Ваша компания годами хранит конфиденциальные данные, но внезапно может выясниться, что система защиты не соответствует требованиям ФСТЭК. Штрафы, репутационные потери, приостановка работы…
Аттестация объектов информатизации – это не просто бюрократическая процедура, а ключевой этап обеспечения безопасности данных. Без нее ваш бизнес рискует столкнуться с санкциями, утечками информации и даже уголовной ответственностью.
В этой статье разберем:
-
Что такое аттестация и кому она обязательна?
-
Какие законы и ГОСТы регулируют процесс?
-
Пошаговый порядок прохождения аттестации.
-
Как подготовиться и избежать типичных ошибок?
-
Почему аттестацию нужно проходить регулярно?
Что такое аттестация объектов информатизации и зачем она нужна
Аттестация объектов информатизации – это комплексная проверка, подтверждающая, что информационная система соответствует требованиям безопасности, установленным ФСТЭК, ФСБ и ГОСТами.
Зачем это нужно:
-
Законность. Без аттестации работа с гостайной и персональными данными незаконна. Нарушение требований ФСТЭК и ФСБ грозит штрафами и блокировкой системы.
-
Безопасность. Защита от утечек, хакерских атак и внутренних угроз.
-
Репутация. Доверие клиентов и партнеров.
Законодательная база: ФСТЭК, ФСБ, ГОСТ
Аттестация регулируется строгими нормативными актами:
1. ФСТЭК России
-
Приказ №17 – требования к защите информации в госсистемах.
-
Приказ №77 – порядок аттестации объектов информатизации.
2. ФСБ России
-
Приказ №66 – защита информации в системах криптографии.
-
Приказ №378 – требования к СКЗИ (средствам криптозащиты).
3. ГОСТы
-
ГОСТ Р 57580.1-2017 – безопасность финансовых организаций.
-
ГОСТ Р 50922-2006 – защита информации.
4. Федеральные законы
-
152-ФЗ – о персональных данных (регулирует обработку и защиту ПДн).
-
187-ФЗ – о безопасности критической информационной инфраструктуры (КИИ).
-
149-ФЗ – об информации, информационных технологиях и о защите информации (основы правового регулирования ИБ).
Кому необходима аттестация объектов информатизации
Аттестация – обязательная процедура для организаций, работающих с конфиденциальной информацией, государственными системами или персональными данными. Если ваша деятельность подпадает под регулирование ФСТЭК, ФСБ или 152-ФЗ, без аттестации не обойтись.
|
Структуры |
Примеры |
Почему |
|---|---|---|
|
Государственные учреждения и госкомпании |
Федеральные и региональные органы власти (администрации, министерства). Бюджетные организации (больницы, школы, вузы). Госкорпорации и предприятия с госучастием (Ростех, Росатом, РЖД). |
Работа с гостайной, служебной информацией, персональными данными граждан требует соответствия Приказам ФСТЭК №17 и №21. |
|
Финансовый сектор |
Банки, платежные системы, МФО, страховые компании. Фондовые биржи, НПФ (негосударственные пенсионные фонды). |
По ГОСТ Р 57580.1-2017 и ФЗ-115 (противодействие отмыванию денег) необходимо подтверждать защиту клиентских данных. |
|
Компании, работающие с персональными данными (152-ФЗ) |
Интернет-магазины, маркетплейсы (базы клиентов). Соцсети, SaaS-сервисы (хранение пользовательской информации). HR-системы, CRM (данные сотрудников и клиентов). |
Нарушение 152-ФЗ влечет штрафы и блокировку сайта. |
|
Оборонные предприятия и IT-разработчики |
Оборонно-промышленный комплекс (ОПК). Разработчики ПО для госструктур. Компании, внедряющие СКЗИ (криптографию). |
Требования ФСБ обязывают сертифицировать системы, связанные с госзащитой и шифрованием. |
|
Телеком-операторы и дата-центры |
Провайдеры интернета, мобильной связи. Облачные хранилища, хостинг-провайдеры. |
По ФЗ-126 «О связи» и ФЗ-187 «О безопасности критической инфраструктуры» необходимо подтверждать защиту трафика и данных. |
Аттестации подвергаются:
-
ГИС (государственные информационные системы) – обязательно;
-
корпоративные сети (если обрабатывают персональные данные);
-
облачные хранилища (если используются для конфиденциальной информации);
-
серверные комнаты и ЦОДы;
-
системы с криптографией (СКЗИ).
Основные этапы аттестации объектов информатизации: детальный разбор
Аттестация объектов информатизации – сложный многоступенчатый процесс, требующий тщательной подготовки и строгого соблюдения регламентов. Рассмотрим каждый этап подробно.
Шаг 1. Предварительный анализ и подготовка
- Формирование рабочей группы. Назначение ответственных лиц из числа сотрудников организации. Определение куратора проекта со стороны заказчика. Привлечение аккредитованных экспертов (при необходимости).
- Инвентаризация информационных активов. Составление полного перечня объектов аттестации (серверное оборудование, рабочие станции, сетевые устройства, системы хранения данных, программное обеспечение). Определение классов защищенности для каждого компонента.
- Разработка модели угроз. Анализ потенциальных угроз согласно методическим документам ФСТЭК. Оценка возможных каналов утечки информации. Определение актуальных угроз для конкретной информационной системы. Составление матрицы угроз с указанием вероятности реализации.
- Подготовка технического задания. Формулирование требований к системе защиты. Определение перечня проверяемых параметров. Установка сроков проведения работ. Определение критериев успешного прохождения аттестации.
Шаг 2. Оценка соответствия
- Документарная проверка. Анализ организационно-распорядительных документов (приказы о назначении ответственных, регламенты работы с информацией, инструкции по обеспечению безопасности, политики информационной безопасности). Проверка наличия и корректности журналов учета, актов уничтожения информации, протоколов проверок.
- Инструментальный контроль. Проверка физической защиты: контроль доступа в помещения, наличие средств охраны, состояние инженерных систем. Технический аудит: настройки межсетевых экранов, конфигурация антивирусной защиты, параметры разграничения доступа, настройки аудита и протоколирования.
- Тестовые проверки. Проведение пентеста, проверка устойчивости к социальной инженерии, тестирование системы резервного копирования, проверка механизмов восстановления после сбоев.
- Анализ системы криптографической защиты (при наличии). Проверка сертификатов СКЗИ, контроль правильности применения криптоалгоритмов, анализ системы управления ключами, проверка соответствия требованиям ФСБ.
Шаг 3. Оформление результатов
- Составление отчета о проверке. Фиксация выявленных замечаний, оценка степени их критичности, рекомендации по устранению недостатков, приложение протоколов испытаний.
- Подготовка аттестационного заключения. Формирование сводной ведомости проверки, подготовка проекта аттестата соответствия.
- Заседание аттестационной комиссии. Презентация результатов проверки, ответы на вопросы членов комиссии, рассмотрение плана устранения замечаний, принятие решения о выдаче аттестата.
- Оформление итоговых документов. Аттестат соответствия, приложение с перечнем аттестованных объектов, ограничительная надпись на документах, регистрация в реестре ФСТЭК (для госсистем).
Шаг 4. Постаттестационное сопровождение
- Мониторинг изменений. Контроль модификаций в системе, оценка влияния изменений на безопасность, своевременное внесение корректировок.
- Реакция на инциденты. Расследование нарушений безопасности, анализ причин возникновения, внесение изменений в систему защиты.
Ключевые моменты, которые требуют особого внимания
Во-первых, проверка должна быть комплексной. Если упустить любой компонент системы, это может привести к отрицательному результату.
Во-вторых, актуальность нормативной базы. Требования ФСТЭК и ФСБ регулярно обновляются, необходимо учитывать последние изменения.
В-третьих, важно грамотно документальное сопровождение. Большинство замечаний связано с неправильным оформлением документов.
И, конечно, практическая реализация мер защиты. Формальное наличие средств защиты без их правильной настройки не дает положительного результата.
Для успешного прохождения аттестации рекомендуется начинать подготовку как минимум за 6 месяцев до плановой проверки и привлекать специализированные организации на ранних этапах.
Как подготовиться к аттестации и избежать ошибок
Среди типичных ошибок компаний выделяют неверную классификацию систем (не та модель угроз), отсутствие журналов учета (требуется по ФСТЭК), экономию на защите (несоответствие ГОСТам).
Необходимо провести предварительный аудит, настроить системы защиты, оформить все документы (политики, инструкции).
Совет: лучше обратиться к аккредитованному интегратору – он знает все нюансы ФСТЭК и ФСБ.
Аттестация объектов информатизации проводится для проверки их защищенности от несанкционированного доступа и утечек информации. Вот шаги, которые выполняют специалисты в процессе:
- Анализ начального состояния: изучаются особенности размещения объектов автоматизации (например, помещений или рабочих мест), выявляются возможные пути утечки информации.
- Проверка документов: проверяется наличие необходимых внутренних документов организации, регулирующих порядок обработки конфиденциальной информации. Если нужно — дополняются или исправляются.
- Оценка специалистов: определяется уровень подготовки сотрудников, допущенных к работе с секретной информацией.
- Установка защитных средств: объект оборудуется необходимыми техническими устройствами и системами для повышения уровня информационной безопасности.
- Разработка методов проверки: создаются программы и методики для тестирования уровня защищённости системы.
- Инструментальная проверка: проводится тщательное тестирование объекта с применением специального оборудования и программных инструментов.
- Оформление результатов: составляются отчёты (протоколы) по итогам проверок.
- Вынесение итогового решения: оценивается степень соответствия проверяемого объекта установленным стандартам безопасности, даются рекомендации по улучшению и оформляется официальный документ (аттестат), подтверждающий безопасность объекта.
Эксперты аккредитованной компании помогут пройти аттестацию быстро и без ошибок – с гарантией соответствия ФСТЭК и ФСБ.
Почему лучше обратиться к аккредитованным специалистам для проведения аттестации
Аттестация объектов информатизации – сложный и многоэтапный процесс, требующий глубоких знаний нормативной базы, практического опыта и понимания всех нюансов проверок ФСТЭК и ФСБ. Самостоятельное прохождение этой процедуры сопряжено с высокими рисками и может привести к значительным финансовым потерям. Вот почему доверить аттестацию лучше аккредитованному интегратору:
Профессиональная экспертиза и знание нормативной базы. Глубокое понимание требований ФСТЭК, ФСБ, ГОСТ Р и других регулирующих документов, актуальная информация обо всех изменениях в законодательстве (специалисты следят за обновлениями ежедневно), опыт взаимодействия с проверяющими органами, знание их практики и требований, библиотека готовых решений для различных типов объектов информатизации.
Полный комплекс услуг «под ключ». Предварительный аудит с детальным анализом системы, разработка всей необходимой документации, настройка технических средств защиты в строгом соответствии с требованиями, проведение тестовых проверок, сопровождение на всех этапах аттестационной проверки.
Снижение финансовых и репутационных рисков. Минимизация вероятности отказа в выдаче аттестата, отсутствие штрафов,
Оптимизация затрат на защиту информации. Точный расчет необходимых мер защиты (без избыточных затрат), рекомендации по выбору оборудования с оптимальным соотношением цена/качество, возможность поэтапного внедрения дорогостоящих систем защиты, доступ к специальным ценам на средства защиты (у интеграторов часто есть партнерские программы).
Особые преимущества для различных отраслей. Для госорганизаций – знание специфики работы с гостайной, для финансового сектора – опыт реализации требований ЦБ РФ, для медицинских учреждений – понимание особенностей защиты персональных данных пациентов, для промышленных предприятий – опыт работы с системами АСУ ТП, для IT-компаний – помощь в сертификации собственных разработок.