Аттестация объектов информатизации
Аттестация объектов информатизации — это комплекс организационно-технических мероприятий, в результате которых уполномоченный орган (орган по аттестации) документально подтверждает соответствие объекта информатизации требованиям нормативных документов по защите информации, обрабатываемой на данном объекте. Аттестация является завершающим этапом создания системы защиты информации и обязательна для объектов, предназначенных для обработки сведений, составляющих государственную тайну, а также для государственных информационных систем (ГИС) и систем персональных данных (ИСПДн) в случаях, установленных законодательством Российской Федерации.
Цели и задачи аттестации
Основная цель аттестации — проверка и подтверждение того, что на объекте информатизации реализована система защиты информации, обеспечивающая выполнение установленных требований по защите от несанкционированного доступа (НСД), утечки по техническим каналам, специальных воздействий и других угроз безопасности информации.
Задачи аттестации включают:
- Оценку эффективности принятых мер защиты информации.
- Выявление недостатков в системе защиты и разработку рекомендаций по их устранению.
- Оформление Аттестата соответствия — официального документа, дающего право на обработку информации с заданным уровнем конфиденциальности или категорией.
- Определение перечня организационных и технических мер, которые необходимо поддерживать в актуальном состоянии в процессе эксплуатации.
Объекты, подлежащие аттестации
В соответствии с нормативными правовыми актами РФ, обязательной аттестации подлежат:
- Объекты информатизации, предназначенные для обработки сведений, составляющих государственную тайну. Это наиболее строгая категория, регламентируемая Законом РФ «О государственной тайне» и постановлениями Правительства РФ.
- Государственные информационные системы (ГИС). Согласно постановлению Правительства РФ № 1119 от 1 ноября 2012 г., для ГИС требуется подтверждение соответствия требованиям безопасности информации.
- Информационные системы персональных данных (ИСПДн). В случаях, установленных Федеральным законом № 152-ФЗ «О персональных данных», аттестация обязательна для систем, обрабатывающих специальные категории персональных данных (состояние здоровья, расовая принадлежность, политические взгляды) или биометрические персональные данные, а также для систем, обрабатывающих персональные данные сотрудников государственных органов.
- Автоматизированные системы управления (АСУ) и вычислительные комплексы, задействованные в критически важных объектах инфраструктуры (КВО) и объектах топливно-энергетического комплекса (ТЭК) — в соответствии с требованиями ФСТЭК России и Минцифры России.
Нормативно-правовая база
Аттестация объектов информатизации в РФ регулируется рядом документов:
- Закон РФ «О государственной тайне» (ст. 20, 21) — устанавливает обязательность лицензирования и сертификации для работы с гостайной.
- Федеральный закон № 152-ФЗ «О персональных данных» — определяет случаи, когда требуется аттестация ИСПДн.
- Постановление Правительства РФ № 1119 — утверждает требования к защите персональных данных в ИС.
- Приказ ФСТЭК России № 17 — утверждает Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
- Руководящие документы (РД) ФСТЭК России — например, РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утверждён решением Гостехкомиссии России от 30 марта 1992 г.).
- ГОСТ Р 51583-2014 — «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении».
- Методические документы ФСТЭК России — по оценке угроз безопасности информации и по организации аттестации.
Этапы проведения аттестации
Процесс аттестации, как правило, включает следующие стадии:
- Подготовительный этап:
- Разработка и утверждение программы и методики аттестационных испытаний (ПМИ).
- Формирование аттестационной комиссии из представителей органа по аттестации, заказчика и разработчика системы защиты.
- Сбор и анализ исходных данных: технической документации на объект, схемы информационных потоков, модели угроз, политики безопасности.
- Анализ проектной и эксплуатационной документации:
- Проверка наличия и полноты документов по защите информации (частное техническое задание, технический проект, инструкции пользователя и администратора безопасности).
- Оценка обоснованности выбора средств защиты информации (СЗИ).
- Проведение аттестационных испытаний:
- Технические испытания: проверка работоспособности СЗИ, тестирование на проникновение, анализ защищённости каналов связи, проверка антивирусной защиты, средств криптографической защиты информации (СКЗИ).
- Организационные испытания: проверка выполнения организационно-распорядительных документов (приказы, инструкции, журналы учёта), соблюдения пропускного режима, регламентов реагирования на инциденты.
- Инструментальный контроль: использование специализированного ПО (сканеры уязвимостей, анализаторы трафика) для выявления уязвимостей.
- Оформление результатов:
- Составление акта аттестационных испытаний, в котором фиксируются выявленные несоответствия.
- Устранение замечаний (при их наличии) и проведение повторных проверок.
- Выдача Аттестата соответствия (срок действия обычно 3–5 лет, но может быть ограничен сроком действия лицензии или до модернизации системы).
- Постаттестационное сопровождение:
- В период действия аттестата проводятся плановые и внеплановые проверки (контроль состояния защиты).
- При любых изменениях конфигурации объекта (замена оборудования, изменение ПО, расширение сети) требуется переаттестация.
Органы по аттестации
Право на проведение аттестации имеют юридические лица, получившие соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Такие организации должны иметь в штате аттестованных специалистов (экспертов по защите информации), испытательное оборудование и методическую базу.
Выделяют два типа аттестации:
- Первичная аттестация — проводится для вновь созданного или модернизированного объекта.
- Периодическая (повторная) аттестация — проводится по истечении срока действия аттестата или при существенных изменениях угроз (например, появление новых видов атак).
Последствия отсутствия аттестации
Эксплуатация объекта информатизации, подлежащего обязательной аттестации, без соответствующего Аттестата соответствия является нарушением законодательства РФ. Это влечёт за собой административную ответственность по ст. 13.12 КоАП РФ (нарушение правил защиты информации) и ст. 13.13 КоАП РФ (незаконная деятельность в области защиты информации), а также может стать основанием для привлечения к уголовной ответственности при утечке сведений, составляющих государственную тайну.
Особенности аттестации для различных типов объектов
- Для государственной тайны: требуется обязательное использование сертифицированных ФСБ России и ФСТЭК России СЗИ, аттестация проводится только лицензиатами ФСТЭК России с высшей формой допуска.
- Для ГИС: аттестация проводится по классам защищённости (К1, К2, К3) в зависимости от уровня значимости информации.
- Для ИСПДн: аттестация обязательна для систем 1-го и 2-го уровней защищённости (обрабатывающих специальные категории данных), для остальных — достаточно декларирования соответствия.
Критика и проблемы
Основные сложности, связанные с аттестацией объектов информатизации:
- Высокая стоимость и длительность процедуры — особенно для крупных распределённых систем.
- Бюрократизация процесса — избыточное количество бумажной документации, не всегда отражающей реальное состояние защиты.
- Несоответствие методик современным угрозам — некоторые требования были разработаны для устаревших архитектур и не учитывают облачные технологии, мобильные устройства и гибридные сети.
- Необходимость постоянной переаттестации при любых изменениях конфигурации, что создаёт дополнительную нагрузку на организации.
Тем не менее, аттестация остаётся ключевым инструментом государственного контроля в области защиты информации, обеспечивающим единый стандарт безопасности для критически важных систем.
Источники
- Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (1992).
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении».
- Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (утв. 11.02.2014).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →