Работаем со всеми регионами РФ
Обработка конфиденциальной информации должна производиться на специально подготовленном, аттестованном рабочем месте.
Сроки: от 2 рабочих дней
Стоимость: от 90 000 рублей
Так что же такое аттестация автоматизированной системы (АС)? Начать лучше с терминологии в нормативно-методической документации (НМД).
Обратимся к документу «Положение по аттестации объектов информатизации…» от 25.11.1994. П.1.4 данного Положения гласит, что под аттестацией объектов информатизации (ОИ) понимается комплекс организационно-технических мероприятий, в результате которых, посредством Аттестата соответствия, подтверждается, что объект соответствует требованиям НМД.
Дополнительно, обратимся к свежему документу из-под пера ФСТЭК – Приказу № 77 от 29.04.2021. П.4 Приказа содержит следующую формулировку: аттестация – это проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Таким образом, видим, что за почти 30 лет принципиально подход к аттестации не изменился.
Теперь определимся с тем, что же такое АС система. В разной НМД существует несколько определений для АС системы, но также как в случае с термином аттестация, смысл заложен всегда один. АС автоматизированная система – это система, состоящая из технического средства автоматизации выполнения предопределенных функций системы, оператора этой системы, организационно-распорядительной документации (ОРД), обеспечивающей правильную и бесперебойную работу данной системы.
В современной интерпретации АС автоматизированная система — это некая компьютерная система, с набором определенного общесистемного и прикладного ПО, у которой есть оператор(ы) и регламентирующая работу в системе документация. Автоматизированные системы включают в себя комплекс программно-аппаратных средств и документов, которые позволяют системе работать и обрабатывать данные в соответствии с требованиями нормативных документов.
Таким образом, аттестация АС — это проверка условий обработки конфиденциальной информации в некой компьютерной системе (зачастую одном компьютере), проверка компетенции персонала данной системы и организационно-технической документации на данную систему. Система аттестации таких объектов направлена на подтверждение того, что автоматизированные системы соответствуют стандартам защиты информации. Различные виды аттестации объектов информатизации позволяют учитывать особенности конкретной системы и выбирать оптимальные подходы к ее аттестации.
До 2021 года аттестация автоматизированные системы проводилась строго на соответствие РД АС Гостехкомиссии от 30.11.1992 г. В 2021 году ФСТЭК выпустил Приказ № 77 от 29.04.2021, вступивший в силу 01.09.2021. С момента выхода этого приказа система аттестации автоматизированных систем разделилась на два подхода:
Формально, описательная часть 77 Приказа не содержит упоминания такого объекта информатизации, как АС система, однако приказ не запрещает использовать описанный порядок для аттестации объектов, не описанных в пункте 3 приказа. Как результат, на рынке существуют два варианта аттестации — по старым требованиям и по новым.
Перед владельцем АС системы встает вопрос, какой вариант выбрать. Давайте разберем нюансы. Главное отличие в том, что по старым требованиям аттестат выдается на срок до 3-х лет, а по новым требованиям — на весь срок эксплуатации объекта информатизации, то есть бессрочно. Бессрочный аттестат — более выгодный вариант. Второе отличие касается отчетности. По старым требованиям владелец АС системы не отчитывается перед ФСТЭК, по новым — отчитывается. В соответствии с п.32 Приказа № 77, владелец объекта информатизации обязан регулярно проводить контроль состояния объекта, а раз в два года отправлять отчетность о проверках. Стоимость аттестации может варьироваться: так как автоматизированные системы не фигурируют в Приказе № 77, для них часто применяются требования Приказа № 17 или № 21 ФСТЭК, что может повлиять на цену в сторону увеличения. Таким образом, аттестация по старым требованиям зачастую дешевле.
Для начала работ по аттестации автоматизированной системы потребуются следующие ресурсы:
Важное значение также имеет наличие организационно-распорядительной документации и системы защиты информации (СЗИ). Если необходима экономия, можно своими силами подготовить документацию и установить базовые СЗИ, однако 99% заказчиков передают эти задачи подрядчику, поскольку собственных компетенций для их выполнения часто не хватает.
Виды аттестации объектов информатизации варьируются в зависимости от уровня защищенности и требований к системе. Аттестацию автоматизированных систем вправе проводить только лицензированные исполнители ФСТЭК, имеющие лицензию на техническую защиту конфиденциальной информации. При этом в лицензии должны быть открыты определенные пункты, позволяющие выполнять аттестационные работы, такие как пункты «Б и Г». Для этапов проектирования и внедрения системы защиты информации дополнительно нужны пункты «Д и Е». Проверить наличие необходимых лицензий у исполнителя можно в реестре лицензиатов ФСТЭК на ТЗКИ по номеру ИНН.
Стоимость и сроки зависят от характеристик объекта информатизации. Типовой пример: автоматизированное рабочее место (АРМ) с одним компьютером и принтером, ОС Windows 10 и MS Office 2016, помещение до 15 кв. м с тремя техническими средствами, не обрабатывающими конфиденциальную информацию. Аттестация такого АРМ по классу «2Б» стоит около 90 тыс. руб., плюс 10 тыс. руб. на СЗИ. При нетипичных характеристиках системы стоимость может возрасти: если система распределена по зданиям, регионам и включает сотни компьютеров и серверов, то только закупка СЗИ может стоить миллионы рублей. Для определения точной стоимости заполняется анкета-опросник, отправляемая на почту менеджеру для подготовки индивидуального предложения.
Сроки аттестации также зависят от характеристик объекта. Например, аттестация одной АС системы с установленной СЗИ занимает 2-3 дня. Если требуется закупка СЗИ, срок увеличивается на две недели — это средний срок отгрузки сертифицированного ПО. Для больших объектов сроки будут длительными и требуют точного согласования с владельцем объекта. Для ускорения процесса также заполняется анкета-опросник.
Заочно оформить аттестат могут только мошенники или фирмы-однодневки. Отказы случаются редко, и они связаны с неправильным подходом заказчика: участие владельца АС системы в процессе необходимо. Внимательное отношение к процессу — это возможность разобраться в теме и быть готовым к возможным вопросам от регуляторов.
Важно не забывать о сопровождении аттестованной системы. Основные обязанности владельца АС после получения аттестата включают контроль работоспособности системы, установку критических обновлений ПО, периодические проверки, отчетность в ФСТЭК раз в два года при аттестации по Приказу № 77, уведомление аттестующей организации о внесенных изменениях в конфигурацию системы и своевременное обновление ОРД.
Аттестация информационной системы — это важный процесс, направленный на защиту данных. Компания предлагает комплексные услуги по аттестации информационных систем и автоматизированных систем. Мы проводим детальный аудит, проверяем уязвимости и разрабатываем меры по их устранению. Аттестация системы защиты информации включает проверку всех мер, направленных на защиту данных. В результате вы получаете аттестат соответствия требованиям безопасности, подтверждающий высокий уровень защиты.
Наша команда состоит из опытных специалистов в области информационной безопасности. Мы учитываем все аспекты, от технических средств до организационных мер, и предлагаем индивидуальные решения, соответствующие законодательным требованиям. Свяжитесь с нами для консультации, наши специалисты помогут на каждом этапе — от подготовки к аттестации до получения аттестата соответствия требованиям безопасности. Не откладывайте безопасность на потом — защитите свои данные сегодня.
