Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Об изменении порядка аттестации объектов информатизации на соответствие требованиям о защите информации

    25.08.2021 Булаев Михаил Александрович, ведущий консультант-аналитик

    Десятого августа 2021 года на официальном интернет-портале правовой информации был опубликован приказ Федеральной службы по техническому и экспортному контролю от 29 апреля 2021г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», зарегистрированный Минюстом России 10 августа 2021г. № 64589.
    Приказ определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов. Приказ вступает в силу с 1 сентября 2021г.

    Какие же новые требования в части проведения аттестации объектов информатизации установлены регулятором?

    1. Область применения документа.
    Положения документа распространяется на аттестацию на соответствие требованиям по защите информации следующих объектов информатизации:
            • государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
            • информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
            • помещений, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения).

    Кроме того, новый порядок применяется для аттестации объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации (фактически это добровольная аттестация):
            • значимых объектов критической информационной инфраструктуры Российской Федерации;
            • информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
            • автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
     
    ФСТЭК России также установила конкретный (и конечный) перечень нормативных документов, на соответствие требованиям которых может проводиться аттестация (упоминаются действующие на период утверждения нового Порядка аттестации редакции документов). К этим нормативным документам относятся:

            • Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России от 11 февраля 2013г. № 17.
            • Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утверждённые приказом ФСТЭК России от 28 февраля 2017г. № 31.
            • Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённые приказом ФСТЭК России от 25 декабря 2017г. №239.
            • Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утверждённые приказом ФСТЭК России от 14 марта 2013г. № 31.
            • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённые приказом ФСТЭК России от 18 февраля 2013г. № 21.
            • Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утверждённые приказом ФСТЭК России от 29 мая 2009г. № 191.

    2. Кто может проводить аттестацию?

    Документ (кроме организаций, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), которые названы «органами по аттестации») даёт право проведения аттестации структурным подразделением (работниками) федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления этого органа, ответственными за защиту информации, но только при выполнении следующих условий:
            • наличие средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей, а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);
            • наличие нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, национальных стандартов в области технической защиты информации;
            • наличие работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
    Перечисленные подразделения также становятся «органами по аттестации».

    3. В документе повторяется тезис, впервые обозначенный в Требованиях о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённых приказом ФСТЭК России от 13 февраля 2013г. № 17, согласно которому назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается. Кроме того, при назначении экспертов должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведённых экспертами органа по аттестации.

    4. Документ конкретизирует перечень документов, которые владелец объекта информатизации представляет в орган по аттестации.
    К ним относятся:
            • технический паспорт на объект информатизации (оформляется по новой форме, образец которой приведён в приложении № 1 к Порядку аттестации);
            • акт классификации информационной (автоматизированной) системы (оформляется по новой форме, образец которой приведён в приложении № 3 к Порядку аттестации);
            • модель угроз безопасности информации (в случае её разработки в соответствии с требованиями по защите информации);
            • техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства (в случае их разработки в ходе создания объекта информатизации);
            • проектная документация на систему защиты информации объекта информатизации (в случае её разработки в ходе создания объекта информатизации);
            • эксплуатационная документация на систему защиты информации объекта информатизации и применяемые средства защиты информации;
            • организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищённости информации;
            • документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

    Причём по решению владельца объекта информатизации перечисленные документы (их копии) могут представляться в орган по аттестации в электронном виде.

    Здесь необходимо отметить следующие важные моменты:

            • новый Порядок аттестации не предусматривает для информационных (автоматизированных) систем необходимость проверки мер защиты информации от утечки по каналам ПЭМИН, в связи с чем в Техническом паспорте на аттестуемый объект информатизации нет необходимости отражать ряд сведений (состав ВТСС, схемы размещения оборудования, схемы электропитания и пр.);
            • исключается необходимость разработки некоторых документов, например, описания технологического процесса обработки информации в ИС. Однако это описание включается в Технический паспорт информационной (автоматизированной) системы;
            • по сравнению с образцом Технического паспорта, приведённого в СТР-К, документ вносит существенные изменения в его форму и содержание. Согласно новым требованиям Технический паспорт информационной (автоматизированной) системы должен включать следующие разделы:
              1). Общие сведения об информационной (автоматизированной) системе.
              2). Условия эксплуатации информационной (автоматизированной) системы:
                    - сведения об архитектуре информационной (автоматизированной) системы;
                    - описание технологического процесса обработки информации и режимы доступа к информационным ресурсам;
                    - сведения об аттестате соответствия информационно-телекоммуникационной инфраструктуры ЦОД, на базе которой функционирует   информационная (автоматизированная) система, а также о модели услуг, по которой предоставляются вычислительные услуги (при условии аттестации информационной (автоматизированной) системы на базе аттестованной на соответствие требованиям по защите информации информационно-телекоммуникационной инфраструктуры центра обработки).
              3). Состав информационной (автоматизированной) системы:
                    - состав программно-технических средств;
                    - состав общесистемного и прикладного программного обеспечения;
                    - состав телекоммуникационного оборудования;
                    - состав средств защиты информации.
              4). Сведения о соответствии информационной (автоматизированной) системы требованиям по защите информации:
                    - сведения о протоколах аттестационных испытаний;
                    - сведения о заключении по результатам аттестационных испытаний;
                    - сведения об аттестате соответствия.
              5). Сведения о проведении контроля за обеспечением уровня защиты информации.
              6). Сведения об изменениях информационной (автоматизированной) системы и средств защиты информации.

    5. Далее документ перечисляет состав документации, оформляемой по результатам аттестации, и устанавливает требования к структуре и содержанию этих документов. Состав этих документов не изменился, это:
            • Программа и методики аттестационных испытаний объекта информатизации;
            • протоколы аттестационных испытаний объекта информатизации;
            • Заключение по результатам аттестационных испытаний объекта информатизации;
            • Аттестат соответствия.

    Однако требования к этим документам уточнены (изменены) по сравнению с требованиями, установленными национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013.
    В частности, Программа и методики аттестационных испытаний объекта информатизации должна включать проверку наличия и согласования со ФСТЭК России модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).
    Заключение по результатам аттестационных испытаний объекта информатизации теперь должно содержать следующие сведения:
            • наименование объекта информатизации и его назначение, состав программно-технических, программных средств и средств защиты информации;
            • класс защищённости информационной (автоматизированной) системы, категория значимости значимого объекта;
            • фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, проводивших аттестацию объекта информатизации;
            • дату утверждения программы и методик аттестационных испытаний объекта информатизации;
            • срок проведения аттестационных испытаний;
            • наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;
            • результаты испытаний, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведённой работе и испытанию;
            • рекомендации по устранению несоответствий системы защиты информации объекта информатизации требованиям по защите информации (далее - недостатки) в случае их выявления при проведении аттестационных испытаний;
            • вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.
    Аттестат соответствия также должен оформляться по уточнённой форме (приложение № 4 к Порядку аттестации).

    6. Проверку наличия и согласования с ФСТЭК России в соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждённых постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 (Собрание законодательства Российской Федерации, 2015, № 28, ст. 4241; 2020, № 42, ст. 6615; 2021, № 23, ст. 4079), модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).

    7. Документ устанавливает ряд временнЫх параметров, связанных со сроком действия аттестата соответствия и выполнения некоторых процедур, осуществляемых в ходе процесса аттестации, в том числе:
            • Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации;
            • Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации должны направляться владельцу объекта информатизации;
            • Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен предоставить во ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
                   - аттестата соответствия объекта информатизации;
                   - технического паспорта на объект информатизации;
                   - акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
                   - программы и методик аттестационных испытаний объекта информатизации;
                   - заключения и протоколов;
                   - копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.

    8. Ещё одно важное нововведение – на владельца аттестованного объекта информатизации возлагаются следующие обязанности:
            • поддержка безопасности аттестованного объекта информатизации в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации;
            • протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года владельцем объекта информатизации должны представляться во ФСТЭК России (территориальный орган ФСТЭК России).

    9. В соответствии с новым Порядком аттестации ФСТЭК России создает систему учёта объектов информатизации, аттестованных в соответствии с этим порядком, и систему контроля за состоянием защищённости аттестованных объектов. Для этого проводятся следующие мероприятия:
            • ФСТЭК России (территориальный орган ФСТЭК России) в течение 3х рабочих дней со дня получения от органа по аттестации документов, оформляемых по результатам аттестации, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.
            • ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку предоставленных документов.
            • В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. Владелец объекта информатизации в соответствии с выданными рекомендациями обеспечивает устранение выявленных недостатков в указанный в заключении срок.
            • Об устранении недостатков владелец объекта информатизации информирует ФСТЭК России (территориальный орган ФСТЭК России).
            • Устанавливаются следующие причины, по которым ФСТЭК России (территориальным органом ФСТЭК России) может быть приостановлено действие аттестата соответствия (на срок не более 90 суток):
                    - установление факта несоответствия аттестованного объекта информатизации требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз безопасности информации;
                    - неустранение недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России);
                    - непредставление протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;
                    - изменения архитектуры системы защиты информации аттестованного объекта информатизации, которые приводят к несоответствию этого объекта аттестату соответствия;
                    - обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.

    10. Документом также устанавливаются условия, при которых по решению ФСТЭК России (территориального органа ФСТЭК России) прекращается действие аттестата соответствия (т.е. аттестат соответствия аннулируется). К этим условиям относятся:
            • непредставление владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих устранение недостатков;
            • непредставление владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок протоколов контроля уровня защищённости информации на аттестованном объекте информатизации;
            • непредставление владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;
            • обращение владельца объекта информатизации о прекращении действия аттестата соответствия.

    И в заключение о проблемных вопросах:

              1). Документ не содержит ссылок на ранее принятое Положение по аттестации 1994г. и действующие национальные стандарты в области аттестации объектов информатизации:
            • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
            • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов. Программа и методики аттестационных испытаний».
    В связи этим непонятно, нужно ли и в какой части при проведении аттестации использовать положения этих нормативных документов.
              2). Представляется совершенно необоснованным централизованно собирать по (незащищённым?) каналам связи и аккумулировать во ФСТЭК России огромные массивы документации, связанной как с процедурой проведения аттестации, так и документов, связанных с последующим контролем защищённости аттестованных объектов информатизации. Кроме проблем с валом подобной документации многократно возрастает вероятность утечки этой информации, в том числе при передаче по каналам связи, что исключительно негативно повлияет на защищённость аттестованных информационных систем.
              3). Не определены объём и состав работ по периодическому контролю защищённости аттестованных объектов информатизации, требования к Протоколам контроля защиты информации, а также порядок предоставления этих протоколов (в каком случае они предоставляются во ФСТЭК России, а в каком случае - в территориальный орган). Непонятно, как учитывать тот факт, что при аттестации распределённых информационных систем аттестат соответствия распространяется на десятки и даже сотни отдельных типовых объектов информатизации, входящих в состав аттестованной информационной системы, что влечёт необходимость для одной информационной системы предоставлять десятки или даже сотни протоколов, оформляемых для отдельных объектов информатизации, входящих в систему.
               4). Непонятно, на каком основании рассматриваемый Порядок применяется при проведении добровольной аттестации, например, в случае аттестации информационных систем персональных данных в негосударственных структурах. Формально в соответствии с законодательством обязательные требования подобного рода могут распространяться только на случаи, при которых аттестация объектов информатизации является обязательной.

    Есть и другие замечания к документу, а также, к сожалению, грамматические ошибки (что удивительно, так как документ прошёл регистрацию в Минюсте).

    Будем надеяться, что ФСТЭК России в обозримом будущем выпустит разъяснения по непонятным вопросам.

    Возврат к списку