Для кого аттестация аис по требованиям безопасности информации фстэк россии является обязательной
Перейти к содержимому

Для кого аттестация аис по требованиям безопасности информации фстэк россии является обязательной

  • автор:

Аттестация автоматизированных информационных систем

Аттестация автоматизированных информационных систем согласно требованиям по информационной безопасности

Аттестация является составной частью государственной системы защиты информации и действует под руководством уполномоченного органа по управлению системой аттестации ФСТЭК России, ФСО России и ФСБ России. Аттестация определяет соответствие используемого комплекса мер и средств защиты требуемому уровню безопасности информации. Выдаётся «Аттестата соответствия».

Что важно знать

  • Категории объектов информатизации
  • Контролирующие органы и нормативно-правовые документы
  • Объекты информатизации
  • Требования к классам защищенности и состав мер защиты
  • Технические решения, закрывающие требования

Автоматизированные системы подлежащие аттестации

обрабатывающие информацию ограниченного доступа, содержащую сведения, составляющие государственную тайну

обрабатывающие информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся государственным информационным ресурсом

обрабатывающие информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся персональными данными

обрабатывающие информацию, к которой владелец устанавливает требования по безопасности

Выполнение:

Работы по выполнению аттестации включают:

  • подготовку всей необходимой документации
  • определение класса/уровня защищенности, по которому требуется аттестация
  • подбор, закупку и внедрение СЗИ
  • исследование, проводимое аттестующей организацией
  • получение аттестатов соответствия/несоответствия

Решение об исполнителе принимает Заказчик, поручая исполнение аттестующей организации. Привлечение аттестующей организации обязательно, даже, если часть работ Заказчик самостоятельно.

Аттестация объектов информатизации

Аттестация объектов информатизации

Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки

Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.

Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.

Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.

В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.

При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.

Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.

Кому может понадобиться?

Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:

• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.

• Для лицензирующей деятельности, которая касается предоставления лицензий.

Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.

Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.

Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:

• Выяснить, существует ли нормативный акт, требующий создания ИС.

• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.

• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.

Аттестация ГИС: подготовка, порядок действий, нововведения

Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее — СЗИ).

Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.

В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.

На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.

Определение класса ГИС

ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.

Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17 . Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.

Готовимся к аттестации

Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.

Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.

На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).

Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.

Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17 :

• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.

• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.

• Перечень классов защищенности СЗИ ограничиваются только тремя.

• Любой класс СЗИ требует принятия мер защиты информации.

• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.

Выбор техсредств защиты ГИС

Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).

Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.

Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:

• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.

Аттестация КИИ: порядок, тонкости и лайфхаки

Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин.

Дорожну карту по выполнению ФЗ-187 можете найти здесь!

Что требует Закон

Закон о безопасности КИИ (187-ФЗ ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.

Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.

Каким образом соответствовать требованиям?

Постараемся дать краткий, но полный ответ на этот вопрос.
Для начала нужно категорировать объект КИИ согласно ст.7 187-ФЗ , а также постановлению Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ» от 08.02.2018.

Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ ( приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).

Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

На что обратить внимание?

Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.

При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования ( Постановление Правительства № 127 ) . При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.

Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.

В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.

Ну и еще один немаловажный момент – это «сертифицированность» средств защиты информации на объекте КИИ. Наивысший шанс одобрения имеют средства, имеющие сертификаты по системам ФСТЭК России и ФСБ России.

Сложности подготовки

Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.

Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.

Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:

Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.

Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.

А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.

Аттестации АСУ ТП: на что обратить внимание

В нормативно-правовых актах «аттестация» определяется как тестирование (проверка/контроль/испытания) объекта информатизации на соответствие установленным требованиям. А значит, аттестовывать АСУ ТП не обязательно, поскольку в составе этапов работ защиты информации в АСУ ТП, прописанном в п.12 приказа ФСТЭК № 31 , аттестации нет. Однако она может проводиться в добровольном порядке, в этом случае для её проведения применяются национальные стандарты и методические рекомендации ФСТЭК России.

В целом порядок аттестации состоит из таких этапов:

• изучение объекта в предварительном порядке;

• создание методик и программы испытаний для него;

• непосредственно испытание объекта;

• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.

Во время испытаний проводится разработка следующих аттестационных документов:

• программы, а также методики проведения испытаний;

• создание протокола аттестации;

• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.

На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ .

Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?

Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.

Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.

Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»

Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012

Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.

Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.

Вопрос риторический, а озвученное мнение не выдерживает никакой критики.

Мнение «Применяться типовые сегменты могут лишь для государственных информсистем»

Хотя в названии приказа ФСТЭК России слово «государственный» использовано два раза, мнение неверно.

Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.

Мнение «Единожды полученный аттестат, согласно принципу типовых сегментов, может быть распространен на всё»

Если бы это мнение соответствовало действительности, то жизнь была бы проще. Рассмотрим несколько теоретических ситуаций для большей наглядности.
Когда аттестат получен на серверную часть, а после возникла необходимость аттестовать автоматизированное рабочее место (РМ) или несколько, то имеющийся аттестат для этого не подходит.

Вспоминаем пункт 17.3, согласно которому «допускается аттестация информсистемы на основе результатов аттестационных испытаний выделенного набора сегментов информсистемы, реализующих полную технологию обработки информации». В описанной ситуации отсутствуют аттестованные автоматизированные РМ, зато присутствует новая технология обработки.

Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.

Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то. Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.

Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.

Мнение «В проектной документации на систему защиты требуется описание типовых сегментов»

Такой подход имеет право на жизнь и реально в ней встречается. Однако. Описание типовых сегментов в проектной документации невозможно будет изменить после проведения аттестации, а потому при частичной замене (модернизации) оборудования сегменты не будут типовыми, а это влечет проведение повторного аттестационного испытания. Отсюда простой вывод – не стоит описывать типовые сегменты в проектной документации. Но вот предварительно решить в органе аттестации вопрос наличия в аттестационной документации пункта о допустимости распространения аттестата на типовые сегменты совсем не лишне.

Мнение «Аттестация по типовым сегментам не одобряется Федеральной службой»

Есть несколько вариаций этого заблуждения, но их все объединяет отсутствие примеров из практики. И обратное доказывается очень легко: ФСТЭК постоянно популяризирует аттестацию по принципу типовых сегментов, именно ее нормативные акты используются в этой процедуре.

Мнение «Аттестующий орган отвечает за распространение аттестата на типовые сегменты, полностью или частично не соответствующие требованиям»

За распространение аттестата на типовые сегменты, не отвечающие требованиям, ответственность несет. оператор информсистемы. Уровень качества самих аттестационных испытаний – сфера ответственности аттестующего органа.

Мнение «Привлечение лицензиата обязательно, поэтому типовые сегменты бесполезны»

Ну что тут сказать? Это устойчивое заблуждение, которое опровергается только множеством примеров обратного.

Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.

Мнение «Лишь одни и те же технические элементы могут использоваться в типовых сегментах»

Сторонники этого мнения утверждают, что для аттестации по принципу типовых сегментов критично полное соответствие технических средств (вплоть до совпадения серийников оборудования). Это явное заблуждение можно было бы оставить без комментариев, но все же разъясним.

Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.

Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.

Мнение «Модель угроз следует прописывать для каждого подключаемого типового сегмента»

Сегменты, согласно пункту 17.3 Приказа, оттого и являются типовыми, что имеют одни угрозы безопасности информации. Это автоматически опровергает вышеуказанное утверждение.

Мнение «Не обязательно указывать в техпаспорте на информсистему информацию о подключаемых типовых сегментах»

Правильно сформулировать эту позицию таким образом: «Информация о подключаемых типовых сегментах находит свое отображение или в техпаспорте информсистемы, или в техпаспорте типового сегмента».

Для кого аттестация аис по требованиям безопасности информации фстэк россии является обязательной

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Носова Екатерина Евгеньевна

Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Приказ Федеральной службы по техническому и экспортному контролю от 29 апреля 2021 г. № 77 “Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну”

В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2020, № 35, ст. 5554), приказываю:

1. Утвердить прилагаемый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.

Директор Федеральной службы
по техническому и экспортному контролю
В. Селин

Зарегистрировано в Минюсте РФ 10 августа 2021 г.

УТВЕРЖДЕН
приказом ФСТЭК России
от 29 апреля 2021 г. № 77

Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

I. Общие положения

1. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее — требования по защите информации) 1 , а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.

2. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее — владельцы объектов информатизации).

3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее — аттестация) следующих объектов информатизации 2 :

государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;

информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;

помещений, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения) 3 .

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:

значимых объектов критической информационной инфраструктуры Российской Федерации;

информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);

автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

4. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.

II. Организация работ по аттестации объектов информатизации

5. Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (далее — орган по аттестации).

6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:

а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее — информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);

б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2020, № 35, ст. 5554), национальных стандартов в области технической защиты информации;

в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее — эксперты органа по аттестации).

8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.

Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации в соответствии с пунктом 11 настоящего Порядка, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.

Выводы экспертов органа по аттестации по результатам проведенных аттестационных испытаний не должны противоречить требованиями по технической защите информации.

9. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.

10. Информация об объекте информатизации, полученная органом по аттестации в ходе аттестации объекта информатизации, подлежит защите в соответствии с частью 4 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448, 2014, № 30, ст. 4243).

III. Проведение работ по аттестации объектов информатизации

11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:

а) технический паспорт на объект информатизации по форме согласно приложениям № 1, 2 к настоящему Порядку;

б) акт классификации информационной (автоматизированной) системы по форме согласно приложению № 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее — акт категорирования значимого объекта);

в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);

г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);

д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);

е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;

ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее — документы по защите информации владельца объекта информатизации);

з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.

12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.

13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:

а) общие положения;

б) программа аттестационных испытаний объекта информатизации;

в) методики аттестационных испытаний объекта информатизации.

13.1. Раздел, касающийся общих положений, должен включать следующие сведения:

а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;

б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;

в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;

г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.

13.2. Раздел, касающийся программы аттестационных испытаний объекта информатизации, должен включать перечень работ по аттестации объекта информатизации, в том числе работы по обследованию объекта информатизации в условиях его эксплуатации, проведению аттестационных испытаний в соответствии с разрабатываемыми методиками испытаний, оформлению результатов аттестационных испытаний, а также общий срок проведения аттестации объекта информатизации и сроки выполнения каждой работы по аттестации объекта информатизации, фамилию и инициалы эксперта органа по аттестации, ответственного за проведение каждой работы.

13.3. Раздел, касающийся методик аттестационных испытаний объекта информатизации, должен включать для каждого аттестационного испытания порядок, условия, исходные данные и методы испытаний, применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование.

14. Программа и методики аттестационных испытаний объекта информатизации согласовываются органом по аттестации с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.

В ходе аттестационных испытаний объекта информатизации орган по аттестации может вносить изменения в программу и методики аттестационных испытаний объекта информатизации по согласованию с владельцем объекта информатизации.

15. Аттестационные испытания включают следующие мероприятия и работы:

а) оценку соответствия технического паспорта объекта информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и настоящему Порядку;

б) проверку наличия и согласования с ФСТЭК России в соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 (Собрание законодательства Российской Федерации, 2015, № 28, ст. 4241; 2020, № 42, ст. 6615; 2021, № 23, ст. 4079), модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);

в) обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации, а также документам, предусмотренным пунктом 11 настоящего Порядка;

г) проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;

д) проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55 (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный № 51063) (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;

е) проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;

ж) оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;

з) оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;

и) оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;

к) оценку эффективности защиты (защищенности) информации от утечки по техническим каналам (только для защищаемых помещений).

16. При проведении аттестационных испытаний органом по аттестации проводятся:

а) при проведении мероприятий и работ, предусмотренных подпунктами «а» — «з» пункта 15 настоящего Порядка, — оценка соответствия системы защиты информации объекта информатизации требованиям по защите информации на основе анализа экспертами органа по аттестации документов, предусмотренных пунктом 15 настоящего Порядка;

б) при проведении работ, предусмотренных подпунктом «и» пункта 15 настоящего Порядка, — испытания системы защиты информации путем осуществления тестирования ее функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования;

в) при проведении работ, предусмотренных подпунктом «к» пункта 15 настоящего Порядка, — оценка показателей эффективности защиты информации с применением контрольно-измерительного и испытательного оборудования.

17. В ходе аттестационных испытаний объекта информатизации владельцем объекта информатизации могут вноситься изменения в объект информатизации, в том числе в архитектуру его системы защиты информации, в целях приведения объекта информатизации в соответствие с требованиями по защите информации.

18. По результатам аттестационных испытаний орган по аттестации оформляет заключение по результатам аттестационных испытаний объекта информатизации (далее — заключение), включающее следующие сведения:

а) наименование объекта информатизации и его назначение, состав программно-технических, программных средств и средств защиты информации;

б) класс защищенности информационной (автоматизированной) системы, категория значимости значимого объекта;

в) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, проводивших аттестацию объекта информатизации;

г) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

д) срок проведения аттестационных испытаний;

д) наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;

е) результаты испытаний, предусмотренных пунктом 15 настоящего Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведенной работе и испытанию;

ж) рекомендации по устранению несоответствий системы защиты информации объекта информатизации требованиям по защите информации (далее — недостатки) в случае их выявления при проведении аттестационных испытаний;

з) вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.

Заключение подписывается экспертами органа по аттестации, проводившими аттестацию объекта информатизации, и утверждается руководителем органа по аттестации.

19. По результатам испытаний, предусмотренных подпунктами «и» и «к» пункта 15 настоящего Порядка, органом по аттестации наряду с заключением по результатам аттестационных испытаний оформляются протоколы аттестационных испытаний объекта информатизации (далее — протоколы), содержащие:

а) наименование испытания в соответствии с программой и методикой испытаний;

б) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

в) дату и место проведения аттестационных испытаний;

г) критерии выполнения требований по защите информации, в отношении которых проводились испытания;

д) условия и исходные данные для проведения испытаний;

е) применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование;

ж) описание порядка испытаний по оценке критериев выполнения требований по защите информации;

з) результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.

Протоколы подписываются экспертами органа по аттестации, проводившими аттестационные испытания объекта информатизации.

20. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

21. В случае выявления в ходе аттестационных испытаний недостатков, которые можно устранить в процессе аттестации объекта информатизации, владелец объекта информатизации обеспечивает их устранение, а орган по аттестации оценивает качество такого устранения.

По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации (далее — аттестат соответствия) на объект информатизации.

22. Аттестат соответствия оформляется органом по аттестации по форме согласно приложению № 4 к настоящему Порядку.

Аттестат соответствия подписывается руководителем органа по аттестации и заверяется печатью органа по аттестации (при наличии).

Аттестат соответствия вручается органом по аттестации владельцу объекта информатизации или направляется ему заказным почтовым отправлением с уведомлением о вручении.

23. В случае выявления при проведении аттестационных испытаний недостатков, которые невозможно устранить в процессе аттестации объекта информатизации, работы по аттестации объекта информатизации завершаются, аттестат соответствия не оформляется.

24. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия (далее — обращение) в ФСТЭК России. Обращения федеральных органов государственной власти или государственных корпораций направляются в центральный аппарат ФСТЭК России, обращения иных владельцев объектов информатизации направляются в управление ФСТЭК России по федеральному округу, на территории которого расположен объект информатизации (далее — территориальный орган ФСТЭК России).

К обращению прилагаются в электронном виде копии следующих документов:

а) технического паспорта на объект информатизации;

б) акта классификации информационной (автоматизированной) системы (акта категорирования значимого объекта);

в) программы и методик аттестационных испытаний объекта информатизации;

г) заключения и протоколов.

25. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов, указанных в пункте 24 настоящего Порядка, на предмет соответствия проведенных органом по аттестации аттестационных испытаний и выводов, содержащихся в заключении, требованиям по защите информации и настоящему Порядку. По согласованию с владельцем объекта информатизации работники ФСТЭК России (территориального органа ФСТЭК России) проводят контрольные испытания на объекте информатизации в соответствии с пунктами 15 и 16 настоящего Порядка.

26. Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, установлено несоответствие аттестационных испытаний и (или) выводов, содержащихся в заключении или протоколах, требованиям по защите информации или настоящему Порядку, ФСТЭК России (территориальный орган ФСТЭК России) направляет в орган по аттестации уведомление о необходимости устранения выявленных недостатков в указанный в уведомлении срок. Копия уведомления направляется владельцу объекта информатизации. Орган по аттестации обязан устранить недостатки, выявленные ФСТЭК России по результатам оценки документов, в указанный в уведомлении срок и оформить аттестат соответствия.

Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации для устранения недостатков, выявленных органом по аттестации.

27. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.

Копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.

28. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 20 пункта 9 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

29. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

30. В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. Владелец объекта информатизации в соответствии с выданными рекомендациями обеспечивает устранение выявленных недостатков в указанный в заключении срок.

Об устранении недостатков владелец объекта информатизации информирует ФСТЭК России (территориальный орган ФСТЭК России). Неустранение недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России), в указанный в заключении срок является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34 — 37 настоящего Порядка.

В случае выявления по результатам проведенной оценки недостатков, не приводящих к возникновению угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) направляет письмо в орган по аттестации с целью учета при проведении работ по аттестации объектов информатизации.

31. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.

Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34-37 настоящего Порядка.

33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация в соответствии с настоящим Порядком.

34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) установления факта несоответствия аттестованного объекта информатизации требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз безопасности информации;

б) неустранения недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России) в соответствии с пунктом 30 настоящего Порядка;

в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;

г) изменений архитектуры системы защиты информации аттестованного объекта информатизации, которые приводят к несоответствию этого объекта аттестату соответствия;

д) обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.

Установление фактов несоответствия аттестованного объекта информатизации требованиям по защите информации, неустранения недостатков и изменений архитектуры осуществляется на основании:

результатов контроля за состоянием работ по технической защите информации, осуществляемого ФСТЭК России в соответствии с подпунктом 7 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085;

результатов контроля за реализацией настоящего Порядка.

35. Решение о приостановлении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

Действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней.

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о приостановлении действия аттестата соответствия.

36. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о приостановлении действия аттестата соответствия в реестр аттестованных объектов информатизации.

37. В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации.

38. Действие аттестата соответствия возобновляется ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) устранения несоответствия объекта информатизации требованиям по защите информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих устранение недостатков;

б) представления в ФСТЭК России протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;

в) проведения аттестации объекта информатизации в соответствии с настоящим Порядком для измененной архитектуры системы защиты информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих проведение аттестации;

г) обращения владельца объекта информатизации о возобновлении действия аттестата соответствия на объект информатизации в случае, если решение о приостановлении его действия было принято по обращению владельца объекта информатизации.

39. Решение о возобновлении действия аттестата соответствия на объект информатизации оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о возобновлении действия аттестата соответствия.

40. Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих устранение недостатков;

б) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;

в) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;

г) обращения владельца объекта информатизации о прекращении действия аттестата соответствия.

41. Решение о прекращении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

Приказ территориального органа ФСТЭК России о прекращении действия аттестата соответствия подлежит согласованию со структурным подразделением ФСТЭК России, на которое возложены вопросы организации аттестации объектов информатизации.

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о прекращении действия аттестата соответствия.

42. В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено.

43. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о прекращении действия аттестата соответствия в реестр аттестованных объектов информатизации.

44. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

В течение 20 рабочих дней со дня получения заявления о выдаче дубликата аттестата соответствия орган по аттестации оформляет дубликат аттестата соответствия с пометкой «дубликат, оригинал аттестата соответствия признается недействующим» и вручает его владельцу объекта информатизации или направляет заказным почтовым отправлением с уведомлением о вручении. Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).

45. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

Приложение № 1
к Порядку организации и проведения
работ по аттестации объектов
информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от 29 апреля 2021 г. № 77

(руководитель (уполномоченное лицо)

владельца объекта информатизации)

(подпись, инициалы и фамилия)

“___”______________ 20__ г.

информационной (автоматизированной) системы

(наименование информационной (автоматизированной) системы)

1. Общие сведения об информационной (автоматизированной) системе.

1.1. Наименование и назначение информационной (автоматизированной)

1.2. Расположение программно-технических средств информационной

(автоматизированной) системы: __________________________________________.

(указываются адреса расположения средств)

1.3. Установленный класс защищенности информационной

(автоматизированной) системы (категория значимого объекта, уровень

защищенности персональных данных): _____________________________________.

(указываются реквизиты документа)

1.4. Сведения о вводе информационной (автоматизированной) системы в

(указываются номер и дата приказа о вводе в эксплуатацию)

2. Условия эксплуатации информационной (автоматизированной) системы

2.1. Сведения об архитектуре информационной (автоматизированной)

системы, включающие описание структуры и состава (типовых компонентов),

структурную (топологическую) схему с указанием информационных связей

между компонентами информационной (автоматизированной) системы и иными

информационными системами, в том числе с сетью Интернет ________________.

2.2. Описание технологического процесса обработки информации и

режимы доступа к информационным ресурсам, включающее описание всех типов

внешних, внутренних пользователей (привилегированных,

непривилегированных), полномочий пользователей и тип доступа к

информационным ресурсам ________________________________________________.

2.3. Сведения об аттестате соответствия информационно-

телекоммуникационной инфраструктуры центра обработки данных, на базе

которой функционирует информационная (автоматизированная) система, а

также о модели услуг, по которой предоставляются вычислительные услуги

(заполняется при условии аттестации информационной (автоматизированной)

системы на базе аттестованной на соответствие требованиям по защите

информации информационно-телекоммуникационной инфраструктуры центра

обработки данных): _____________________________________________________.

(указываются реквизиты аттестата соответствия и модель услуг)

3. Состав информационной (автоматизированной) системы.

3.1. Состав программно-технических средств информационной

(автоматизированной) системы: __________________________________________.

(указываются типы технических средств, их

наименования и модели)

3.2. Состав общесистемного и прикладного программного обеспечения

информационной (автоматизированной) системы:

(указываются типы программного обеспечения, их наименования и основные

3.3. Состав телекоммуникационного оборудования информационной

(автоматизированной) системы и используемые для передачи информации линии

(указываются типы оборудования, их наименования и основные (мажорные)

3.4. Состав средств защиты информации, используемых в информационной

(автоматизированной) системе: ___________________________________________

(указываются типы средств их наименования и основные (мажорные) версии,

сведения о сертификатах соответствия)

4. Сведения о соответствии информационной (автоматизированной)

системы требованиям по защите информации.

4.1. Сведения о протоколах аттестационных испытаний информационной

(автоматизированной) системы ___________________________________________.

(реквизиты протоколов и дата их выдачи)

4.2. Сведения о заключении по результатам аттестационных испытаний

информационной (автоматизированной) системы ____________________________.

(реквизиты заключения и дата выдачи)

4.3. Сведения об аттестате соответствия информационной

(автоматизированной) системы на соответствие требованиям о защите

(реквизиты аттестата соответствия, дата выдачи)

5. Сведения о проведении контроля за обеспечением уровня защиты

информации, содержащейся в информационной (автоматизированной) системе,

приведены в таблице 1.

№ п/п Наименование организации (подразделения), проводившей контроль Дата проведения контроля Реквизиты документа с выводами о результатах контроля Вывод по результатам контроля
1.
2.

6. Сведения об изменениях информационной (автоматизированной)

системы и средств защиты информации приведены в таблице 2.

№ п/п Дата внесения изменения Документ, на основании которого внесены изменения Пункт технического паспорта, в который внесены изменения Краткая характеристика изменений Подпись лица, внесшего изменения
1.
2.

Ответственный за обеспечение защиты информации в ходе эксплуатации

информационной (автоматизированной) системы

(должность) (подпись, фамилия и инициалы)

“___”______________ 20__ г.

Приложение № 2
к Порядку организации и проведения
работ по аттестации объектов
информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от 29 апреля 2021 г. № 77

(руководитель (уполномоченное лицо) владельца

(подпись, инициалы и фамилия)

“___”______________ 20__ г.

(наименование защищаемого помещения)

1. Общие сведения о защищаемом помещении

1.1. Наименование и назначение защищаемого помещения: _____________.

1.2. Расположение защищаемого помещения: __________________________.

(указываются адрес, строение, этаж, номер)

1.3. Сведения о проведении проверок защищаемого помещения с целью

выявления возможно внедренных электронных устройств перехвата информации:

(указываются реквизиты заключения, наименование организации, проводившей

1.4. Сведения об аттестации защищаемого помещения:

(указываются реквизиты аттестата соответствия требованиям по безопасности

1.5. Сведения о вводе защищаемого помещения в эксплуатацию:

(указываются номер и дата приказа о вводе в эксплуатацию защищаемого

2. Условия расположения и эксплуатации защищаемого помещения

2.1. Сведения и схема расположения защищаемого помещения

относительно границ контролируемой зоны с указанием расстояний до ее

границ, сведения и схема основных технических средств и систем (в случае

их наличия), вспомогательных технических средств и систем, средств защиты

информации, а также линий, имеющих выход за пределы контролируемой зоны,

относительно границ контролируемой зоны с указанием расстояний до ее

2.2. Сведения и схемы электроснабжения и заземления основных

технических средств и систем (в случае их наличия) и вспомогательных

технических средств и систем, установленных в защищаемом помещении,

включая место расположения трансформаторной подстанции и заземляющего

устройства, с указанием расстояний до границ контролируемой зоны,

сведения о сопротивлении заземляющего устройства (при наличии основных

технических средств и систем).

3. Состав защищаемого помещения

3.1. Состав основных технических средств и систем, установленных в

защищаемом помещении, представлен в таблице 1.

№ п/п Наименование основного технического средства и системы, заводской (инвентарный) номер Минимальное расстояние до границы контролируемой зоны, м Сведения о специальных проверках 4 Сведения о специальных исследованиях или сертификатах соответствия 5
1.
2.

3.2. Состав вспомогательных технических средств и систем,

установленных в защищаемом помещении, представлен в таблице 2.

№ п/п Наименование вспомогательного технического средства и системы, заводской (инвентарный) номер Минимальное расстояние до основных технических средств и систем, м Сведения о специальных проверках 3 Сведения о специальных исследованиях или сертификатах соответствия 4
1.
2.

3.3. Состав средств защиты информации, используемых в защищаемом

помещении, представлен в таблице 3.

№ п/п Наименование и тип средства защиты информации, заводской (инвентарный) номер Сведения о сертификате соответствия 4 Номер знака соответствия Место установки
1.
2.

4. Сведения о периодическом контроле защищаемого помещения

представлены в таблице 4.

№ п/п Дата проведения контроля Вывод по результатам контроля
1
2

5. Сведения об изменениях состава, условий размещения и эксплуатации

защищаемого помещения представлены в таблице 5.

№ п/п Дата внесения изменений Наименование документа, на основании которого внесены изменения Пункт технического паспорта, в который внесены изменения Краткая характеристика изменений Подпись лица, внесшего изменения
1
2

Ответственный за эксплуатацию защищаемого помещения

(должность) (подпись, фамилия и инициалы)

“___”____________ 20__ г.

Приложение № 3
к Порядку организации и проведения
работ по аттестации объектов
информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от 29 апреля 2021 г. № 77

(руководитель (уполномоченное лицо) владельца

(подпись, инициалы и фамилия)

“___”______________ 20__ г.

классификации информационной (автоматизированной) системы

(наименование информационной (автоматизированной) системы)

Комиссия, назначенная приказом ____________________________, провела

классификацию информационной (автоматизированной) системы

1. Масштаб информационной (автоматизированной)

2. Уровень значимости информации, содержащейся в информационной

(автоматизированной) системе ___________________________________________.

3. Класс защищенности информационной (автоматизированной)

(должность) (подпись, фамилия и инициалы)

(должность) (подпись, фамилия и инициалы)

Приложение № 4
к Порядку организации и проведения
работ по аттестации объектов
информатизации,
утвержденному приказом ФСТЭК России
от 29 апреля 2021 г. № 77

требованиям по защите информации

(номер аттестата соответствия в формате ХХХХ.ХХХХХ.ХХХХ) 6

(дата выдачи аттестата соответствия)

1. Настоящим АТТЕСТАТОМ удостоверяется, что

(наименование объекта информатизации, класс защищенности информационной

(автоматизированной) системы, категория значимого объекта)

(наименование владельца объекта информатизации)

(наименование требований по защите информации, на соответствии

которым проводилась аттестация)

2. Состав программных, программно-технических средств и средств

защиты информации приведен в техническом паспорте на объект

информатизации от "___"____________ 20__ г.

3. Организационные и технические условия, имеющиеся у владельца

объекта информатизации, обеспечивают поддержку безопасности

аттестованного объекта информатизации в процессе эксплуатации в

соответствии с требованиями по защите информации.

4. Аттестат соответствия выдан на основании результатов

аттестационных испытаний, проведенных органом по аттестации ____________.

(наименование органа по аттестации)

Аттестация проведена в соответствии с программой и методиками

аттестационных испытаний, утвержденными органом по аттестации

_________________________________________ от ____ _______________ 20__ г.

(наименование органа по аттестации)

В соответствии с результатами аттестационных испытаний в

(наименование объекта информатизации)

разрешается обработка информации, не содержащей сведения, составляющие

государственную тайну (информации конфиденциального характера).

5. Результаты аттестационных испытаний приведены в заключении по

результатам аттестационных испытаний от " " 20 г.

6. При эксплуатации аттестованного объекта информатизации не

вносить несанкционированные изменения в конфигурацию программных,

программно-технических средств, средств защиты информации;

осуществлять несанкционированную замену программных,

программно-технических средств, средств защиты информации на аналогичные

вносить изменения в архитектуру системы защиты информации, изменять

состав, структуру системы защиты информации;

проводить обработку информации в случае приостановки действия

аттестата соответствия в соответствии с решением ФСТЭК России;

проводить обработку информации в случае обнаружения неисправностей в

системе защиты информации объекта информатизации;

проводить обработку информации в случае обнаружения инцидента

7. Контроль за уровнем защиты информации на объекте информатизации

возлагается на _________________________________________________________.

(наименование подразделения (ответственного работника)

Руководитель органа по аттестации

(подпись, фамилия и инициалы)

1 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный № 28608), с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. № 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45933), приказом ФСТЭК России от 28 мая 2019 г. № 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный № 55924), приказом ФСТЭК России от 27 апреля 2020 г. № 61 (зарегистрирован Минюстом России 12 мая 2020 г., регистрационный № 58322).

Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. № 31 (зарегистрирован Минюстом России 18 мая 2017 г., регистрационный № 46769), с изменениями, внесенными приказом ФСТЭК России от 14 января 2019 г. № 5 (зарегистрирован Минюстом России 27 февраля 2019 г., регистрационный № 53916), приказом ФСТЭК России от 28 октября 2020 г. № 122 (зарегистрирован Минюстом России 25 марта 2021 г., регистрационный № 62868).

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524), с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071), приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), приказом ФСТЭК России от 20 февраля 2020 г. № 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный № 59793).

Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объекта, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. № 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный № 46769), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. № 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный № 46487), приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071).

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный № 28375), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. № 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный № 46487), приказом ФСТЭК России от 14 мая 2020 г. № 68 (зарегистрирован Минюстом России 8 июля 2020 г., регистрационный № 58877).

Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. № 191 (зарегистрирован Минюстом России 6 июля 2009 г., регистрационный № 14230).

2 Пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. № 374-ст. (Москва: Стандартинформ, 2007).

3 Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2020, № 49, ст. 7943).

4 В случае отсутствия необходимости специальной проверки технических средств пункт не заполняется.

5 В случае отсутствия необходимости применения сертифицированных средств защиты информации пункт не заполняется.

6 Первая группа знаков содержит число от 0001 до 9999, указывающие на номер лицензии ФСТЭК России на деятельность по технической защите информации, выданной органу по аттестации. Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер аттестованного объекта информатизации в системе учета органа по аттестации. Третья группа знаков содержит число, указывающее на год выдачи аттестата соответствия.

Обзор документа

ФСТЭК установила порядок аттестации на соответствие требованиям по защите информации ограниченного доступа следующих объектов:

— государственных и муниципальных информсистем;

— информсистем управления производством организаций ОПК, в том числе автоматизированных систем станков с ЧПУ;

— помещений для ведения конфиденциальных переговоров.

Порядок может применяться также для аттестации:

— значимых объектов критической информационной инфраструктуры РФ;

— информсистем персональных данных;

— автоматизированных систем управления производственными и технологическими процессами на критически важных, потенциально опасных объектах и объектах повышенной опасности.

Для кого аттестация аис по требованиям безопасности информации фстэк россии является обязательной

Аттестация информационных систем

Подтверждение соответствия информационных систем требованиям законодательства. Проведение аттестационных испытаний и выдача аттестата соответствия требованиям по безопасности информации.

Что такое аттестат соответствия? Это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.

Аттестат соответствия выдается сроком на 3 года, в течение которых должна быть обеспечена неизменность условий функционирования объекта и технологии обработки защищаемой информации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *