×
Мы перезвоним Вам
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
×
Напишите нам
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Популярные услуги
×

Что такое аттестация АС?

В процессе определения что такое аттестация можно столкнутся с двумя формулировками. Одни считают, что аттестация — это процесс оценки соответствия автоматизированной системы (АС) требованиям по защите информации (ТрЗИ), другие уверены, что аттестация — это техническая подготовка, организационная подготовка, правовая подготовка и только после аттестационного испытания (АИ) и оценка соответствия ТрЗИ.
Что бы не блуждать в трех соснах и определить, что такое аттестация, мы воспользуемся положением по аттестации объектов информатизации по требованиям безопасности информации, принятым еще Гостехкомиссией.
Согласно положению, аттестация — это комплекс организационно-технических мероприятий, по результатам которых организации выдается Аттестат соответствия, подтверждающий, что АС соответствует ТрЗИ выбранного нормативно-методического документа (НМД).
Положение кроме этого, содержит еще и точный перечень выполняемых при аттестации АС работ. В них входят:
-анализ предоставленной по объекту информации;
-ознакомление с объектом;
-обследование объекта и анализ организационной подготовки;
-практические испытания системы защиты информации (СЗИ);
-комплексные испытания аттестуемого объекта в «боевом» режиме работы;
-оформление заключения по результатам АИ.

Вывод: аттестация — это процесс оценки соответствия АС ТрЗИ, который не имеет никакого отношения к построению защиты АС.

Подтверждение нашего вывода есть в 17 приказе ФСТЭК. Пункт 13 указанного приказа выделяет этап аттестации как отдельный процесс, который выполняется только после разработки и внедрения СЗИ.

Для чего необходима аттестация АС?

В первую очередь это официальное подтверждение того, что организация в процессе обработки конфиденциальной информации выполняет требования по защите. Это дает преимущество в работе с другими организациями и с государственными структурами. Показывает подготовленность и серьезность компании.
Во-вторых, это позволяет организации на законных основаниях выполнять обработку конфиденциальной информации и не боятся того, что в любой момент нагрянет проверка и наложит санкции за ненадлежащее исполнение ТрЗИ.

Кому нужна аттестация АС?

Обязательна аттестация для организаций, которые в процессе своей деятельности попадают под требования Федеральных законов, актов Президента Российской Федерации, нормативно-правовых актов уполномоченных органов и других законодательных актов.
Чаще всего это:
Учреждения, обрабатывающие ГТ;
Организации, взаимодействующие с государственными информационными ресурсами;
Учреждения, с АС, зарегистрированными в реестре ГИС;
Учреждения, с АС, являющимися критическими информационными инфраструктурами;
Организации, зарегистрированные в реестре операторов персональных данных;
Соискатели лицензий ФСТЭК;
Соискатели лицензии ФСБ.

Какие существуют типы АС и требования по их защите?

На данный момент аттестационные испытания проводятся на соответствие руководящим документам:
-СТР-К и РД АС;
-489 приказ ФСТЭК;
-382-П и СТО БР ИББС;
-17 приказ ФСТЭК;
-21 приказ ФСТЭК;
-31 приказ ФСТЭК;
-235 и 239 приказы ФСТЭК.

Кроме обязательных требований под каждый тип АС есть общие требования по аттестации:
— Положение по аттестации объектов информатизации по требованиям безопасности информации;
— ГОСТ Аттестация объектов информатизации. Общие положения. Но данный документ носит ограничительную пометку для служебного пользования и в свободном доступе его нет.

Как проводится аттестации АС?

Понимание сути процесса проведения аттестационных испытаний у обычно обывателя так же бывает довольно разным. В этом плане, данный вопрос своей проблемой аналогичен вопросу «что такое аттестация?», который был рассмотрен в начале статьи. Какие обычно бывают вариант:
-есть предположение, что это процесс поиска и анализа уязвимостей;
-есть предположение, что это попытка осуществить проникновение в систему за счет найденной уязвимости;
-опять же, некоторые подразумевают разработку и внедрение СЗИ с последующей ее проверкой;
-кто-то считает, что процедура аттестации заключается в мониторинге состояния защищенности АС.

Что бы отбросить заведомо ошибочные предположения воспользуемся положением по аттестации объектов информатизации. Согласно пункту 1.4 которого, аттестация это оценка соответствия ТрЗИ. Перечень требований, по которым оценивается АС строго определен соответствующим НМД.

Порядок самой аттестации АС определен в п.3.1 того же положения. Но мы приведем лишь те моменты, которые касаются именно процесса аттестации:
-обследование объекта;
-разработка программы и методик (ПИМ) АИ;
-проведение АИ;
-оформление Аттестата соответствия;

По результатам АИ подготавливаются отчетные материалы. В первую очередь заказчик получает:
— ПИМ АИ;
— Протокол АИ;
— Заключение АИ.
После завершения аттестационных испытаний, в случае положительного заключения, выдается:
— Аттестат соответствия.

Вывод: Аттестация заключается в оценке соответствия СЗИ в составе АС ТрЗИ. Данные требования диктуются НМД на соответствие требованиям которого аттестуется АС. «Например, аттестация ИСПДн проводится по ТрЗИ которые указаны в 21 приказе ФСТЭК».

Подсказка:
Необходимость аттестации, по требованиям, которые в обязательном порядке определены типом АС, не отменяет возможность аттестации АС и по другим, дополнительным требованиям. Что это значит? Это значит, что, в процессе аттестации АС по 21 приказу ФСТЭК, попутно возможна оценка соответствия требованиям 17 приказа ФСТЭК. В случае положительного заключения по результатам проверки в аттестате будет указано, что АС аттестована по требованиям 21 приказа, но также выполняет требования 17 приказа.

Кто имеет право осуществлять аттестацию АС?

Аттестацию АС могут производить исключительно организации имеющие лицензию ФСТЭК. Данные лицензиаты должны иметь лицензию на тех. защиту конфиденциальной информации (ТЗКИ) с пунктами «а», «б», «в» и обладать на праве собственности необходимым оборудованием, в соответствии с перечнем контрольно-измерительного оборудования, установленного правительством РФ и утвержденного ФСТЭК. Выполнение указанных требований позволяет производить АИ АС.

Естественно, это не все требования к лицензиатам ФСТЭК. В полной мере требования к лицензиатам ФСТЭК по направлению ТЗКИ раскрыты в постановлении правительства N 79.

«Главное, что необходимо знать, это то, что организация должна быть лицензиатом ФСТЭК, обладать лицензией ТЗКИ с пунктами «а», «б», «в» и иметь в собственности контрольно-измерительное оборудование.»

Для аттестации АС обрабатывающих конфиденциальную информацию достаточно лицензии ТЗКИ. А для аттестации АС обрабатывающих информацию, в том числе составляющую государственную тайну, организации лицензиату ФСТЭК уже потребуется получить аттестат аккредитации органа по аттестации.

Что необходимо учитывать при планировании аттестации АС?

1)Выполнить подготовку к АИ может и сам владелец АС. Для этого не требуется привлекать лицензиатов ФСТЭК. Но данную работу лучше переложить на плечи той организации которая будет производить АИ. Это позволит:
— избежать ошибок и сократить время на этапе подготовки;
— организовать достаточную систему защиты;
— получить скорейший положительный результат.

2)Для проведения подготовки не своей АС потребуется лицензия ФСТЭК на ТЗКИ.

3)По требованиям 17 приказа ФСТЭК, одно и то же лицо не может одновременно проектировать и арестовывать СЗИ.

Стоимость аттестации АС?

Стоимость аттестации в первую очередь зависит от масштаба АС. От количества и состава автоматизированных рабочих мест (АРМ) и серверов. То есть, аттестация АС с 1 АРМ, будет иметь совершенно иную стоимость в отличие от АС с 100 АРМ и 5 серверами.

Кроме количественных объемов АС на стоимость аттестации так же влияют:
1)Требования по которым необходимо аттестовать АС;
2)Наличие или отсутствие предыдущей аттестации АС;
3)Необходимость предварительной подготовки АС к аттестации.

Только после детального обсуждения и анализа характеристик АС, возможно определить точную стоимость проведения работ по аттестации.

Пример цены в грубой форме, без учета факторов, влияющих на ценообразование, следующий. Если аттестация АС из 1 АРМ, без подготовки, на рынке в среднем стоит 80 тысяч рублей, то аттестация АС из 100 АРМ, будет стоить уже 20 тысяч рублей за одно рабочее место.

Более точный расчет можно сделать только после первичного ознакомления с организационно-техническими характеристиками АС, которую необходимо аттестовать.