Аттестованный компьютер что это

Обновлено: 07.07.2024

Аттестация по требованиям безопасности стоит от 60 000 рублей и включает в себя следующие этапы:

  • подготовка объекта информатизации к аттестационным испытаниям;
  • проведение аттестационных испытаний;
  • подготовка отчетной документации по результатам аттестационных испытаний.

Аттестационные испытания объектов информатизации по требованиям безопасности информации выполняются аттестационной комиссией, которая формируется среди из компетентных сотрудников лицензиата ФСТЭК России для конкретной системы обеспечения безопасности информационной системы, согласно подготовленной программе и методикам испытаний.

Аттестация по требованиям безопасности информации

Стоимость работ зависит от количества персональных компьютеров, которые входят в состав системы.

При успешном прохождении аттестационных испытаний выдается Аттестат соответствия требованиям по защите информации

Аттестация АРМ

Включает

Аттестация АРМ

Включает

Аттестация АРМ

Включает

Стоимость средств защиты информации для аттестации объектов информатизации по требованиям безопасности информации

Мы предлагаем решения с разными сроками доставки. Это связано в первую очередь с особенностями лицензирования определенных продуктов.

Самый экономный

Включает

Самый быстрый

Включает

Аттестация АРМ

Требуется федеральным органам государственной власти, органам государственной власти субъектов Российской Федерации, органам местного самоуправления и коммерческим организациям, которые подключаются к информационным системам органов власти, участвуют в государственных закупках на определенные виды работ, выполняют требования отраслевым документов в области информационной безопасности и Клиентов, для создания конкурентного преимущества.

Аттестацию могут проводить только компании, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации в части проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, выданную ФСТЭК России.

Предоставление документации

Техническая документация;
Проектная документация;
Эксплуатационная документация;
Результаты анализа уязвимостей.

Программа и методики испытаний

Разработка документа;
Согласование документа

Обследование

Серверной инфраструктуры;
Более 30% типовых АРМ

Аттестационные испытания

Оценка соответствия документации;
Обследование;
Проверка СЗИ;
Проверка наличия назначенных работников;
Оценка информированности и уровня знаний;
Оценка соответствия организационных мер;
Оценка соответствия мер по защите от НСД.

Заключение и протоколы

Оформляются протоколы испытаний;
Оформляется Заключение испытаний;
Направление во ФСТЭК полученных результатов, в случае необходимости.

Аттестат соответствия

Подготовка и выдача аттестата.

Аттестация может выполняться в соответствии со следующими требованиями:

  • при проведении аттестационных испытаний может быть применен подход аттестации типовых сегментов;
  • оформляемая документация может учитывать возможность распространение аттестата соответствия на другие сегменты при условии их соответствия сегментам, прошедшим аттестационные испытания и реализующих полную технологию обработки информации;
  • особенности аттестации на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты Системы будут определены в программе и методиках аттестационных испытаний, заключении по результатам аттестационных испытаний и аттестате соответствия.

Преимущества

Связаться с нами

Аттестация соответствия требованиям безопасности информации

Для того чтобы подтвердить, что информационная система или выделенный компьютер соответствует требованиям стандартов и нормативно – методических документов по информационной безопасности проводится аттестация.

Целью проведения работ является приведение автоматизированного рабочего места в соответствии с требованиями по безопасности конфиденциальной информации ФСТЭК России.

Сбор исходных данных

Данный этап включает в себя предоставление следующей документации:

  • технический паспорт;
  • акт классификации;
  • модель угроз (только для систем);
  • техническое задание;
  • проектную документацию;
  • эксплуатационную документацию;
  • документы по технической защите информации.
Программа и методики разрабатывается только после анализа исходных данных об объекте рассмотрения и включает в себя общие положения, саму программу аттестационных испытаний и методики аттестационных испытаний объекта информатизации.

Аттестационные испытания

Включают в себя оценку правильности следующих документов: технического паспорта, акта классификации, а также модели угроз и технического задания.

Следующим этапом в рамках аттестации проводится обследование, в ходе которого проверяется наличие средств защиты и их настройки.

Дополнительно собираются сведения об ответственных за обеспечение защиты информации, пользователях и производится оценка их уровня знаний.

Также нами проверяется внедрение организационных мер и мер по защите информации от несанкционированного доступа.

Результаты работ

После завершения предыдущего этапа специалисты нашей компании оформляют два документа: Заключение по результатам аттестационных испытаний объекта информатизации и протоколы аттестационных испытаний объекта информатизации.

Протокол подписывается только экспертами в области информационной безопасности организации, а заключение данной комиссией и утверждается Генеральным директором. Данные документы с Вами не согласуются.

Если в ходе аттестационных испытаний были выявлены отклонения от необходимых организационных и технических мер защиты, которые не возможно оперативно устранить и требуется, например, до закупка, длительный процесс разработки и принятия документов, привлечение компании, которая осуществляла работы по проектированию и (или) внедрению системы защиты информации мы подготавливаем вывод о невозможности выдачи аттестата соответствия.

Выдача аттестата

Аттестат соответствия требованиям по защите информации подготавливается Check-IB на основании определенной форме и содержит набор определенных в форме сведений. Данный документ может быть распечатан как на обычном листе формата А4, так на специальной бумаге, имеющей знаки защиты, и подписывается Генеральным директором. На документе ставится печать.

Аттестат соответствия выдается владельцу аттестованного объекта информатизации на 3 года. Нормативные документы допускают два способа передачи документов: лично представителем компании и заказным почтовым отправлением с уведомлением о вручении.

По завершении данного срока или при существенных изменениях условий и технологии обработки защищаемой информации требуется проведение повторной аттестации.

Документы аттестации объекта информатизации

Документы аттестации объекта информатизации

Перечень документов, на основании и в соответствии с которыми оказываются услуги:

Подготовка к аттестации объектов информатизации

Ответ: Нет.

Примечание: Мероприятия по защите информации не ограничиваются средствами защиты. Дополнительно Вам потребуется классифицировать информационную систему, разработать проектную, эксплуатационную, рабочую документацию. Обеспечить внедрение процессов, описанных в данной документации и произвести настройку средств защиты.

Ответ: Рассчитывается в зависимости от количества систем, серверов и компьютеров, входящих в их состав.

Примечание: В планируемую длительность выполнения работ по аттестации АРМ мы не закладываем время на устранение замечаний.

Ответ: До момента сбора исходных данных

Примечание: В ходе документарного анализа наши специалисты учитывают результаты анализа уязвимостей при разработке ПиМ.


Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.

Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.

Введение

Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации.

Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты).

Это не было большой проблемой, пока аттестации по требованиям безопасности информации подвергались либо отдельно стоящие компьютеры, обрабатывающие защищаемую информацию, либо небольшие выделенные локальные сети.

Но прогресс не стоит на месте. Сейчас для государственных информационных систем 17-м приказом ФСТЭК определена обязательная их аттестация до ввода в эксплуатацию. А государственные информационные системы сегодня это не статичный компьютер или маленькая локалка, а большие динамически изменяемые системы, зачастую регионального или даже федерального масштаба.

Так как же быть в этом случае? Аттестация обязательна, а аттестовывать статичную систему нельзя, так как там чуть ли не каждый день добавляются новые элементы, а старые убираются. На помощь приходят «типовые сегменты».

Это понятие было введено 17-м приказом ФСТЭК и стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» в 2013 году. К сожалению, ГОСТ носит пометку «дсп», в отличие от приказа ФСТЭК, поэтому стандарт здесь цитировать не получится. Но от этого особо ничего и не потеряется, т. к. в приказе ФСТЭК правила распространения аттестата соответствия на типовые сегменты расписаны гораздо подробнее (раздел 17.3), а в стандарте этому посвящена пара коротких абзацев.

Мифы вокруг аттестации по принципу типовых сегментов

Вокруг типовых сегментов существует множество мифов. Здесь мы разберем те, с которыми сталкивались сами. Если у вас есть примеры похожих мифов или вопросы (вы не уверены – миф это или нет), добро пожаловать в комментарии.

Миф №1. Одним аттестатом по принципу типовых сегментов можно аттестовать все информационные системы в РФ

Теоретически напрямую нормативными документами это не запрещено, но на практике сделать это будет невозможно. Один из пунктов 17 приказа ФСТЭК по типовым сегментам гласит, что в типовых сегментах должно обеспечиваться выполнение организационно-распорядительной документации по защите информации. Так вот, большая проблема как раз в разработке такой документации, которая будет учитывать разные техпроцессы обработки информации, разную защищаемую информацию, разные требования регуляторов и т. д. В итоге, документация, разработанная для одной системы, будет неактуальна для другой.

Миф №2. «Типовые сегменты» предусмотрены только для государственных информационных систем

Это не так. Во-первых, сам 17 приказ ФСТЭК позволяет применять его положения при разработке систем защиты информации в любых других информационных системах. Во-вторых, в ГОСТ РО 0043-003-2012 применяется более широкое понятие «объекты информатизации» вместо «государственные информационные системы».

Миф №3. Если нам выдадут аттестат, который можно распространять на типовые сегменты, то мы его можем распространять на что угодно

Это не так, под спойлером полный текст пункта 17.3 приказа ФСТЭК №17 по типовым сегментам, далее мы рассмотрим случаи, когда выданный аттестат распространять нельзя. Здесь нам придется остановиться подробнее.

Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.

Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.

В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

Далее мы будем брать конкретные примеры ошибок, и приводить только подходящие цитаты из этого нормативного акта в качестве обоснования, почему так делать нельзя.


Пример №1

Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ). Можно ли так делать?


Нет! Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Передача информации по каналам связи это тоже технология обработки. Плюс в данном примере не аттестован ни один АРМ, поэтому распространить аттестат на другой типовой АРМ мы не можем.

Пример №2

Здесь мы учли предыдущую ошибку и включили в аттестат каналы передачи данных и типовое АРМ. Вдруг у нас возникла необходимость организовать большому начальнику ноутбук с подключением в аттестованную систему (по защищенным каналам, конечно же). Можем ли мы распространить аттестат соответствия на этот ноутбук?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации…

Здесь для мобильных технических средств появляются новые угрозы безопасности информации, которые не актуальны для стационарных АРМ и скорее всего не учтены в модели угроз на аттестованную систему.

Пример №3

Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?


Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания…

Несмотря на то, что мобильное средство было описано в проектной документации на систему защиты информации и в модели угроз были учтены угрозы, связанные с мобильными техническими средствами, в отношении такого средства не были проведены аттестационные испытания.

Пример №4

Как все сложно-то! А вот такая ситуация: есть лечебное учреждение, там есть две информационные системы – с сотрудниками и медицинская информационная система (МИС) с пациентами. Можем ли мы сэкономить, аттестовать информационную систему с сотрудниками и распространить этот аттестат на МИС?


Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности… одинаковые проектные решения по информационной системе.


Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет.

Миф №4. Типовые сегменты необходимо описывать в проектной документации на систему защиты, начиная с модели угроз

Такого требования нет. Хотя это напрямую и не запрещено, такой подход в будущем может повлечь некоторые проблемы. Что нам говорит об этом 17-й приказ ФСТЭК:

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

То есть мы вправе упоминать типовые сегменты только на этапе аттестации. В этом случае ваши сегменты будут типовыми по умолчанию, если выполнены условия раздела 17.3 приказа ФСТЭК №17. Но мы встречали случаи, когда типовые сегменты пытались описать уже на этапе моделирования угроз, чуть ли не указывая серийные номера оборудования таких сегментов. Проблема такого подхода в том, что если произойдет замена оборудования или что-то поменяется в технологиях обработки (например, появится среда виртуализации), то сегменты, на которые аттестат уже распространен могут стать, скажем так, нелегитимно типовыми. И в таком случае может понадобиться проводить не «дополнительные аттестационные испытания», а полностью весь комплекс испытаний проводить по новой.

В общем, наш совет – не упоминать типовые сегменты в проектной документации совсем. Ведь по действующему законодательству типовым будет любой сегмент, удовлетворяющий установленным условиям.

ВАЖНО! Если вы оператор информационной системы и планируете аттестацию информационной системы с возможностью распространять аттестат на типовые сегменты, обязательно обговорите с вашим аттестующим органом, чтобы такая возможность была отражена в аттестационных документах, как этого требует 17 приказ ФСТЭК!

Миф №5. ФСТЭК не понимает «типовые сегменты» и если мы так аттестуемся, нас накажут

Такой миф звучит очень странно, учитывая, что типовые сегменты подробнее всего описаны в нормативной документации именно от ФСТЭК. Эту мысль чаще всего можно услышать от безопасников так называемой «старой школы».

В общем, кроме как «это не правда» нам здесь сказать нечего. Даже наоборот – регулятор всячески продвигает такой порядок аттестации информационных систем и совсем недавно мы даже столкнулись с претензией от ФСТЭК, что огромная информационная система регионального масштаба аттестовывалась НЕ по принципу типовых сегментов. Там пришлось объяснять, что в том конкретном случае это было не оптимально.

Миф №6. Типовые сегменты работают только когда аттестованная часть и сегменты являются собственностью одной организации

Это неправда. Прямо об этом в законодательстве не говорится, а все что не запрещено, то разрешено. Но, конечно же, определенные отличия, когда аттестованная часть и типовые сегменты собственность одной организации, и когда типовые сегменты принадлежат сторонним юридическим лицам, есть.

В случаях, когда все принадлежит одной организации, эта организация может самостоятельно провести мероприятия по защите информации на типовом сегменте, назначить комиссию и распространить аттестат на типовой сегмент.

В случаях, когда есть центральный оператор государственной информационной системы (например, региональный Информационно-технологический центр) и сегменты у других юридических лиц (как пример – региональная система документооборота государственных учреждений), то тут все немного сложнее. Сложность заключается в том, что по закону за защиту информации в государственных информационных системах отвечает оператор этих ГИС. Поэтому для того, чтобы очередная проверка не нагрела оператора за то, что где-то в школе за 400 км от регионального центра не выполняются мероприятия по защите информации, ему необходимо хотя бы на этапе подключения типового сегмента максимально задокументировать этот процесс. В первую очередь создается регламент подключения к информационной системе, где оператор четко и ясно описывает требования по защите информации, которые нужно выполнить на подключаемом сегменте. Сюда входит обычно назначение ответственных, утверждение внутренних документов по защите информации (особо замороченные операторы могут даже разработать и предоставлять типовой комплект), закупка, установка и настройка необходимых средств защиты информации, анализ уязвимостей и т. д. Далее, организация, желающая подключиться, выполняет все требования и оговоренным в регламенте образом подтверждает это.

С другой стороны все описанные сложности это примерный план действий, который уже мы изобретали совместно с одним из таких операторов. Если оператор распределенной ГИС не боится нести ответственность за то, что не докажет факт исполнения требований по защите информации на удаленном сегменте хотя бы на этапе подключения, то он может пойти и по упрощенному пути (насколько «упрощенному» так же решать этому оператору).

К сожалению, некоторые операторы так и делают, потому что искренне верят в следующий миф.

Миф №7. За распространение аттестата на сегменты, не соответствующие требованиям несет ответственность аттестующий орган

Нам, как аттестующему органу, очень важно понимать границы нашей ответственности. Поскольку четко на вопрос «кто несет ответственность за распространение аттестата на несоответствующие требованиям сегменты» закон не отвечает, мы написали письмо во ФСТЭК.

ФСТЭК ответил, что аттестующий орган несет ответственность только за качество непосредственно аттестационных испытаний. За корректность распространения аттестата на типовые сегменты несет ответственность организация-оператор информационной системы.

Миф №8. Типовые сегменты нам ничего не дадут. Все равно придется привлекать лицензиата и платить ему деньги

Это не так. Как минимум в случаях, когда в штате оператора информационной системы есть специалисты, способные провести все, описанные выше, мероприятия.

С другой стороны, мы часто сталкиваемся с тем, что нас просят помочь и с подключением типовых сегментов. Все равно в таких сегментах как минимум нужно проработать внутреннюю документацию, установить и правильно настроить средства защиты информации. Плюс, многие операторы информационных систем больше доверяют заключениям о соответствии типового сегмента, написанного сторонней организацией, чем отчету самого заявителя на подключение к системе.

Но даже в этом случае типовые сегменты позволяют оператору сэкономить деньги, так как на присоединяемые элементы как минимум не нужно разрабатывать отдельную модель угроз и проектную документацию на систему защиты информации. Также нет необходимости проводить полноценные аттестационные испытания.

Миф №9. В типовых сегментах должны использоваться только одинаковые технические средства (например, компьютеры с одинаковой материнской платой, одинаковым процессором, одинаковой оперативной памятью, вплоть до типа, производителя и модели)

Этот вопрос тоже явно не прописан в законодательстве. На интуитивном уровне понятно, что полное соответствия железа аттестованного и подключаемого сегмента не требуется, иначе всей этой затее грош цена. А когда нам нужно уточнить подобный вопрос, что мы делаем? Правильно – пишем письмо регулятору. ФСТЭК ожидаемо ответил, что в типовых сегментах не должны использоваться одинаковые (один производитель, одна модель и т. д.) технические решения.

Для того чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. Как собственно и написано в 17 приказе.

Миф №10. Для каждого присоединяемого типового сегмента нужно делать свою модель угроз

Нет. В типовом сегменте должны быть актуальны такие же угрозы, как и в аттестованной части информационной системы. Соответственно – модель угроз одна на всю систему. Если в аттестованной информационной системе происходят какие-либо значительные технологические изменения, которые могут повлечь появление новых угроз безопасности информации, необходимо пересматривать общую модель угроз и, при необходимости, проводить дополнительные аттестационные испытания системы в целом.

Миф №11. Данные присоединяемых типовых сегментов не нужно отражать в техническом паспорте на информационную систему

По этому вопросу мы также спросили ФСТЭК. Ответ такой — данные новых сегментов нужно вносить в технический паспорт. Но вносить ли новые данные в общий техпаспорт на систему или сделать отдельный документ для сегмента – решать оператору. На наш взгляд на типовой сегмент удобнее делать отдельный технический паспорт.

На этом все. Если у вас остались вопросы по теме – добро пожаловать в комментарии. Надеемся, что наша публикация будет полезна и облегчит жизнь операторам аттестованных информационных систем.

Жизнь после аттестации информационной системы

Аттестат соответствия информационной системы выдается не более чем на 3 года. Причем действие аттестата прекращается досрочно при изменении условий функционирования информационной системы и технологии обработки защищаемой информации. Как избежать приостановки или отмены действия аттестата соответствия?

Аттестация информационных систем — это комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие информационной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации. Подтверждением такого соответствия является специальный документ –аттестат соответствия.

Обязательной аттестации подлежат следующие информационные системы:

  • информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами («Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. председателем Гостехкомиссии 25.11.1994 г.);
  • информационные системы, отнесенные к муниципальным или государственным (приказ ФСТЭК РФ от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца информационной системы.

Иными словами, если в вашей организации есть информационная система, в которой ведется обработка персональных данных, то аттестация такой информационной системы является добровольной, но если эта информационная система является государственной, то аттестация обязательна.

Аттестацию на соответствие требованиям по защите информации могут проводить организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации, выданную ФСТЭК России.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Аттестат соответствия выдается на период, в течение которого должна быть обеспечена неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 3 года.

Владелец аттестованной информационной системы несет ответственность за неизменность установленных условий функционирования информационной системы, технологии обработки защищаемой информации и требований по безопасности информации.

Эксплуатация аттестованной информационной системы

Эксплуатация аттестованной информационной системы должна осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами. Владелец обязан:

  • поддерживать правила разграничения доступа в информационную систему;
  • поддерживать работоспособность средств защиты информации в информационной системе в соответствии с эксплуатационной документацией;
  • информировать пользователей информационной системы о правилах эксплуатации средств защиты информации, а при необходимости обучать их работе со средствами защиты информации;
  • выявлять, регистрировать и реагировать на события в информационной системе, связанные с защитой информации;
  • поддерживать конфигурацию информационной системы и ее систему защиты информации (структуру системы защиты информации информационной системы, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
  • ежегодно проводить контроль соблюдения неизменности условий и технологии обработки защищаемой информации в информационной системе.

В случае изменения условий и технологии обработки защищаемой информации владелец аттестованной информационной системы обязан известить об этом организацию, проводившую работы по аттестации информационной системы, которая в свою очередь принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:

  1. Состав и условия размещения технических средств и систем.

Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б. Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.

  1. Состав программного обеспечения обработки защищаемой информации и условия ее обработки.

Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких». В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).

  1. Состав продукции, используемой в целях защиты информации, параметры установки и настройки.

Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.

Выводы:

При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия». Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Специалисты «Контур-Безопасность» готовы:

  • подготовить документы
  • провести аттестационные испытания
  • проконсультировать по сложным вопросам

Если вы не знаете, что именно нужно в вашем случае — переаттестация или внесение изменений в текущую документацию, описывайте ситуацию в комментариях, мы постараемся разобрать ее онлайн или в следующей статье.

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.


Это оценка эффективности реализованных мер защиты информации в соответствии с нормативной документацией ФСБ и ФСТЭК России. Кто-то под аттестацией понимает только один этап работы "Аттестационные испытания", а кто-то, включая все предшествующие этапы подготовки:

      обследование
      проектирование системы защиты информации
      установка средств защиты
      разработка ОРД.

Кому необходима аттестация АРМ?


Аттестация в обязательном порядке необходима:

      Соискателям и лицензиатам ФСБ и ФСТЭК России
      Для подготовки организации по 152-ФЗ "О персональных данных"
      Организациям, обрабатывающие гос. тайну
      Операторам образовательных учреждений
      Госучреждениям.

Сколько стоит аттестовать АРМ?


Каков срок аттестации АРМ?


Как рассчитать стоимость аттестации АРМ?


Из каких этапов состоит аттестация АРМ?


Наша организация проводит аттестацию в три этапа:

  • заполнение заказчиком опросного листа;
  • выезд специалистов для исследования аттестуемого объекта;
  • разработка комплекта пред аттестационных документов (при необходимости);
  • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
  • разработка программы и методики аттестационных испытаний;
  • монтаж, установка, настройка средств защиты информации.

Этап аттестационных испытаний:

  • проведение комплекса аттестационных испытаний объекта информатизации;
  • оформление аттестационных документов;
  • оформление Заключения по итогам аттестационных испытаний и «Аттестата соответствия».

Этап эксплуатации объекта:

  • техническая поддержка в эксплуатации средств защиты информации;
  • консультационные услуги по вопросам повышения «законодательного минимума» сотрудников Заказчика;
  • проведение периодического контроля и переаттестации (при необходимости).

Какая роль аттестации при получении лицензии ФСБ или ФСТЭК?


По лицензионным требованиям ФСБ (ПП 313) или ФСТЭК России (ПП 79, ПП 171) в организации должна быть аттестованная автоматизированная система, состоящая, как минимум, хотя бы из одного компьютера. Без аттестата соответствия арм лицензию ФСБ или ФСТЭК России не получить.

Какая роль аттестации в подготовке организации по 152-ФЗ?


По 152-ФЗ каждый оператор персональных данных обязан обеспечить: правовую и организационно-техническую защиту персональных данных (в соответствии со ст. 18 и ст. 19 закона). Соответственно, помимо правовой (юридической) подготовки каждая организация обязана провести защиту и аттестацию своих компьютерных систем, в которых обрабатываются персональные данные. Т.е. аттестация это всего лишь один этап в комплексе работ по подготовке организации по 152-ФЗ.

Если аттестация — это только один этап комплекса работ подготовки к получению лицензии ФСБ или ФСТЭК России, то какой полный набор этапов?


  • Закупка программного обеспечения и средств защиты информации;
  • Подбор кадров, соответствующих лицензионным требованиям
  • Подготовка и аттестация помещения
  • Закупка нормативно-методической документации
  • Закупка средств контроля защищенности
  • Закупка контрольно-измерительного оборудования
  • Оформление системы менеджмента качества
  • Подготовка и подача пакета документов
  • Прохождение проверки ФСБ или ФСТЭК и устранение замечаний.

Если аттестация — это только один этап комплекса работ подготовки по 152-ФЗ, то какой полный набор этапов?


  • Обследование производственных процессов организации + приведение их в соответствие;
  • Разработка документации (ОРД) + подача уведомления в Роскомнадзор;
  • Реализация тех. мер защиты (защита и аттестация компьютерных систем);
  • Подготовка к проверке Роскомнадзор (оценка готовности + разработка/доработка документов);
  • Защита на проверке Роскомнадзор (консультирование + доработка документов).

Первые три пункта прямо относятся к подготовке по 152-ФЗ, а последние два пункта относятся к подготовке к проверке Роскомнадзор.

Можно ли самостоятельно аттестовать АРМ?


Нет, такой вид работ как "аттестация" относится к лицензируемому виду деятельности в соответствии с Постановлением Правительства № 79. Если подготовку АС частично можно сделать самостоятельно, то аттестацию по-любому заказывать у лицензиата ФСТЭК России.

Кто может (имеет право) проводить аттестацию АРМ?


Аттестацию имеет право проводить только такая организация как мы - лицензиат ФСТЭК России на техническую защиту конфиденциальной информации, с пунктом в лицензии "Аттестация средств и систем информатизации" (см. нашу лицензию).

Какие документы нужно разработать для аттестации АРМ?


Сколько нужно разработать документов к аттестации АРМ?


Количество разрабатываемых документов зависит от масштаба и архитектуры информационной системы, а также уровня готовности в данной части. Самый минимальный набор документов насчитывает порядка 15 документов.

Какие средства защиты необходимо установить для аттестации АРМ?


В зависимости от того по каким требованиям и по какому классу защищенности вам надо аттестовать. Также стоит вопрос, насколько точно вы хотите соответствовать требованиям (он же вопрос бюджета), например, если делать все максимально правильно, то для аттестации по РД-АС 1Г необходимы сертифицированные:

  • СЗИ от НСД
  • Антивирус
  • Межсетевой экран (при межсетевом взаимодействии)
  • Сканер безопасности
  • Средство резервного копирования и восстановления данных.


Разработать и внедрить систему обеспечения защиты персональных данных.
Обеспечить контроль за персональными данными всех участников деятельности организации, включая работников и посетителей, с момента получения персональных данных до их уничтожения. Назначить или нанять официально сотрудника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ).

Подать заявление в Роскомнадзор.

Обращение в Роскомнадзор любого человека или организации, связанное с обработкой персональных данных, может повлечь внеплановую проверку вашей организации.

Для подготовки к возможной проверке вы можете самостоятельно разработать документы, но есть риск неправильного проведения комплекса мероприятий по разработке ПДн для ОРД.

Чтобы пройти проверки Роскомнадзора, ФСБ, ФСТЭК, трудовой инспекции и других контролирующих органов, обратитесь к специалистам ЦИТ Аверс. Воспользовавшись нашими услугами, вы обезопасите свою организацию от штрафов и санкций, предусмотренных законом.

templatemo home image

map

Вопрос ответ

Нашими стратегическими целями всегда будут: предвосхищать запросы самых требовательных клиентов и предлагать максимально широкий выбор услуг, первоклассные торговые условия и клиентскую поддержку. В работе с Заказчиком мы используем весь многолетний опыт и арсенал знаний, все то ценное, что накопила за годы работы в области информационных технологий наша компания. Обратившись к нам, Вы всегда найдете понимание и готовность к сотрудничеству, квалифицированное и оперативное решение стоящих перед Вами задач.
Мы предлагаем испытанные и надежные решения, в которых максимально учитываем технические требования и финансовые возможности Заказчика.
Предметом гордости коллектива компании является тот факт, что мы до сих пор развиваем и сопровождаем системы, созданные много лет назад.

В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы.

Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  • Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  • Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ .

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Читайте также: