Министерство промышленности, связи, цифрового и научно-технического развития Омской области

Отдел аттестации

1.   Проведение аттестации по требованиям безопасности информации объектов информатизации, операторами которых являются органы исполнительной власти Омской области, на которых производится обработка информации ограниченного доступа, не составляющая государственную тайну

Аттестация по требованиям безопасности информации объектов информатизации, операторами которых являются органы исполнительной власти Омской области, на которых производится обработка информации ограниченного доступа, не составляющая государственную тайну (далее – информация) на соответствие требованиям нормативно-методических документов федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

Целью аттестационных испытаний является определение соответствия объектов информатизации требованиям безопасности информации.

Задачей аттестационных испытаний объектов информатизации является оценка соответствия системы защиты информации государственной информационной системы требованиям безопасности информации, выполнение которых позволяет обеспечить конфиденциальность, целостность и доступность информации  вследствие:

- утечки по техническим каналам

- yесанкционированного доступа к информации, обрабатываемой в государственной информационной системе;

- специальных программных воздействий, нарушающих целостность обрабатываемой в государственной информационной системе Омской области информации и (или) работоспособности средств вычислительной техники или системы защиты информации;

- хищения технических средств с хранящейся в них информацией или отдельных носителей информации.

Аттестационные испытания проводятся на соответствие требованиям:

- Руководящего документа. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от 30 марта 1992 г. Гостехкомиссии Россия;

- Нормативно-технического документа. Специальные требования и рекомендации по технической защите конфиденциальной информации от 30 августа 2002 г. № 282 Гостехкомиссии России;

- ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения (утвержден Приказом Федеральнольного агенства по техническому регулированию и метрологии от 17 апреля 2012 г. № 2-ст РО);

- ГОСТ РО 0043-003-2013. Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний (утвержден Приказом Федеральнольного агенства по техническому регулированию и метрологии от 12 апреля 2013 г. № 1-ст РО).

Проведение периодического (ежегодного) контроля объектов информатизации, операторами которых являются органы исполнительной власти Омской области

Периодический (ежегодный) контроль проводится с целью проверки соответствия аттестованного объекта информатизации требованиям безопасности информации.

В ходе проведения ежегодного контроля проверяется:

-  соответствие приведенного описания состава основных технических средств и систем в Техническом паспорте объекта информатизации реальному составу;

-  соответствие приведенных средств защиты информации в Техническом паспорте объекта информатизации реальному составу и соответствие контрольных сумм;

-  соблюдение требований организационно-технических мероприятий по защите информации.

Министерство промышленности, связи, цифрового и научно-технического развития Омской области производит аттестационные испытания в соответствии с лицензиями:

- Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации;

- Федеральной службы безопасности Российской Федерации (Управление Федеральной службы безопасности Российской Федерации по Омской области).

2.   Оказание методической помощи органам исполнительной власти Омской области  в проведении оценки соответствия информационных систем персональных данных, государственных информационных систем Омской области требованиям законодательства Российской Федерации в части защиты персональных данных.

Оценка соответствия мер, принимаемых органами исполнительной власти Омской области,  направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним следующими нормативными правовыми актами:

1.      Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2.      Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.      Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

4.      Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

5.      Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

6.      Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432).

7.      Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008 г. заместителем директора ФСТЭК России).

8.      Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России).
Основные цели проведения оценки соответствия:

-   предоставить органам исполнительной власти Омской области заключение о текущем состоянии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

- сформировать рекомендации для выполнения органами исполнительной власти Омской области требований законодательства Российской Федерации, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.