Мичиганин Олег Юрисконсульт

Аттестация объектов информатизации по требованиям безопасности

Высокий уровень безопасности объектов информатизации влияет на несанкционированный доступ к системам и совершение противоправных действий. Для повышения этого уровня предусмотрена процедура аттестации объектов информатизации. Ввиду специфики процесс имеет особенности, которые следует учитывать.

Содержание

Что относится к объектам информатизации

Под объектом информатизации понимаются ресурс или система, направленные на обработку информации, согласно определенной технологии. В практике это представляется в виде информационных ресурсов, системы обработки данных или поддерживающей инфраструктуры.

Кому и когда нужна аттестация объектов информатизации

Участниками процедуры являются субъекты, деятельность которых связана с объектами автоматизации. Для таких субъектов процедура является обязательной. К ним относятся следующие:

  1. Органы государственной власти.
  2. Предприятия, на которые распространяется действие государственной тайны.
  3. Юридические лица, осуществляющие аттестацию объектов информатизации в силу закона (например, предприятия оборонно-промышленного комплекса).

Помимо вышеуказанных субъектов, процедура проводится и в отношении помещений, сетей передачи данных, рабочих мест.
Законодательство допускает добровольный порядок проведения процедуры. Процесс проводится на разных этапах. Например, в момент создания объекта информатизации или его модернизации. В случае если владельцем объекта принято решение по обработке защищаемой информации после ввода, допускается проведение процедуры и в момент эксплуатации.

ВАЖНО!
Аттестацию может производить организация, имеющая соответствующую лицензию. Лицензия выдается ФСТЭК России.
Надо знать: какие виды деятельности подлежат лицензированию

Требования безопасности информации для аттестации

Орган по аттестации совершает следующие действия при проведении испытания:

  1. Оценка соответствия системы защиты требованиям (проводится на основе анализа документов экспертами).
  2. Тестирование функций безопасности (проводится анализ уязвимостей, проверяется эффективность защиты от несанкционированного доступа, в качестве теста моделируются ситуации с несанкционированным доступом).
  3. Проводится оценка показателей эффективности (для этого применяется контрольно-измерительное и испытательное оборудование).

Результаты соответствия вышеуказанным требованиям оформляются протоколом. Документ создается после завершения всей процедуры.

Подготовка к аттестации объектов информатизации

В практике я сталкивался с проведением работ по аттестации. Процедура имеет определенную последовательность. Для начала я выбрал нужную организацию, которая проводила аттестацию, и запросил у нее лицензию на возможность осуществления деятельности. После этого было принято соглашение, и у меня запросили следующие данные:

  • техпаспорт на объект информатизации (он имеет форму, установленную Приказом ФСТЭК России от 29.04.2021 № 77);
  • описание и моделирование возможных угроз безопасности (действия, которые создают неблагоприятную среду для объекта информатизации);
  • техническое задание и проектная документация на объект;
  • документы по анализу уязвимостей (если такая процедура проводилась).

Полный перечень документов, которые затребуют (при их наличии), указан в п. 11 приказа № 77 от 29.04.2021.

Порядок аттестации объектов информатизации

Документы я подготовил в печатном виде, хотя установленный порядок допускает и электронные варианты. После того как я направил документы, орган аттестации начал разработку программы и методики испытаний. После этого производятся испытания, по результатам которых было решено внести изменения в архитектуру системы защиты информации. Сделано это было для того, чтобы привести в соответствие требованиям по защите информации. После этого организация составила заключение и протоколы испытаний. Присвоен класс защищенности. Документы мне направили через три рабочих дня после утверждения.

ВАЖНО!
Срок, в течение которого направляются протоколы и заключения после утверждения, составляет пять рабочих дней.

В ходе испытаний недостатков не было выявлено. Факт прохождения аттестации подтверждается документально. По результатам прохождения процедуры организации, которую я представлял, выдали аттестат. Документ имеет установленную форму, которая определена Приказом ФСТЭК России от 29.04.2021 № 77.

Рассмотрим на примере, как он может выглядеть:

Актуальный бланк и образец этого документа есть в КонсультантПлюс Скачать бесплатно

По результатам процедуры ФСТЭК России или его территориальный орган вносят сведения об объекте в реестр. Проводится дополнительная экспертно-документальная оценка.

Читайте также:

Часто задаваемые вопросы по теме

  • Какая организация может провести аттестацию объектов информатизации?
    Организация, имеющая лицензию на осуществление такой деятельности.
  • Что является результатом аттестации объекта информатизации?
    Получение сертификата и внесение данных в реестр.
  • На какой срок выдается аттестат?
    На период действия объекта информатизации.
Правовые документы

Приказ ФСТЭК России от 29.04.2021 N 77

В 2012 году закончил Российскую правовую академию Министерства Юстиции РФ по специальности юриспруденция. С 2013 года специализируюсь в области арбитражного процесса, гражданских правоотношений, корпоративного и договорного права.