Рейтинг@Mail.ru
Новости:

Аттестация объектов информатизации по требованиям безопасности

Размер шрифта:

Высокий уровень безопасности объектов информатизации влияет на несанкционированный доступ к системам и совершение противоправных действий. Для повышения этого уровня предусмотрена процедура аттестации объектов информатизации. Ввиду специфики процесс имеет особенности, которые следует учитывать.

Навигация

Коротко о главном: 5 пунктов

  1. Объекты информатизации — это ресурсы или системы для работы с информацией.
  2. Аттестация таких объектов обязательна для госструктур и предприятий, работающих с гостайной.
  3. Процедуру проводят выборочные организации с лицензией от ФСТЭК.
  4. Аттестация включает проверку защитных систем и тестирование их надежности.
  5. После аттестации выдают аттестат и вносят данные в реестр.

Что относится к объектам информатизации

Под объектом информатизации понимаются ресурс или система, направленные на обработку информации, согласно определенной технологии. В практике это представляется в виде информационных ресурсов, системы обработки данных или поддерживающей инфраструктуры.

Кому и когда нужна аттестация объектов информатизации

Участниками процедуры являются субъекты, деятельность которых связана с объектами автоматизации. Для таких субъектов процедура является обязательной. К ним относятся следующие:

  1. Органы государственной власти.
  2. Предприятия, на которые распространяется действие государственной тайны.
  3. Юридические лица, осуществляющие аттестацию объектов информатизации в силу закона (например, предприятия оборонно-промышленного комплекса).

Помимо вышеуказанных субъектов, процедура проводится и в отношении помещений, сетей передачи данных, рабочих мест.
Законодательство допускает добровольный порядок проведения процедуры. Процесс проводится на разных этапах. Например, в момент создания объекта информатизации или его модернизации. В случае если владельцем объекта принято решение по обработке защищаемой информации после ввода, допускается проведение процедуры и в момент эксплуатации.

ВАЖНО!
Аттестацию может производить организация, имеющая соответствующую лицензию. Лицензия выдается ФСТЭК России.
Надо знать: какие виды деятельности подлежат лицензированию

Требования безопасности информации для аттестации

Орган по аттестации совершает следующие действия при проведении испытания:

  1. Оценка соответствия системы защиты требованиям (проводится на основе анализа документов экспертами).
  2. Тестирование функций безопасности (проводится анализ уязвимостей, проверяется эффективность защиты от несанкционированного доступа, в качестве теста моделируются ситуации с несанкционированным доступом).
  3. Проводится оценка показателей эффективности (для этого применяется контрольно-измерительное и испытательное оборудование).

Результаты соответствия вышеуказанным требованиям оформляются протоколом. Документ создается после завершения всей процедуры.

Подготовка к аттестации объектов информатизации

В практике я сталкивался с проведением работ по аттестации. Процедура имеет определенную последовательность. Для начала я выбрал нужную организацию, которая проводила аттестацию, и запросил у нее лицензию на возможность осуществления деятельности. После этого было принято соглашение, и у меня запросили следующие данные:

  • техпаспорт на объект информатизации (он имеет форму, установленную Приказом ФСТЭК России от 29.04.2021 № 77);
  • описание и моделирование возможных угроз безопасности (действия, которые создают неблагоприятную среду для объекта информатизации);
  • техническое задание и проектная документация на объект;
  • документы по анализу уязвимостей (если такая процедура проводилась).

Полный перечень документов, которые затребуют (при их наличии), указан в п. 11 приказа № 77 от 29.04.2021.

Порядок аттестации объектов информатизации

Документы я подготовил в печатном виде, хотя установленный порядок допускает и электронные варианты. После того как я направил документы, орган аттестации начал разработку программы и методики испытаний. После этого производятся испытания, по результатам которых было решено внести изменения в архитектуру системы защиты информации. Сделано это было для того, чтобы привести в соответствие требованиям по защите информации. После этого организация составила заключение и протоколы испытаний. Присвоен класс защищенности. Документы мне направили через три рабочих дня после утверждения.

ВАЖНО!
Срок, в течение которого направляются протоколы и заключения после утверждения, составляет пять рабочих дней.

В ходе испытаний недостатков не было выявлено. Факт прохождения аттестации подтверждается документально. По результатам прохождения процедуры организации, которую я представлял, выдали аттестат. Документ имеет установленную форму, которая определена Приказом ФСТЭК России от 29.04.2021 № 77.

Рассмотрим на примере, как он может выглядеть:

Аттестат соответствия требованиям по защите информации

Актуальный бланк и образец этого документа есть в КонсультантПлюс Скачать бесплатно

По результатам процедуры ФСТЭК России или его территориальный орган вносят сведения об объекте в реестр. Проводится дополнительная экспертно-документальная оценка.

Читайте также:

Часто задаваемые вопросы по теме

  • Какая организация может провести аттестацию объектов информатизации?
    Организация, имеющая лицензию на осуществление такой деятельности.
  • Что является результатом аттестации объекта информатизации?
    Получение сертификата и внесение данных в реестр.
  • На какой срок выдается аттестат?
    На период действия объекта информатизации.
Правовые документы

Приказ ФСТЭК России от 29.04.2021 N 77

Оставить комментарий Распечатать
Мичиганин Олег Юрисконсульт

В 2012 году закончил Российскую правовую академию Министерства Юстиции РФ по специальности юриспруденция. С 2013 года специализируюсь в области арбитражного процесса, гражданских правоотношений, корпоративного и договорного права.

Комментарии
  • 2024-12-02 14:39:18
    Срок полученного сертификата ограничивается сроком эксплуатации объекта информатизации. Владельцу объекта информатизации необходимо обеспечивать поддержку безопасности.
Автор что-то упустил? Информация неверна или устарела? Остались вопросы? Есть сомнения? Высказывайтесь в комментариях!
Безопасность: ответы по темам
6 вопросов
17 июня 2024
Как избавить себя от обзвонов из банков?

Отвечаем на вопросы читателей о том, как убрать свой личный телефон из баз данных, и прекратить нежелательные звонки от банков и других организаций. Обсудим возможные пути решения проблемы, законодательные аспекты и опыт читателей и экспертов.
6 вопросов
4846
Вам может быть интересно:
Рубрикатор
  • Бухгалтеру
  • Юристу
  • Кадровику
  • Физическому лицу
    • Формы и отчеты
    • Налоги и взносы
    • Учет и платежи
    • Расчеты с работниками
    • Документы
    • Суд
    • Корпоративное право
    • Кадровые документы
    • Трудовые отношения
    • Отчеты и контроль
    • Общие вопросы
    • Охрана труда
    • ИП и самозанятость
    • Работа. Служба
    • Здоровье
    • Семья
    • Имущество. Жилье
    • Документы
    • Льготы. Пенсии
Ошибка на сайте

Продолжая работу с ppt.ru, вы подтверждаете использование сайтом сооkiеѕ вашего браузера. Обработка данных осуществляется в соответствии с Политикой обработки персональных данных.

Понятно