1. РостестУрал
  2. Разрешительные документы
  3. Прочее
  4. Аттестация объектов информатизации

Аттестация объектов информатизации

Аттестация объектов информатизации
Проводим аттестацию объектов информатизации по требованиям нормативных документов. Подготовка материалов и оформление аттестата соответствия.

Объекты информатизации — это автоматизированные системы (структуры, модели, комплексы мер), серверные комплексы, рабочие станции, каналы связи, помещения для обработки данных ограниченного распространения. Они применяются в органах власти, промышленности, оборонной сфере, финансовом секторе. При работе с гостайной либо иной охраняемой законом информацией, требуется удостоверить соответствие автоматизированной модели нормам безопасности.

Аттестация — официальный механизм проверки, который подтверждает, что комплекс мер охраны обеспечивает необходимый уровень безопасности.

Сущность и назначение аттестации объекта информатизации

Аттестация по нормативам безопасности — это официальная проверка информационной системы на соответствие требованиям по защите данных с последующей выдачей аттестата соответствия. Проверяется выполнение организационных, технических мер, корректность настройки средств защиты информации (СЗИ), соблюдение правил доступа.

Цель процедуры — удостоверить, что автоматизированная модель отвечает требованиям регулятора, выявить нарушения, подтвердить готовность проверяемого элемента к эксплуатации в условиях обработки данных, доступ к которым ограничен.

Аттестация проводится в отношении объектов, где обрабатываются информационные потоки, составляющие гостайну либо иные сведения ограниченного характера. По итогам выдается аттестат, который подтверждает право функционирования системы в предусмотренном режиме.

В каких случаях нужно аттестовать объект информатизации

Процедура бывает обязательной либо инициируется собственником. Основание — Приказ № 77, утверждённый ФСТЭК РФ 29 апреля 2021 года, который устанавливает правила проверки.

Обязательная аттестация требуется:

  • для информационных структур государственных и местных органов власти;

  • моделей управления производственными процессами предприятий оборонной промышленности;

  • помещений для обсуждения информационных потоков, относящихся к гостайне.

По инициативе собственника проведение аттестации объекта информатизации возможно:

  • для частных стратегически важных систем хранения и обработки данных РФ;

  • программ и баз, где ведётся работа с персональными данными частных организаций;

  • автоматизированных моделей контроля и регулирования производственных процессов на опасных производствах.

СПРАВКА. В каждом случае регулятор устанавливает конкретные требования к охране информации, перечень проверяемых мер, состав документации.

Порядок проведения аттестации объектов информатизации

Алгоритм закреплен Приказом ФСТЭК № 77. Документ устанавливает этапы, правила оформления результатов, требования к испытаниям.

Процедура включает:

  1. Оценку исходных данных. Анализируется назначение аттестуемого элемента, категория обрабатываемой информации, наличие сведений, составляющих государственную тайну.

  2. Разработку программы, методики тестов. Определяются виды проверок, критерии оценки, перечень тестов.

  3. Экспертное обследование. Проводится выездное обследование, анализируется состояние комплекса мер охраны, технический комплекс.

  4. Организация тестирований. Проверяется выполнение установленных норм, корректность настройки СЗИ, разграничение доступа.

  5. Анализ результатов. Оценивается выполнение требований по охране информационных потоков.

  6. Оформление заключения. Подготавливается итоговый документ о возможности эксплуатации.

Проведение аттестации завершается выдачей аттестата соответствия при положительном результате испытаний.

Кто вправе проводить аттестацию

Осуществление допускается исключительно организациями, обладающими лицензией ФСТЭК РФ на выполнение работ по техзащите информации. Лицензия подтверждает право выполнять работы в области охраны данных, доступ к которым ограничен.

Аттестационная организация обязана соблюдать установленный порядок, применять сертифицированные технические средства, оформлять комплект документов.

По итогам заказчику передается:

  • организационно-распорядительная документация;

  • технический паспорт системы;

  • приказы, инструкции по охране данных;

  • описание техпроцесса работы с информационными потоками;

  • программа, методика тестирований;

  • протоколы испытаний;

  • заключение по результатам проверочных работ;

  • аттестат соответствия.

СПРАВКА. Для государственных информационных систем дополнительно оформляется акт классификации.

Нормативная база аттестации

Проверка проводится на основании действующего законодательства РФ, нормативных актов регуляторов.

Ключевые документы:

  • ФЗ № 149-ФЗ — закрепляет общие требования к охране данных;

  • ФЗ № 152-ФЗ — устанавливает требования к охране личных данных при их использовании;

  • ФЗ № 5485-1 — регулирует работу с информационными потоками, составляющими гостайну;

  • Приказ ФСТЭК России № 77 от 29.04.2021 — определяет порядок аттестации;

  • ГОСТ Р 51624 — устанавливает требования к автоматизированным системам в защищенном исполнении;

  • ГОСТ Р 50922-2006 — содержит основные термины, применяемые в области защиты информации.

ВАЖНО. Нормативная база устанавливает требования к составу комплекса мер защиты, к процедуре испытаний, к оформлению аттестационного заключения. Несоблюдение норм влечет административную ответственность, при нарушении режима государственной тайны возможна уголовная ответственность.

Результаты аттестации и оформление аттестата соответствия

По завершении тестирований формируется аттестационное заключение. В документе отражается перечень проведенных испытаний, выявленные несоответствия, выносится решение о том, можно ли использовать объект.

При положительном заключении подготавливается аттестат, который подтверждает, что объект отвечает установленным требованиям по охране информации.

Срок действия этого документа устанавливается в соответствии с нормативными правилами. При изменении конфигурации модели, технического комплекса, состава программных средств может потребоваться повторное проведение аттестации.

ВАЖНО. Работа объекта без действующего аттестата в случаях обязательной аттестации не допускается.

Какие еще документы требуются компаниям

Для обеспечения полного соответствия требованиям надежности организациям может потребоваться дополнительная документация.

  1. Разработка техпаспорта на объект информатизации по установленной форме.

  2. Сертификаты на внедренные модели управления ИСО 9001, ИСО 14001, ИСО 45001. Стандарты регулируют модель менеджмента качества, экологический менеджмент, управление безопасностью работников.

  3. Сертификация СЗИ в системе ФСТЭК России.

  4. Получение лицензии ФСТЭК на работу по техзащите данных.

Комплексное выполнение требований позволяет обеспечить законное использование объекта, подтвердить соответствие установленным нормам безопасности.

Нужно ли заново проходить аттестацию, если в ходе проверки выявлены нарушения?

Полное повторное прохождение процедуры требуется не всегда. Сначала разрабатывается план корректирующих мероприятий по устранению выявленных несоответствий. После выполнения этих мер проводится повторная аттестационная проверка. Объем повторной процедуры зависит от характера замечаний — она может быть частичной либо полной.

По каким критериям определяется класс защищенности объекта информатизации согласно Приказу ФСТЭК № 77?

Класс защищенности устанавливается на основании характера обрабатываемой информации, ее объема, уровня значимости, возможных последствий нарушения безопасности. При определении учитываются нормативные акты ФСТЭК России в области защиты информации, включая профильные приказы, например № 17.

По вопросам получения услуг в рассрочку обращайтесь к консультанту

ЗАКАЖИТЕ РАСЧЕТ СТОИМОСТИ НЕОБХОДИМОГО ВАМ ДОКУМЕНТА

Введите только цифры. Пример: 88003020956

pointer
Узнайте на сколько Ваш бизнес соответствует
требованиям законодательства