Работаем со всеми регионами РФ
Аттестация в организации объектов информации
Аттестация объектов информатизации – представляет собой комплексную проверку соответствия реализованных на объекте информатизации мер защиты требованиям, которые определены регламентирующей документацией регулятора (ФСТЭК России).
Процедура проведения аттестации бывает, как добровольной, так и обязательной. Конкретные требования к аттестуемому объекту определяются информацией, которая обрабатывается на этом объекте и подлежит защите в рамках законодательства.
Аттестационные испытания и выдача аттестата соответствия, как правило, являются финальной стадией ввода объекта информатизации в эксплуатацию. Выдача аттестата соответствия подтверждает, что реализованные меры по защите информации на объекте полностью соответствуют требованиям регулятора, в данном случае ФСТЭК России.
Обязательность аттестации определяется рядом факторов.
Если смотреть «в лоб», требования законодательства, то обязательной, например, является аттестация государственных информационных систем – ГИС (п.3 Приказ №17 ФСТЭК). Так же обязательной, является аттестация информационных систем персональных данных – ИСПДн (п.6 Приказ №21 ФСТЭК), хоть в документе это и не указано в явном виде, а приводится формулировка «оценка эффективности реализованных мер по обеспечению безопасности…», но для регулятора лишь одна форма оценки является однозначно легитимной – аттестацией.
Бывают случаи, когда аттестация является обязательной и для коммерческих организаций. Например, организация решила оказывать лицензируемый вид деятельности и получить лицензию. В этом случае, одним из обязательных требований к соискателю лицензии является наличие аттестованной автоматизированной системы и аттестованного защищаемого помещения, если мы говорим о лицензиях ФСТЭК России.
Зачастую, у обывателя складывается неправильное представление о процессе Аттестации, часто наши Заказчики думают, что Аттестация включает в себя и подготовительные этапы:
– предварительное обследование;
– разработка модели угроз и нарушителя;
– формирование технического задания;
– подготовка технического проекта на систему защиты;
– закупка и внедрение средств защиты согласно техническому проекту;
– разработка организационно-распорядительной документации.
Но согласно законодательству (к примеру, п.17 Приказа №17 ФСТЭК России) Аттестация — это лишь финальный этап проверки соответствия системы защиты информации требованиям законодательства, все предваряющие этот этап работы, не являются частью процесса Аттестации в организации.
Есть два принципиально разных типа объектов, которые подлежат Аттестации:
– Автоматизированные системы (Информационные системы);
– Защищаемые помещения (помещения в которых проводятся конфиденциальные переговоры).
Под первый тип подпадает большинство объектов – автоматизированные системы, ИСПДн, ГИС, АСУ ТП, Объекты КИИ и т.д.
Что касается защищаемых помещений, это отдельный объект, который имеет отличительную специфику в плане подготовки системы защиты и проведения аттестационных испытаний. Основное отличие заключается в том, что все мероприятия направлены на защиту речевой информации, тогда как при защите автоматизированных систем (ИС) основным объектом защиты является информация, хранящаяся либо в электронном виде (файлы на ПК, в базах данных, на серверах, на съемных носителях информации и т.д.), либо на бумажных носителях.
Согласно п.31 Приказа №77 ФСТЭК России аттестат соответствия выдается на весь срок эксплуатации объекта информатизации – проще говоря, аттестат является бессрочным. Однако, требования приказа №77 в явном виде не распространяются на процедуру аттестации автоматизированных систем. Согласно п. 6.6.4. ГОСТ РО 0043-003-2012 (документ с грифом ДСП) аттестат на АС выдается на срок не более чем три года.
Раньше, до 1 сентября 2021 года (до вступления в силу Приказа №77 ФСТЭК России), Аттестаты выдавались, как правило, на 3 года. Для государственных информационных систем, срок действия Аттестата ограничивался 5-ю годами. То есть по истечению этих периодов, владелец объекта информатизации обязан был инициировать процесс повторной аттестации.
Теперь же Аттестаты соответствия выдаются на весь срок эксплуатации объекта информатизации. Соответственно, если условия обработки информации не меняются, то и переаттестацию проводить не требуется.
Но все-таки, есть случаи, когда переаттестация неизбежна:
– замена или добавление нового оборудования в рамках объекта информатизации;
– физический переезд объекта информатизации на другое место (в другое помещение, здание, город и т.д.),
– потребность обработки информации другого типа и/или уровня защищенности;
– внесение изменений в систему защиты информации (замена средств защиты, добавление/удаление элементов защиты).
В этих случаях, владелец объекта информатизации обязан в установленном порядке уведомить орган по Аттестации и инициировать процесс переаттестации, в противном случае действие Аттестата соответствия приостанавливается, а в случае не устранения несоответствия Аттестат отзывается.
Полный перечень обязанностей и прав владельцев аттестованных объектов информатизации приведен в Приказе №77 ФСТЭК России. Особенно хотелось бы обратить внимание на п.31, который обязывает владельца аттестованного объекта информатизации раз в 2 года предоставлять в территориальный орган ФСТЭК России протоколы контроля защиты информации. В случае не проведения периодического контроля и/или не предоставления протоколов во ФСТЭК России, регулятор имеет право приостановить действие аттестата соответствия (п.34 Приказ №77 ФСТЭК России).
Данную процедуру инициирует владелец объекта информатизации. Для проведения данного типа работ, как правило, привлекают тот же орган по аттестации, который проводил аттестацию объекта, но владелец вправе обратиться в любую другую организацию, имеющую соответствующую лицензию ФСТЭК России.
Сроки проведения периодического контроля, закреплены в руководящих документов для каждого типа аттестуемых объектов. Например, для ГИС 1 класса (согласно п.18.7 Приказа №17 ФСТЭК России) периодичность проведения контроля – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в 2 года.
Мы рекомендуем проводить контроль для любого объекта информатизации не реже 1 раза в год. Так как требования руководящих документов могут разнится. Например, на данный момент, для ИСПДн в Приказе №21 ФСТЭК России прописано проведение контроля не реже 1 раза в три года, что противоречит требованиям Приказа №77 ФСТЭК. Мы ожидаем, что в дальнейшем нормативная база регулятора будет приводится к единообразию, но пока противоречий в нормативной базе довольно много.
Проведение аттестационных испытаний объектов информатизации является лицензируемым видом деятельности ФСТЭК России. Соответственно, проводить данные работы могут только лицензиаты ФСТЭК России, с соответствующим пунктом (пункт «г») в лицензии «на деятельность по технической защите конфиденциальной информации».
Данный вопрос является самым часто задаваемым, но при этом не имеющим однозначного ответа. Стоимость зависит от многих факторов. Для примера, рассмотрим аттестацию автоматизированной системы по требованиям РД АС и СТР-К. Если будет аттестация АС состоящей из одного АРМ, без подключения к локальной сети и/или глобальным телекоммуникационным сетям связи, то стоимость будет начинаться от 100 000р. Если же это будет распределенная АС, состоящая из нескольких десятков АРМ, находящихся в разных зданиях/городах/регионах, осуществляющая передачу по глобальным телекоммуникационным сетям связи, то стоимость легко может перевалить за несколько миллионов рублей.
Исходя из выше написанного, объективную оценку стоимости можно осуществить только по результатам предварительного обследования объекта, который планируется аттестовать.
