Обработка конфиденциальной информации должна производиться на специально подготовленном, аттестованном рабочем месте.
Сроки: от 2 рабочих дней
Стоимость: от 90 000 рублей
Так что же такое Аттестация автоматизированной системы (АС)? Начать лучше с терминологии в нормативно-методической документации (НМД).
Обратимся к документу «Положение по аттестации объектов информатизации…» от 25.11.1994. П.1.4 данного Положения гласит, что под Аттестацией объектов информатизации (ОИ) понимается комплекс организационно-технических мероприятий, в результате которых, посредством Аттестата соответствия подтверждается, что объект соответствует требованиям НМД.
Дополнительно, обратимся к свежему документу из под пера ФСТЭК – Приказу № 77 от 29.04.2021. П.4 Приказа содержит следующую формулировку. Аттестация – …. Проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Таким образом видим, что за почти 30 лет, принципиально подход к Аттестации не изменился.
Теперь определимся с тем, что же такое АС. В разной НМД существует несколько определений для АС, но также как в случае с термином Аттестация, смысл заложен всегда один. Автоматизированная система – это система, состоящая из технического средства автоматизации выполнения предопределенных функций системы, оператора этой системы, организационно-распорядительной документации (ОРД), обеспечивающй правильную и бесперебойную работу данной системы.
В современной интерпретации АС – это некая компьютерная система, с набором определенного общесистемного и прикладного ПО, у которой есть Оператор(ы) и регламентирующая работу в системе документация.
Таким образом, Аттестация АС – это проверка условий обработки конфиденциальной информации в некой компьютерной системе (зачастую 1 компьютер), проверка компетенции персонала данной системы и организационно-технической документации на данную систему.
До 2021 года, Аттестация АС проводилась строго на соответствие РД АС Гостехкомиссии от 30.11.1992 г., В 2021 году ФСТЭК выпустил Приказ № 77 от 29.04.2021, который вступил в силу 01.09.2021. С момента выхода 77 Приказа работы по Аттестации АС стали разделяться на два подхода:
Формально, описательная часть 77 Приказа не содержит упоминания такого объекта информатизации как АС. Так же упомянутый приказ не содержит и запретов на использование описанного порядка для аттестации объектов информатизации не описанных в п.3 данного приказа.
Как итог, на рынке сейчас присутствует два варианта предложений – по старым требованиям и по новым.
Перед владельцем АС встает вопрос – какой вариант выбрать. Давайте разбираться в нюансах.
D итоге, на данный момент, выбор остается за владельцем ОИ, который он делает с учётом описанной выше специфики. Кому-то принципиально нужен бессрочный Аттестат. Кто-то хочет сэкономить и выбирает аттестацию по старым требвоаниям.
Если перед вами встала задача по Аттестации, но вы не знаете с чего начать, то нижу указан минимальный набор для начала работ:
При наличии этих пунктов уже можно приступать к работам по Аттестации АС.
Если стоит задача удешевить работы, то своими силами можно сделать следующие мероприятия:
После этого можно уже приступать непосредственно к Аттестационным испытаниям АС.
На практике, разработку ОРД и монтаж СЗИ в 99% случаев передают Подрядчику. У Заказчика банально отсутствует компетенция в данных вопросах, а сумма экономии довольно мала.
Владелец АС вправе сам осуществить мероприятия по защите своей АС, главное, чтобы эти работы выполнял компетентный исполнитель. В случае некомпетентного исполнения, велика вероятность что работу просто придется переделывать. Исполнитель должен хорошо знать и ориентироваться в НМД ФСТЭК России.
ЮЛ не может аттестовать свою же АС. Для проведения непосредственно Аттестационных мероприятий, обязательно нужно привлекать организацию лицензиата ФСТЭК России. При этом лицензия должна быть определенная – на техническую защиту конфиденциальной информации. А также стоит учитывать, что в лицензии исполнителя должны быть открыты определенные пункты, позволяющие выполнять работы по аттестации, а именно пункты «Б и Г». Если вы привлекаете организацию еще и на этап проектирования и внедрения системы защиты информации АС, то, помимо пунктов «Б и Г» в лицензии исполнителя должны быть открыты пункты «Д и Е». Что означают эти пункты можно посмотреть в Постановлении Правительства № 79 от 03.02.2012. Проверить исполнителя на предмет наличия необходимых пунктов в лицензии можно в реестре лицензиатов ФСТЭК на ТЗКИ, введя, например, номер ИНН исполнителя в поле «ИНН лицензиата».
У нашей организации есть все необходимые лицензии.
Стоимость, напрямую зависит от характеристик ОИ.
В качестве примера, рассмотрим типовой объект, с которым к нам приходят на аттестацию:
Стоимость Аттестации такого АРМ по классу «2Б» будет стоить 90 т.р., дополнительно, в затраты Владельца АС попадает закупка СЗИ на АРМ, это еще порядка 10 т.р.
Если же, характеристики АС, которую планируется аттестовать нетиповые – например, ваша АС распределена по зданию (городу, региону, стране), находится в нескольких помещениях, на разных этажах и включает в себя несколько сотен ПК и десятки серверов, то цена будет уже совершенно другого порядка. Стоимость закупки одних средств защиты информации может в этом случае доходить до нескольких миллионов рублей.
В этом случае, предлагаем заполнить нашу анкету-опросник и отправить её нам на почту, наш менеджер свяжется с вами и предоставит индивидуальное коммерческое предложение.
Аналогично предыдущему пункту, сроки исполнения напрямую зависят от характеристик ОИ, который планируется аттестовать. Если возьмем в качестве примера АС в составе которой одно АРМ, на которое уже установлены СЗИ, то срок исполнения такой работы – 2-3 рабочих дня. Если потребуется закупка СЗИ, тот тут срок может увеличиться на две календарных недели (это средний срок отгрузки сертифицированного ПО конечному Заказчику).
Если же ОИ основан на большой материально-технической базе (сотни АРМ, распределен по разным адресам/городам/регионам), то сроки могут быть довольно длительными.
Определить точные сроки в таких проектах можно только после подробного ознакомления с ОИ. Что бы ускорить данный процесс предлагаем заполнить нашу анкету-опросник и отправить её нам на почту.
Ну и не забывайте, что многие вопросы требуют согласования с Владельцем ОИ. От того как быстро будут решаться вопросы на стороне Заказчика итоговый срок исполнения работ по аттестации АС зависит в бОльшей степени.
Заочно оформить аттестат вам могут только мошенники или фирмы «однодневки».
В остальном все довольно просто – если вы выполняете первые три условия из п.4, то уже можете со 100% уверенностью рассчитывать на положительный результат.
Отказы очень редко, но бывают, в 100% случаев они связаны с неправильным подходом Заказчика – «я заплатил, за меня всё сделают». Так данная задача не решается, если вам обещают всё сделать за вас – это маркетинговый слоган. Участие владельца ОИ в процессе все равно требуется, хоть оно и несущественное. И нужно понимать, что участие в процессе аттестации — это не только бремя, но и возможность разобраться в материале и быть готовым к возможным вопросам от регуляторов/контрагентов.
Если вы задаетесь этим вопросом – вы на правильном пути. Ибо 90% владельцев аттестованных объектов, после получения Аттестата соответствия, считают вопрос закрытым. Материалы по данной работе в лучшем случае убирают на самую дальнюю полку в шкаф, а зачастую просто теряют. А за судьбой Аттестованной АС никто не следит, а её состояние не поддерживают должным образом.
Так что же должен делать Владелец АС, после получения Вожделенного Аттестата? Давайте по пунктам:
Не забывайте, ваш объект информатизации – это в первую очередь ваша ответственность!