Аттестация автоматизированных систем

Аттестация автоматизированных систем (АС) нужна для подтверждения того, что объект информатизации готов к работе с защищаемой информацией. Проверка показывает, насколько корректно выстроена безопасность, какие риски остаются, достаточно ли примененных мер для штатной эксплуатации.

Любой автоматизированный комплекс, в котором обрабатываются данные ограниченного доступа, требует контроля до начала полноценной работы либо после модернизации. В противном случае сохраняется риск утечки, подмены сведений, нарушения доступа, сбоя рабочих процессов. Аттестация помогает выявить слабые места заранее, до появления инцидента.

Формат проверки нужен для государственного сектора. Он обязателен также владельцам сложных цифровых решений, где автоматизация влияет на производственный цикл, управление оборудованием, обмен данными между подразделениями, безопасность помещений, устойчивость инфраструктуры. За счет этого владелец получает не формальный документ, а реальную оценку защищенности.

Регулирование в данной сфере осуществляет ФСТЭК России. Требование к проведению работ, состав материалов, порядок испытаний, итоговые документы определяются действующими нормами. Аттестация автоматизированной системы ФСТЭК проводится только по установленным правилам, без упрощенного подхода.

Что означает аттестация по требованиям ФСТЭК

Это проверка, в ходе которой подтверждается соблюдение автоматизированного решения нормам информационной безопасности. Оценивается не одна настройка, не один технический узел, а весь комплекс мер: программные средства, оборудование, организационный порядок, режим доступа, условия размещения, состав защищаемых ресурсов.

Проверка нужна для установления моментов:

допускается ли обработка информации на конкретном объекте;
достаточны ли внедренные меры безопасности;
может ли владелец эксплуатировать решение без нарушения нормативных требований.

Ранее основой выступали документы Гостехкомиссии. Сейчас порядок работ определяется в том числе приказом ФСТЭК №77. Для отдельных типов объектов применяются специальные документы. Например, дополнительные нормы используются для автоматизированных решений управления технологическим процессом.

Процедура может проводиться:

на стадии создания;
в период модернизации;
после ввода в эксплуатацию, если решение принято позже начала работы. Вариант актуален, когда на площадке уже действует цифровая среда, но вопрос защиты изначально не был доведен до необходимого уровня.

Какие объекты подлежат оценке

Не каждый цифровой ресурс требует обязательной аттестации. Решение зависит от назначения, категории сведений, статуса владельца, условий применения.

Обязательный порядок применяется в следующих случаях:

государственные информационные ресурсы;
муниципальные решения;
автоматизированные комплексы на предприятиях оборонно-промышленного профиля;
помещения, где ведутся закрытые переговоры;
иные объекты, для которых защита информации установлена как обязательный элемент эксплуатации.

По решению владельца аттестация также может проводиться для других категорий. Такой подход выбирают, когда требуется подтвердить соответствие, снизить риск претензий при проверках, получить понятную картину по уязвимостям.

Чаще всего добровольная проверка востребована для таких направлений:

негосударственный объект критической инфраструктуры;
корпоративная среда, где обрабатываются персональные данные;
автоматизированный контур на опасном производстве;
рабочий комплекс с несколькими площадками, серверами, выделенными помещениями.

Каждый объект рассматривается отдельно. Даже если внутри одной организации действует несколько взаимосвязанных решений, процедура проводится по конкретному контуру, для которого определяются защищаемые ресурсы, режим доступа, технический состав, особенности эксплуатации.

Какие требования учитываются

ФСТЭК предъявляет требования не к «бумажному наличию защиты», а к реальному состоянию системы. Проверяется, способен ли автоматизированный контур противостоять актуальным угрозам, соблюдаются ли правила доступа, корректно ли внедрены средства безопасности, соответствует ли документация фактической конфигурации.

При подготовке учитываются:

категория обрабатываемых данных;
назначение решения;
архитектура АС;
состав технических средств;
режим доступа в рабочий контур;
характеристики помещения;
модель угроз;
перечень защищаемых ресурсов.

Отдельное значение имеет применение сертифицированных средств. Механизмы безопасности без подтвержденных характеристик использовать сомнительно. То же касается организационной части: отсутствие инструкций, регламентов, приказов, разграничения доступа, учета действий персонала заметно снижает шансы на успешное завершение работ.

Кроме того, важен сам режим эксплуатации. Проверяется не только сервер, рабочий узел или сетевой сегмент, но также помещение, условия размещения оборудования, электропитание, заземление, физический доступ. Для ряда объектов оцениваются побочные электромагнитные излучения как возможный канал утечки.

Как проходит аттестация АС

Проведение процедуры строится поэтапно. Это не разовая формальность, а последовательная работа, в которой каждый шаг влияет на итог.

Обычно проверка включает такие стадии:

Предварительное обследование. Изучается автоматизированный комплекс, его назначение, состав технических средств, схема размещения, перечень данных, режим работы, действующие меры безопасности.
Анализ угроз. Определяются вероятные сценарии нарушения безопасности, оцениваются уязвимости, формируется понимание слабых мест.
Оценка готовности. Специалисты проверяют, хватает ли внедренных мер, соответствует ли документация фактическому состоянию, требуется ли доработка.
Испытания. Проводится практическая проверка устойчивости. Анализируются настройки, работа средств защиты, корректность разграничения доступа, устойчивость к типовым угрозам.
Оформление результатов. По итогам составляются протоколы, заключение, аттестат соответствия либо перечень замечаний.

Если в ходе испытаний выявлены недостатки, владелец получает перечень доработок. После устранения замечаний проводится повторная оценка по тем пунктам, которые вызвали вопросы.

Какие нужны сведения

Без подготовленного комплекта материалов пройти аттестацию невозможно. Как правило, требуются:

приказ о создании контролируемой зоны;
приказ о назначении ответственного за безопасность;
технический паспорт на объект информатизации;
схема электропитания, заземления;
акт классификации;
перечень защищаемых ресурсов;
инструкция администратора безопасности;
инструкция пользователю;
порядок антивирусного контроля;
список лиц, допущенных в помещение;
список лиц, имеющих право работы с ресурсами;
перечень сотрудников, выполняющих техническое обслуживание;
сертификат на применяемое средство защиты;
эксплуатационная документация;
описание технологических процессов обработки информации.

Отдельный блок составляют материалы по испытаниям:

программа аттестационных испытаний;
методики проверки;
протоколы;
заключение;
аттестат соответствия.

Если фактическая конфигурация расходится с документацией, это становится проблемой даже при неплохом техническом уровне. По этой причине подготовка сведений — не формальная услуга, а обязательная часть всей работы.

Что получает владелец по итогам проверки

Если подтверждается соблюдение норм, оформляется аттестат соответствия. Этот документ подтверждает, что автоматизированный контур допущен к работе с защищаемой информацией в рамках определенных условий эксплуатации.

Аттестат не действует «сам по себе». Его статус сохраняется до тех пор, пока владелец:

поддерживает исходное состояние АС;
не нарушает режим безопасности;
своевременно отражает изменения;
выполняет контрольные мероприятия.

По итогам проверки владелец получает:

заключение о состоянии АС;
подтверждение соответствия;
комплект протоколов;
перечень условий эксплуатации;
рекомендации по поддержанию защищенности.

Если в конфигурации меняется архитектура, состав оборудования, режим доступа, размещение средств защиты, схема обработки данных либо характеристики помещения, может потребоваться повторная процедура. Игнорирование таких изменений приводит к риску утраты актуальности выданного документа.

Кто имеет право проводить такие работы

Проводить аттестацию могут только организации, у которых есть лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации. Проверка должна быть независимой, подтвержденной, выполненной с соблюдением всех установленных требований. Без участия лицензированного исполнителя итоговый документ не будет иметь нужной силы.

При выборе подрядчика важно учитывать:

практический опыт,
наличие лицензии,
квалификацию экспертов,
умение готовить документы,
проводить исследования,
сопровождать объект после завершения проверки.

Дополнительно заявителю нужны услуги:

оформление технического паспорта;
разработка технологического регламента;
подготовка актов классификации, приказов, инструкций;
описание процессов обработки информации;
подбор, поставка и внедрение средств обеспечения безопасности;
формирование эксплуатационной документации.

Для получения подробной консультации и профессионального сопровождения обращайтесь в центр. Направляйте заявки!

Какие ресурсы требуются для аттестации автоматизированной системы?

Для начала работ нужен сам объект информатизации, помещение, где размещается оборудование, рабочий контур с установленной операционной средой, персонал, допущенный к эксплуатации, комплект организационно-распорядительных материалов, а также внедренные средства безопасности.

От чего зависит стоимость аттестации АС?

На цену влияет масштаб объекта, число рабочих мест, состав оборудования, объем обрабатываемых данных, категория требований, необходимость обследования помещения, подготовка документов, количество испытаний. Проверка одного рабочего узла обойдется заметно дешевле, чем аттестация сложного комплекса на промышленной площадке.