Аттестация автоматизированных систем (АС)

На соответствие каким НМД проводится?

До 2021 года, Аттестация АС проводилась строго на соответствие РД АС Гостехкомиссии от 30.11.1992 г., В 2021 году ФСТЭК выпустил Приказ № 77 от 29.04.2021, который вступил в силу 01.09.2021. С момента выхода 77 Приказа работы по Аттестации АС стали разделяться на два подхода:

• Аттестация по старым требованиям Гостехкомиссии.
• Аттестация в соответствии с новыми требованиями ФСТЭК.

Формально, описательная часть 77 Приказа не содержит упоминания такого объекта информатизации как АС. Так же упомянутый приказ не содержит и запретов на использование описанного порядка для аттестации объектов информатизации не описанных в п.3 данного приказа.

Как итог, на рынке сейчас присутствует два варианта предложений – по старым требованиям и по новым.

Какой вариант выбрать?

Перед владельцем АС встает вопрос – какой вариант выбрать. Давайте разбираться в нюансах.

• Первое отличие: по старым требованиям Аттестат выдается на срок до 3х лет, по новым требованиям – Аттестат бессрочный (на весь срок эксплуатации объекта информатизации). Тут очевидно, что бессрочный Аттестат более выгодный вариант.
• Второе отличие: по старым требованиям владелец объекта не отчитывается перед ФСТЭК, по новым – регулярно отчитывается о состоянии объекта. В соответствии с п.32 Приказа № 77, владелец ОИ обязан проводить периодические контроли своего объекта, и не реже чем раз в 2 года отправлять отчетность о проведении таких контролей. Проведение периодических (ежегодных) контролей предусматривалось и старыми требованиями, но вот отправка отчетности по ним не предусматривалась.
• Финансовая составляющая, На практике, ввиду того что АС не фигурирует как объект, на который распространяются требования Приказа № 77, Аттестацию АС проводят с учетом требований, например, 17 Приказа ФСТЭК или 21 Приказа ФСТЭК. Что может повлиять на стоимость работ в сторону увеличения. Т.е. дешевле провести Аттестацию по старым требованиям.
• Обновление нормативной базы. Скорее всего, аттестация по старым требованиям, со временем, будет отменена. И Аттестация АС будет регламентирована каким-то новым НМД, либо будет расширен какой-то из существующих документов.

D итоге, на данный момент, выбор остается за владельцем ОИ, который он делает с учётом описанной выше специфики. Кому-то принципиально нужен бессрочный Аттестат. Кто-то хочет сэкономить и выбирает аттестацию по старым требвоаниям.

Что нужно для Аттестации АС?

Если перед вами встала задача по Аттестации, но вы не знаете с чего начать, то нижу указан минимальный набор для начала работ:

• Помещение, в котором размещается АС;
• Персональный компьютер, с установленной операционной системой;
• Персонал, который будет работать в АС;

При наличии этих пунктов уже можно приступать к работам по Аттестации АС.

Если стоит задача удешевить работы, то своими силами можно сделать следующие мероприятия:

• Разработать пакет ОРД для АС;
• Разработать, закупить и внедрить систему защиты информации(СЗИ) в АС;

После этого можно уже приступать непосредственно к Аттестационным испытаниям АС.

На практике, разработку ОРД и монтаж СЗИ в 99% случаев передают Подрядчику. У Заказчика банально отсутствует компетенция в данных вопросах, а сумма экономии довольно мала.

Кто может провести мероприятия по защите и аттестации АС?

Владелец АС вправе сам осуществить мероприятия по защите своей АС, главное, чтобы эти работы выполнял компетентный исполнитель. В случае некомпетентного исполнения, велика вероятность что работу просто придется переделывать. Исполнитель должен хорошо знать и ориентироваться в НМД ФСТЭК России.

ЮЛ не может аттестовать свою же АС. Для проведения непосредственно Аттестационных мероприятий, обязательно нужно привлекать организацию лицензиата ФСТЭК России. При этом лицензия должна быть определенная – на техническую защиту конфиденциальной информации. А также стоит учитывать, что в лицензии исполнителя должны быть открыты определенные пункты, позволяющие выполнять работы по аттестации, а именно пункты «Б и Г». Если вы привлекаете организацию еще и на этап проектирования и внедрения системы защиты информации АС, то, помимо пунктов «Б и Г» в лицензии исполнителя должны быть открыты пункты «Д и Е». Что означают эти пункты можно посмотреть в Постановлении Правительства № 79 от 03.02.2012. Проверить исполнителя на предмет наличия необходимых пунктов в лицензии можно в реестре лицензиатов ФСТЭК на ТЗКИ, введя, например, номер ИНН исполнителя в поле «ИНН лицензиата».

У нашей организации есть все необходимые лицензии.

Сколько стоит Аттестация АС?

Стоимость, напрямую зависит от характеристик ОИ.

В качестве примера, рассмотрим типовой объект, с которым к нам приходят на аттестацию:

• Аттестуемое автоматизированное рабочее место (АРМ) состоящее из одного ПК с принтером (МФУ). На АРМ предустановлена ОС Windows 10 и MS Office 2016.
• Помещение площадью до 15 кв.м. В котором располагается не более 3х объектов вспомогательных технических средств (техника, которая не обрабатывает конфиденциальную информацию, но находится в помещении), например, это может быть 3 компьютера или 3 сервера.

Стоимость Аттестации такого АРМ по классу «2Б» будет стоить 90 т.р., дополнительно, в затраты Владельца АС попадает закупка СЗИ на АРМ, это еще порядка 10 т.р.

Если же, характеристики АС, которую планируется аттестовать нетиповые – например, ваша АС распределена по зданию (городу, региону, стране), находится в нескольких помещениях, на разных этажах и включает в себя несколько сотен ПК и десятки серверов, то цена будет уже совершенно другого порядка. Стоимость закупки одних средств защиты информации может в этом случае доходить до нескольких миллионов рублей.

В этом случае, предлагаем заполнить нашу анкету-опросник и отправить её нам на почту, наш менеджер свяжется с вами и предоставит индивидуальное коммерческое предложение.

Сроки.

Аналогично предыдущему пункту, сроки исполнения напрямую зависят от характеристик ОИ, который планируется аттестовать. Если возьмем в качестве примера АС в составе которой одно АРМ, на которое уже установлены СЗИ, то срок исполнения такой работы – 2-3 рабочих дня. Если потребуется закупка СЗИ, тот тут срок может увеличиться на две календарных недели (это средний срок отгрузки сертифицированного ПО конечному Заказчику).

Если же ОИ основан на большой материально-технической базе (сотни АРМ, распределен по разным адресам/городам/регионам), то сроки могут быть довольно длительными.

Определить точные сроки в таких проектах можно только после подробного ознакомления с ОИ. Что бы ускорить данный процесс предлагаем заполнить нашу анкету-опросник и отправить её нам на почту.

Ну и не забывайте, что многие вопросы требуют согласования с Владельцем ОИ. От того как быстро будут решаться вопросы на стороне Заказчика итоговый срок исполнения работ по аттестации АС зависит в бОльшей степени.

А могут ли нам отказать в выдаче Аттестата или предоставить гарантии успешного результата?

Заочно оформить аттестат вам могут только мошенники или фирмы «однодневки».

В остальном все довольно просто – если вы выполняете первые три условия из п.4, то уже можете со 100% уверенностью рассчитывать на положительный результат.

Отказы очень редко, но бывают, в 100% случаев они связаны с неправильным подходом Заказчика – «я заплатил, за меня всё сделают». Так данная задача не решается, если вам обещают всё сделать за вас – это маркетинговый слоган. Участие владельца ОИ в процессе все равно требуется, хоть оно и несущественное. И нужно понимать, что участие в процессе аттестации — это не только бремя, но и возможность разобраться в материале и быть готовым к возможным вопросам от регуляторов/контрагентов.

АС после Аттестации, что делать владельцу АС?

Если вы задаетесь этим вопросом – вы на правильном пути. Ибо 90% владельцев аттестованных объектов, после получения Аттестата соответствия, считают вопрос закрытым. Материалы по данной работе в лучшем случае убирают на самую дальнюю полку в шкаф, а зачастую просто теряют. А за судьбой Аттестованной АС никто не следит, а её состояние не поддерживают должным образом.

Так что же должен делать Владелец АС, после получения Вожделенного Аттестата? Давайте по пунктам:

• Следить за работоспособностью АС и актуальностью ПО. Устанавливать критические обновления для общесистемного и прикладного ПО. Обновлять ПО МЗИ и продлевать лицензии (как правило, выдаются на 1 год)
• Проводить периодические контроли. Периодичность контроля зависит от АС. Мы рекомендуем проводить периодические контроли не реже 1 раза в год.
• В случае аттестации по требованиям Приказа № 77 ФСТЭК, минимум раз в 2 года отправлять в региональное управление ФСТЭК сведения о проведении периодических контролей своего ОИ.
• В случае внесения изменений в конфигурацию АС, уведомлять аттестующую организацию. Совместно с аттестующей организацией актуализировать документацию на АС. В случае серьезных изменений – проводить процедуру переаттестации АС.
• Следить за актуальностью ОРД. При необходимости дорабатывать.
• Следить за законодательством в части безопасности конфиденциальной информации.

Не забывайте, ваш объект информатизации – это в первую очередь ваша ответственность!