Аттестация систем защиты ГИС. Что нового?
13 сентября 2019 г. Минюст зарегистрировал Приказ ФСТЭК «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17».
Главное изменение, внесённое Приказом, в части аттестации – срок действия аттестата – теперь он выдаётся на весь срок эксплуатации ГИС. Однако это не освобождает оператора от необходимости поддерживать систему защиты и инфраструктуру ГИС в соответствии с аттестатом.
ФСТЭК России вводит периодичность контроля обеспечения уровня защищенности информации: для ГИС 1 класса защищенности — не реже одного раза в год, для ИС 2 и 3 классов защищенности — не реже одного раза в два года, — и, конечно, эта периодичность должна быть зафиксирована в документации на ГИС.
Кроме того, внесена ясность по «должностным лицам» и «работникам» — комплекс работ по проектированию и аттестации системы защиты может проводить одна и та же организация, но в этих работах должны быть задействованы разные люди.