Экспертные материалы по лицензированию

Лицензия ФСТЭК на гостайну нужна тем компаниям, которые осуществляют работы и оказывают услуги по проектированию и настройке информационных систем в защищенном исполнении, проводят аттестацию и мониторинг технических средств защиты информации на объектах, где происходит обработка секретных сведений.

Сейчас защита информации необходима не только при работе с государственной и коммерческой тайной. Хищение информации третьими лицами может причинить ущерб любому бизнесу, особенно если конкуренты знают, как использовать полученные данные. Именно поэтому многие предпочитают периодически проверять технику и помещения своего офиса на наличие «жучков» или «прослушки», а также уязвимостей в компьютерах и сетевых устройствах.

Аттестация объекта информатизации позволяет убедиться, что система, помещение и оборудование компании соответствуют требованиям ФСТЭК по защите информации. Это особенно важно для организаций, которые планируют работать с критически важными данными, персональными данными или информацией, подлежащей обязательной защите по законодательству.

Выбирая провайдера для поставки облачных услуг, многие придерживаются принципа: «чем больше сертификатов и лицензий у поставщика, тем лучше и надёжнее услуги». Так ли это на самом деле? Не всегда. Большинство разрешений, сертификатов и лицензий требуется при оказании довольно специфических услуг, потребителями которых является узкий круг заказчиков. Для большинства же такие документы бесполезны и играют скорее статусную роль: чем больше документов с солидными аббревиатурами ведомств ФСБ, ФСТЭК и им подобных, тем надёжнее и круче выглядит поставщик.

Уже полгода действует закон о критической информационной инфраструктуре, и близок тот момент, когда круг субъектов КИИ, наконец, окончательно определится. Для них появится другая забота: обеспечение технической защиты информационной системы, закупка соответствующего оборудования, профессиональная помощь специалистов по защите информации и т. д. И если для частного бизнеса — обладателя объекта КИИ ещё есть поле для манёвра, то для тех систем, которые признаны значимыми и входят в число ГИС, закупка технических средств и программного обеспечения проходит исключительно в порядке тендерных торгов.

Несколько последних лет показали, что кибератакам подвержены не только государственные и банковские информационные системы. Хакеров привлекают и такие отрасли, как медицина и фармацевтика, логистика, сетевой и интернет-бизнес. На теневом рынке существует определённый перечень услуг, направленных на парализацию бизнеса конкурента, например, «положить» сайт компании, найти уязвимости в защите системы и получить доступ к базам данных, и т. д. Подробнее…

С принятием закона о безопасности критической информационной инфраструктуры (КИИ) и соответствующих нормативных актов у многих специалистов возникает множество вопросов. Особенно непонятно, как ФСТЭК взаимодействует с субъектами КИИ и какую роль выполняет в профилактике инцидентов информационной безопасности. Иногда складывается впечатление, что регулятор «не реагирует» на сообщения о кибератаках, а требования в приказах и положениях кажутся расплывчатыми. Разберёмся, как это работает на самом деле.

Как оценить защищенность вашей информационной системы от хакеров? На сегодняшний день самый оптимальный вариант – пентестинг системы, или по-русски – планируемое и контролируемое тестирование компьютерных сетей на уязвимости и возможность противостоять хакерским атакам.

Для чего нужен пентестинг

Этот процесс позволяет оценить защищенность IT-системы и выявить возможные уязвимости и слабые места в безопасности. Пентесты – это целенаправленные атаки определённого рода, создаваемые с целью выявить, классифицировать и описать, а впоследствии — нейтрализовать опасности и бреши в системе ИБ и усилить защиту информационной системы.

Основной вопрос, который волнует соискателей при получении лицензии ФСТЭК на ТЗКИ — цена подготовки. Хотите примерно подсчитать стоимость лицензирования? Рассмотрим, сколько стоит каждый этап оформления.

Обеспечение надлежащей защищённости данных — необходимое условие при работе с конфиденциальной информацией. Показателем соответствия данного критерия стандартам безопасности ФСТЭК является наличие аттестата соответствия — документа, выдаваемого после специальной проверки информационной системы, используемой соискателем лицензии ФСТЭК на ТЗКИ.

Объекты, подлежащие обязательной аттестации

При подготовке к спецэкспертизе ФСБ при получении лицензии на гостайну соискатель приводит помещения в офисе в соответствие требованиям защиты информации. При этом больше всего внимания уделяется именно технической защите, так как по мнению большинства людей именно «жучки» и хакеры становятся причиной утечки секретной информации. И совершенно забывают о других каналах несанкционированного доступа к гостайне.

Между тем, хищение секретных данных может происходить не только с применением сложных технических средств или внедрения вредоносного кода в компьютерную систему.

В наше время без информационных технологий нельзя себе представить ни повседневную жизнь, ни бизнес-процессы. Однако, чем больше мы полагаемся на интернет и цифровые способы передачи данных, тем активнее становятся злоумышленники, стремящиеся получить доступ к внутренней информации вашей компании.

С развитием технологий сложнее выявить и вовремя устранить уязвимости информационной безопасности. Примером этого может служить хотя бы значительно возросшее число целенаправленных, или таргетированных, атак (advanced persistent threat), за которыми всё чаще стоят не одинокие взломщики-любители, а слаженные команды профессиональных хакеров, получающих за это немалые деньги. Эти атаки становятся всё более проработанными и сложными, и с каждым днём появляются их новые разновидности. Кроме того, так называемые уязвимости нулевого дня сейчас использовать значительно легче: существует целый рынок технологий, позволяющих их заказать и эксплуатировать. Поэтому очевидно, что и защита от современных атак должна в свою очередь разрабатываться группами специалистов, знающих толк в кибербезопасности.