Внимание: СрЗИ и СКЗИ должны быть обязательно сертифицированные! Срок действия сертификатов соответствия можно проверить в реестре по адресу https://reestr.fstec.ru/reg3.

По каким требованиям проводится подготовка к аттестации и аттестация ИС ЕГИСЗ?

Подготовка к аттестации и аттестация ИС ЕГИСЗ проводится в соответствии с действующими нормативными документами:

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года);
Меры защиты информации в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2014 года);
Приказ ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Методика оценки угроз безопасности информации (утверждена ФСТЭК России от 05.02.2021 г.);
ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утвержден Государственной технической комиссией при Президенте Российской Федерации, № 7.2/02.03.2001 г. от 2001 г.);
ГОСТ 34.601;
ГОСТ 34.603;
ГОСТ Р 51583;
ГОСТ Р 51624;
Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.).

Сколько стоит аттестация ИС ЕГИСЗ?

Стоимость аттестации ИС ЕГИСЗ зависит от множества критериев:

количество компьютеров и серверов, сетевого и коммуникационного оборудования;
состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
какие обрабатываются персональные данные, их каких категорий и в каком объеме;
применяемые технологии и режимы обработки информации;
территориальное (географическое) расположение ИС ЕГИСЗ;
ранее проводилась ли подготовка и аттестация ИС ЕГИСЗ.

Кто может проводить аттестацию ИС ЕГИСЗ?

Аттестацию ИС ЕГИСЗ может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.
Проверить наличие лицензии у лицензиата ФСТЭК России можно по адресу https://reestr.fstec.ru/reg1

Кто может проводить подготовку к аттестации ИС ЕГИСЗ?

Подготовку к аттестации ИС ЕГИСЗ (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
д) работы и услуги по проектированию в защищенном исполнении:
- д1 — средств и систем информатизации;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- е1 — технических средств защиты информации;
- е2 — защищенных технических средств обработки информации;
- е3 — технических средств контроля эффективности мер защиты информации;
- е4 — программных (программно-технических) средств защиты информации;
- е5 — защищенных программных (программно-технических) средств обработки информации;
- е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Если в ИС ЕГИСЗ используются средства криптографической защиты информации, тогда необходимо еще иметь лицензию ФСБ России на работы, связанные с средствами криптографической защиты информации (313 постановление ФСБ России), с открытыми пунктами в лицензии:

2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств.
22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Проверить наличие лицензии у лицензиата ФСБ России можно на сайте ЦЛСЗ http://clsz.fsb.ru/clsz/license.htm в реестре лицензий на деятельность, связанную с шифровальными (криптографическими) средствами.

Может ли оператор провести аттестацию ИС ЕГИСЗ самостоятельно?

Не может. В соответствии с постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, поэтому оператор не может провести аттестацию самостоятельно без привлечения на договорной основе лицензиата ФСТЭК России.
Для привлечения лицензиата ФСТЭК к работам по аттестации ИС ЕГИСЗ необходимо:

1. Отправить письмо в свободной форме с указанием названия организации и контактных данных для связи на адрес mail@centerbit.ru для уточнения исходных данных по ИС ЕГИСЗ и расчета стоимости работ.
2. Заключить договор на подготовку и аттестацию ИС ЕГИСЗ.

Кто выдает и как выглядит аттестат соответствия ИС ЕГИСЗ?

Оформляет, утверждает, выдает аттестат соответствия туроператору лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия ИС ЕГИСЗ в ФСТЭК России для внесения сведений об аттестате соответствия ИС ЕГИСЗ в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ИС ЕГИСЗ установлена Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ИС ЕГИСЗ, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ИС ЕГИСЗ?

Собственник ИС ЕГИСЗ должен поддерживать уровень защищённости ИС ЕГИСЗ на всем протяжении времени эксплуатации ИС ЕГИСЗ, и через каждые 2 года обязан подтверждать факт защищённости ИС ЕГИСЗ (периодический контроль ИС ЕГИСЗ), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля ИС ЕГИСЗ в ФСТЭК России для продления действия аттестата соответствия ИС ЕГИСЗ. В случае, если протоколы периодического контроля ИС ЕГИСЗ не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ИС ЕГИСЗ.

Делать периодический контроль ИС ЕГИСЗ собственными силами могут не все собственники ИС ЕГИСЗ, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных ИС ЕГИСЗ, в котором отражается статус действия аттестата соответствия ИС ЕГИСЗ.

Кто является регулятором в области аттестации ИС ЕГИСЗ?

Регулятором в области аттестации ИС ЕГИСЗ является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»). Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

РАБОТАЯ С НАМИ ВЫ ПОЛУЧАЕТЕ СЛЕДУЮЩИЕ ВЫГОДЫ:

1. Мы предоставляем гибкую систему оплаты.
2. Гарантируем фиксированную стоимость всех работ без дополнительных затрат.
4. Проводим аттестацию ИС ЕГИСЗ силами собственного аттестационного центра с гарантиями по договору.
5. Получаете аттестат соответствия на ИС ЕГИСЗ от лицензиата ФСБ и ФСТЭК России.
6. Заблаговременно напоминаем Вам о необходимости продления лицензий и проведения периодического контроля ИС ЕГИСЗ.
7. Получаете скидку 30% на проведение периодического контроля ИС ЕГИСЗ.
8. Становитесь VIP клиентом и можете воспользоваться другими нашими услугами со скидкой 30%.