Аттестация по требованиям безопасности
Аттестация по требованиям безопасности — это процедура официального подтверждения соответствия объекта защиты (информационной системы, автоматизированного рабочего места, вычислительной сети, помещения) установленным нормативным требованиям в области защиты информации от несанкционированного доступа, утечки по техническим каналам, а также от утечки конфиденциальной информации при её обработке. В Российской Федерации аттестация является обязательным этапом для государственных информационных систем, систем персональных данных и объектов критической информационной инфраструктуры, если они обрабатывают сведения, отнесённые к государственной тайне, или иную информацию, подлежащую обязательной защите в соответствии с законодательством.
История и нормативная база
Практика аттестации объектов информатизации по требованиям безопасности сложилась в России в 1990-х годах, когда возникла необходимость унификации подходов к защите государственных информационных ресурсов. Первые методические документы были разработаны Государственной технической комиссией при Президенте РФ (Гостехкомиссия России), которая в 2004 году была преобразована в Федеральную службу по техническому и экспортному контролю (ФСТЭК России).
Основополагающим нормативным актом является Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который устанавливает общие требования к защите информации. Конкретные правила аттестации регламентируются:
- Положением о сертификации средств защиты информации и аттестации объектов информатизации (утверждено приказом ФСТЭК России);
- Требованиями к защите информации, содержащейся в государственных информационных системах (приказ ФСТЭК России № 17 от 11 февраля 2013 года);
- Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных (приказ ФСТЭК России № 21 от 18 февраля 2013 года);
- Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (приказ ФСТЭК России № 31 от 14 марта 2014 года).
Цели и задачи аттестации
Аттестация по требованиям безопасности преследует следующие цели:
- Подтверждение соответствия — документальное доказательство того, что объект защиты (система, сеть, помещение) построен и эксплуатируется в строгом соответствии с утверждённым проектом, техническим заданием и нормативными документами;
- Выявление уязвимостей — в ходе аттестационных испытаний проверяется эффективность реализованных мер защиты: антивирусной защиты, межсетевого экранирования, системы разграничения доступа, средств криптографической защиты и физической охраны;
- Легитимация обработки информации — получение аттестата соответствия является обязательным условием для начала обработки персональных данных или государственной тайны в данной системе;
- Снижение рисков — аттестация позволяет минимизировать вероятность утечки конфиденциальной информации, финансовых потерь и административной ответственности за нарушение требований законодательства.
Классификация объектов аттестации
Объекты, подлежащие аттестации, делятся на несколько категорий:
- Автоматизированные системы (АС) — комплексы программно-аппаратных средств, предназначенные для обработки информации. В зависимости от класса защищённости (1, 2, 3 или 4) различаются требования к системе защиты;
- Информационные системы персональных данных (ИСПДн) — системы, обрабатывающие персональные данные граждан. Аттестация обязательна для государственных ИСПДн и для коммерческих систем, если они обрабатывают специальные категории данных (состояние здоровья, биометрические данные);
- Государственные информационные системы (ГИС) — системы, создаваемые на средства федерального или регионального бюджета. Аттестация проводится в обязательном порядке до ввода в эксплуатацию;
- Объекты критической информационной инфраструктуры (КИИ) — системы, обеспечивающие функционирование промышленных, транспортных, энергетических и финансовых объектов. Аттестация регулируется Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Помещения и выделенные зоны — комнаты, в которых установлены серверы, коммутационное оборудование или рабочие станции, обрабатывающие конфиденциальную информацию. Для таких объектов проводятся аттестационные испытания по техническим каналам утечки (акустика, виброакустика, электромагнитные излучения).
Процедура аттестации
Процесс аттестации включает несколько последовательных этапов:
1. Разработка технического задания и проекта
На начальном этапе заказчик (владелец объекта) формирует техническое задание на создание системы защиты информации. В нём определяются класс защищённости, перечень угроз, модель нарушителя и необходимые организационно-технические меры. На основе технического задания разрабатывается проект системы защиты информации (СЗИ).
2. Реализация мер защиты
Внедряются средства защиты: антивирусное ПО, межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты, системы контроля доступа, видеонаблюдение и сигнализация. Проводится обучение персонала правилам работы с конфиденциальной информацией.
3. Аттестационные испытания
Испытания проводятся аккредитованной организацией (лицензиатом ФСТЭК России или ФСБ России). В ходе испытаний проверяются:
- Организационные меры — наличие приказов, инструкций, журналов учёта, политик безопасности;
- Технические меры — корректность настройки средств защиты, отсутствие уязвимостей, эффективность разграничения доступа;
- Физическая защита — состояние помещений, система пропускного режима, защита от несанкционированного проникновения;
- Контроль технических каналов — измерение уровней побочных электромагнитных излучений, акустических сигналов, вибраций.
4. Оформление аттестата соответствия
При положительном результате испытаний оформляется «Аттестат соответствия» установленного образца. В документе указываются: наименование объекта, дата выдачи, срок действия (обычно 3 года, но может быть меньше в зависимости от класса защищённости), перечень проверенных требований и наименование органа, выдавшего аттестат. Аттестат подписывается руководителем организации-исполнителя и заверяется печатью.
5. Периодический контроль
В течение срока действия аттестата владелец объекта обязан проводить периодический контроль (не реже одного раза в год) — проверку текущего состояния системы защиты. При выявлении нарушений или изменении конфигурации системы (замена оборудования, обновление ПО, изменение структуры сети) проводится внеочередная аттестация.
Органы, уполномоченные проводить аттестацию
Право на проведение аттестационных испытаний имеют организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, а также лицензию ФСБ России на работы, связанные с использованием шифровальных (криптографических) средств. Аккредитацию таких организаций осуществляет ФСТЭК России. Крупнейшими центрами аттестации в России являются:
- Федеральное государственное унитарное предприятие «Научно-технический центр «Атлас»;
- Федеральное автономное учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации» (ФАУ «ГНИИИ ПТЗИ»);
- Отраслевые центры при министерствах и ведомствах (например, Минобороны, МВД, ФСБ).
Ответственность за отсутствие аттестации
Эксплуатация информационной системы, подлежащей обязательной аттестации, без соответствующего аттестата является нарушением законодательства Российской Федерации. В зависимости от характера нарушения и категории обрабатываемой информации предусмотрена административная и уголовная ответственность:
- Административная ответственность (ст. 13.12, 13.13 КоАП РФ) — штрафы для должностных лиц от 4 000 до 20 000 рублей, для юридических лиц — от 40 000 до 200 000 рублей;
- Уголовная ответственность (ст. 274 УК РФ) — за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, — до 5 лет лишения свободы;
- Дисциплинарная ответственность — для государственных и муниципальных служащих возможно увольнение в связи с утратой доверия.
Особенности аттестации для государственной тайны
Для объектов, обрабатывающих сведения, составляющие государственную тайну, процедура аттестации ужесточена. Требования регулируются Законом РФ от 21 июля 1993 года № 5485-1 «О государственной тайне» и нормативными документами ФСТЭК России. Аттестация проводится только организациями, имеющими лицензию ФСБ России на проведение работ с использованием сведений соответствующей степени секретности. В ходе испытаний в обязательном порядке проверяется:
- Наличие и исправность средств криптографической защиты информации (СКЗИ);
- Состояние режима секретности в организации;
- Соответствие помещений требованиям по защите от утечки по техническим каналам (акустика, виброакустика, электромагнитные излучения);
- Квалификация персонала, допущенного к работе с секретными сведениями.
Критика и проблемы
Несмотря на формальную необходимость, процедура аттестации по требованиям безопасности подвергается критике со стороны специалистов по информационной безопасности. Основные замечания:
- Формализм — аттестация часто сводится к проверке наличия документов, а не реальной эффективности защиты. Система может быть аттестована, но при этом оставаться уязвимой для современных атак;
- Высокая стоимость — проведение аттестации требует значительных финансовых затрат (от нескольких сотен тысяч до нескольких миллионов рублей), что особенно тяжело для малого и среднего бизнеса;
- Длительность процедуры — от подачи заявки до получения аттестата может пройти от 3 до 12 месяцев, что замедляет внедрение новых информационных систем;
- Недостаточная актуальность — нормативные требования обновляются медленнее, чем развиваются технологии, поэтому аттестованная система может не соответствовать современным угрозам (например, атакам с использованием искусственного интеллекта или социальной инженерии).
Перспективы развития
В 2023–2024 годах ФСТЭК России инициировала реформу системы аттестации, направленную на упрощение процедуры для негосударственных систем и усиление контроля за объектами КИИ. Планируется внедрение автоматизированных средств мониторинга защищённости, которые позволят проводить дистанционные проверки без выезда комиссии. Также обсуждается переход к «риск-ориентированному» подходу, при котором глубина проверки зависит от критичности обрабатываемой информации и потенциального ущерба от утечки.
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
- Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
- Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами».
- Кодекс Российской Федерации об административных правонарушениях (ст. 13.12, 13.13).
- Уголовный кодекс Российской Федерации (ст. 274).
- Методические документы ФСТЭК России: «Меры защиты информации в государственных информационных системах» (утв. 11.02.2014).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →