1. РостестУрал
  2. Разрешительные документы
  3. Прочее
  4. Аттестация автоматизированных рабочих мест (АРМ)

Аттестация автоматизированных рабочих мест (АРМ)

Аттестация автоматизированных рабочих мест (АРМ)
Аттестация автоматизированных рабочих мест по требованиям ФСТЭК и ФСБ. Подготовка документов, проведение проверок и получение аттестата безопасности информации.

Аттестация автоматизированного рабочего места (АРМ) - процедура оценки соответствия рабочего места установленным нормам по безопасности информации. Проверяются компьютер сотрудника, подключенное оборудование, программные продукты, сетевые соединения и настроенные уровни доступа.

Оценка соответствия может носить обязательный или рекомендательный характер. Выбор зависит от категории обрабатываемых данных и особенностей построения информационной инфраструктуры организации.

Обязательная аттестация АРМ по требованиям безопасности информации требуется, если рабочее место подключено к государственной, корпоративной или другой защищенной структуре и используется для анализа охраняемых цифровых ресурсов.

Рекомендательная процедура целесообразна при взаимодействии с корпоративной информацией без формально установленного режима доступа, при обработке персональных данных, при обращении с конфиденциальной и ограниченной к распространению информацией. 

Когда нужна аттестация автоматизированных рабочих мест

Процедура необходима организациям, которые работают с защищаемыми данными и подпадают под нормы регуляторов:

  • операторам персональных данных (ИСПДн) по Федеральному закону № 152-ФЗ;

  • субъектам, осуществляющим эксплуатацию государственных инфосистем (ГИС) по Приказу ФСТЭК России № 17;

  •  операторам объектов критической информационной инфраструктуры по Приказу ФСТЭК России № 239;

  • организациям, применяющим АСУ ТП на значимых объектах по Приказу ФСТЭК РФ № 31;

  • информационным системам, функционирующим с соблюдением норм СТР-К при работе с конфиденциальными сведениями.

При корректировке состава оборудования АРМ, включая замену ОС, требуется проведение повторной оценки соответствия.

Процедура подтверждает соответствие утвержденным нормам безопасности и направлена на снижение рисков утечки информации, особенно конфиденциальной. Она способствует защите сотрудников и цифровых ресурсов компании, обеспечивает выполнение обязательных требований законодательства и повышает лояльность со стороны надзорных органов, партнеров и заказчиков. 

Требования к аттестации автоматизированных рабочих мест

К числу критериев безопасности при процедуре оценки соответствия относятся:

  • правильная конфигурация ОС и установленного ПО;

  • администрирование учетных записей и настройка параметров доступа;

  • организация сохранности сетевых соединений и каналов информационного обмена;

  • использование и результативность инструментов защиты от неправомерного доступа и влияния вредоносного ПО;

  • процедуры по созданию резервных копий и восстановления данных;

  • реализация положений внутренних стандартов в сфере защиты информации. 

Нормативные документы для аттестации АРМ

Алгоритм процедуры регулируется рядом Приказов ФСТЭК России:

  • № 17 от 11.02.2013 — по вопросам оценки ГИС;

  • № 21 от 18.02.2013 — в сфере защиты сведений в ИСПДн;

  • № 31 от 14.03.2014 — по организации безопасности АСУ ТП;

  • № 77 от 29.04.2021 — устанавливает общий алгоритм оценки;

  • № 110 от 20.06.2022 — содержит методические указания;

  • № 239 от 25.12.2017 — регулирует требования к значимым объектам КИИ.

Порядок проведения аттестации автоматизированного рабочего места

Этапы подтверждения соответствия АРМ:

  • Анализ документации — проводится оценка представленных материалов либо формируется полный комплект документации на рабочее место, включая техпаспорт, модель угроз, проектные документы и сведения о системе защиты данных.

  • Подготовительный этап — разрабатываются программа и методика аттестационных испытаний, которые согласовываются с заказчиком.

  • Проведение экспертиз — выполняется всесторонняя оценка защищенности мест: исследуются возможные каналы утечки сведений, проверяется работа механизмов разграничения доступа, анализируется соответствие оборудования и ПО критериям безопасности.

  • Оформление результатов — составляются протоколы испытаний.

  • Выдача аттестата. 

Документы по результатам аттестации и сертификации АРМ

Контроль проводят в отношении объекта информатизации в целом — АРМ, информационной системы или помещения. Процедура удостоверяет, что совокупность мер защиты соответствует нормам ФСТЭК РФ.

По результатам формируется аттестат, который не ограничен в сроке действия. Его наличие не освобождает владельца от последующего контроля.

Собственник АРМ обязан:

  • регулярно проверять корректность работы средств защиты данных;

  • контролировать актуальность настроек и конфигурации;

  • учитывать возникновение угроз;

  • фиксировать результаты проверок и внесенные корректировки в техпаспорте объекта.

Если в процессе модернизации меняется конфигурация программно-технических средств, они заменяются или подключаются допкомпоненты, осуществляются дополнительные аттестационные мероприятия. Ранее выданный аттестат сохраняет силу.

Повторная оценка требуется, если модернизация:

  • повышает класс защищенности или категорию значимости объекта;

  • изменяет виды и перечень средств защиты;

  • влияет на структуру, размещение или конфигурацию ключевых элементов.

ФСТЭК России либо ее территориальный орган вправе приостановить действие аттестата в следующих случаях:

  • выявлено несоответствие установленным нормам по сохранению данных;

  • нарушения по итогам оценки не устранены;

  • в установленный срок не представлены протоколы контроля степени защищенности;

  • модернизация архитектуры системы вызвала несоответствие положениям выданного аттестата;

  • владелец подал заявление о приостановке.

Базой для таких решений служат результаты контрольных мероприятий, проводимых регулятором в рамках его полномочий, в том числе по Указу Президента РФ № 1085.

Аттестация — это инструмент обеспечения информационной безопасности. Она позволяет выполнить обязательные требования законодательства, включая положения Федерального закона № 152-ФЗ, снизить риск утечек сведений и снизить риск наступления административной ответственности.

Сертификация подтверждает соответствие конкретного средства или решения утвержденным нормам безопасности. Результатом процедуры является сертификат или свидетельство.

Документ подтверждает, что рабочее место отвечает нормам:

  • по предотвращению неправомерного доступа, изменения и утраты информации;

  • по предупреждению утечки по техканалам;

  • по надежности и корректной работе техсредств;

  • по безопасной эксплуатации.

Наличие сертификата обязательно при применении АРМ в госорганах, в организациях, обрабатывающих конфиденциальную информацию, персональные данные, составляющие гостайну.

Для участия в тендере по работам с гостайной требуется аттестация АРМ. Что это означает и с чего начать?

Оценка АРМ представляет собой комплексную проверку соответствия утвержденным нормам по защите информации согласно требованиям ФСТЭК России.

В ходе контроля анализируется состав и конфигурация техсредств, применяемое ПО, реализуемые механизмы защиты информации.

Начальным этапом является предпроектное обследование и анализ действующей системы инфобезопасности, определяется объем работ и формируется программа мероприятий.

В чем разница между сертификацией и аттестацией ФСТЭК?

Сертификация удостоверяет, что отдельное средство защиты информации соответствует нормам безопасности.

Аттестация осуществляется в отношении объекта информатизации в целом — АРМ, информационной системы или помещения — и подтверждает, что весь комплекс реализованных технических и организационных мероприятий отвечает требованиям регулятора.

По вопросам получения услуг в рассрочку обращайтесь к консультанту

ЗАКАЖИТЕ РАСЧЕТ СТОИМОСТИ НЕОБХОДИМОГО ВАМ ДОКУМЕНТА

Введите только цифры. Пример: 88003020956

pointer
Узнайте на сколько Ваш бизнес соответствует
требованиям законодательства