Аттестация на соответствие требованиям безопасности информации: что это и зачем нужна

Аттестация информационных систем – это комплекс организационно-технических мероприятий, результатом которых является подтверждение соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным регулятором. В настоящее время для многих объектов информатизации, таких как ГИС, ЗО КИИ, ЗП, требование к прохождению процедуры аттестации ФСТЭК России обязательно. Без действующего аттестата соответствия требованиям информационной безопасности владельцы таких информационных систем просто не смогут осуществлять свою деятельность.

Требования к обязательной аттестации, например, отражены в следующих нормативных документах ФСТЭК России:

• Приказ № 17 от 11.02.2013 г. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (для ГИС);
• Постановление Правительства РФ от 06.07.2015 № 676 О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации (для ГИС);
• Постановление Правительства РФ от 03.02.2012 г. № 79 О лицензировании деятельности по технической защите конфиденциальной информации (для ЗП, АРМ, АИС);
• Специальные требования и рекомендации по защите конфиденциальной информации (аттестация помещений).

Несмотря на то, что для некоторых информационных систем нет обязательного требования к аттестации на соответствие требованиям безопасности информации, в большинстве случаев регулятор обязует владельца объекта информатизации проводить периодическую оценку эффективности реализованных мер по обеспечению безопасности информации, например, для ИСПДн данное требование указано в нормативном документе ФСТЭК России № 21 от 18.02.2013 г. об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. На данный момент установлена только одна форма оценки эффективности реализованных мер защиты – аттестация. Таким образом, для полноценного выполнения требований действующего законодательства, необходимо своевременно проводить аттестацию своих информационных систем.

Аттестация государственных информационных систем

Государственные информационные системы (ГИС) – это информационные системы, которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Порядок организации и проведения работ для ГИС по аттестации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну приведен в нормативном документе ФСТЭК России Приказ № 77 от 29 апреля 2021 г. Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Порядок работ по аттестации ГИС по требования ФСТЭК России:

1. Представление исходных данных (технический паспорт, акт классификации, модель угроз и др.).
2. Обследование объекта информатизации.
3. Разработка и согласование программы и методик аттестационных испытаний (ПИМ АИ).
4. Проведение АИ (включая согласование с ФСТЭК России модели угроз безопасности информации, технического задания на создание, развитие или модернизацию объекта информатизации).
5. Оформление АИ.
6. Оформление аттестата соответствия.
7. Поддержка безопасности ОИ (протоколы контроля защиты информации на аттестованном объекте не реже одного раза в два года представляются в ФСТЭК России).

Аттестация информационной системы

Информационные системы, не являющиеся ГИС, ИСПДн, ЗО КИИ, но в которых осуществляется обработка конфиденциальной информации, например, содержащей коммерческую тайну, также может быть аттестована. Как уже упоминалось ранее, существуют ситуации, когда у Заказчика может возникнуть необходимость оценки эффективности реализованных мер по обеспечению безопасности информации. На данный момент установлена только одна форма оценки эффективности реализованных мер защиты – аттестация.

Порядок работ по аттестации таких систем отличается от аттестации ГИС тем, что для АИС/ИС не требуется проводить согласование с ФСТЭК России модели угроз безопасности информации и технического задания.

Аттестация помещения

Аттестации на соответствие требованиям безопасности информации подлежат помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения). Обязательную аттестацию защищаемых помещений (ЗП) необходимо проводить при получении лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации или на деятельность по разработке и производству средств защиты, а также при получении лицензии ФСБ России на деятельность по разработке и производству средств защиты.

Порядок работ по аттестации ЗП также регламентируется нормативным документом ФСТЭК России Приказ № 77 от 29 апреля 2021 г. Порядок аттестации ЗП отличается от порядка АИС/ИС тем, что при аттестации ЗП проводится оценка эффективности защиты (защищенности) информации от утечки по техническим каналам.

Аттестация АРМ

Аттестация на соответствие требованиям безопасности информации автоматизированного рабочего места (АРМ) может потребоваться в случае, если у Заказчика возникает необходимость подключения, отдельно стоящего АРМ к существующей аттестованной информационной системе.

Если АРМ будет использоваться в качестве тонкого клиента и на нем не будет обрабатываться информация ограниченного доступа, то тогда нет необходимости аттестовать этот АРМ как отдельную информационную систему, а достаточно распространить аттестат соответствия информационной системы или сегмента информационной системы на этот АРМ, предварительно выполнив требования по обеспечению безопасности для данного сегмента и установив необходимые средства защиты.

Однако, если на АРМ будет осуществляться обработка конфиденциальной информации, то есть простыми словами пользователь не только работает в интерфейсе ПО аттестованной информационной системы, но и выгружает данные из интерфейса на свой АРМ, в этом случае сам АРМ становится отдельной информационной системой и ему уже требуется аттестация.

Порядок работ по аттестации АРМ также регламентируется нормативным документом ФСТЭК России Приказ № 77 от 29 апреля 2021 г.

Источник: RTM GROUP