Top.Mail.Ru
Учитываем требования заранее, чтобы не переделывать инфраструктуру и не задерживать аттестацию
Готовы к проверке ФЗ №117?
Доступ подрядчиков к системе нужно регламентировать и контролировать: уязвимости исполнителя могут затронуть ресурсы заказчика
Подрядчик это отдельная зона риска
Даже действующий аттестат не отменяет необходимость привести защиту к новым требованиям и регулярно оценивать ее состояние
Аттестат не закрывает все риски
Оцениваются не только СЗИ, но и архитектура, регламенты, управление доступом, действия сотрудников и эффективность принятых мер
Одних средств защиты недостаточно
Упущения при проектировании переходят во внедрение и эксплуатацию, поэтому исправлять приходится уже работающую систему
Ошибка проходит через весь цикл
Приказ ФСТЭК №117 требует не разовой настройки защиты, а непрерывного управления ею. Пробелы в архитектуре, документах и процессах могут обнаружиться при оценке или аттестации, когда система уже работает и требует доработки
Требования строже — риски выше
Почему это важно
Скачайте краткую шпаргалку по приказу ФСТЭК №117 с перечнем технических и организационных мер для ГИС различных классов защищенности
Хотите разобраться в новых требованиях?
Исправление замечаний и повторные испытания могут отложить аттестацию и ввод ГИС в эксплуатацию
Увеличение сроков
Несоответствия могут выявиться при оценке состояния защиты или аттестации, когда сроки уже зафиксированы
Сложности при аттестации
Придется внедрять дополнительные меры защиты, повторно настраивать сервисы и обновлять документацию
Повторные работы и закупки
Может потребоваться менять сетевую структуру, серверную инфраструктуру и механизмы доступа уже после внедрения
Переделка архитектуры
Если требования не заложить при проектировании, несоответствия могут обнаружиться уже при оценке или аттестации
Что будет, если требования не учесть
Лишение свободы за компьютерные преступления, повлекшие тяжкие последствия. Максимальный срок предусмотрен для неправомерного воздействия на объекты КИИ
До 2 лет
Лишение свободы
Штраф для юридического лица за нарушение требований к защите информации или использование несертифицированных средств защиты
До 1 000 000 ₽
Штраф
Несоблюдение обязательных требований по защите информации может повлечь административную и уголовную ответственность
Ответственность за нарушение
Ответственность
Обеспечиваем поддержку инфраструктуры и помогаем поддерживать соответствие требованиям при ее дальнейшем развитии
Сопровождение проекта
Оформляем техническую документацию для эксплуатации, сопровождения и последующей аттестации системы
Подготовка документации
Настраиваем управление доступом, резервное копирование, журналирование и необходимые средства защиты
Настройка защиты
Разворачиваем серверные, сетевые и программные компоненты в соответствии с утвержденным проектом
Внедрение инфраструктуры
Разрабатываем технические решения с учетом требований к сети, доступу, журналированию и защите информации
Проектирование архитектуры
Изучаем особенности инфраструктуры, определяем применимые требования безопасности и состав необходимых мероприятий
Анализ требований
При реализации инфраструктурных проектов требования ФСТЭК учитываются с первого этапа работ
Наши специалисты выполняют весь комплекс работ
Решение
Мы подготовили чек-лист организационных требований приказа №117. Он поможет оценить наличие необходимых документов, регламентов и процессов защиты информации
Проверьте готовность вашей организации
Расскажите о задачах вашей организации. Мы предложим инфраструктурное решение, в котором требования ФСТЭК будут учтены уже на этапе проектирования
Обсудите ваш проект