Аттестата соответствия требованиям по безопасности информации

Аттестация информационных систем

Проведение аттестационных испытаний и выдача аттестата соответствия требованиям по безопасности информации.

Заказать услугу

Что такое аттестат соответствия? Это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.

Аттестат соответствия выдается сроком на 3 года, в течение которых должна быть обеспечена неизменность условий функционирования объекта и технологии обработки защищаемой информации.

Аттестовать автоматизированную информационную систему необходимо, если в ней обрабатываются:

Персональные данные

• на соответствие требованиям, утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21.

Конфиденциальная информация, отнесенная к государственному информационному ресурсу информации

• на соответствие требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 г. № 17;
• на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 г. № 282.

Информация, содержащая государственную тайну

Обязательная аттестация автоматизированных информационных систем требуется для получения лицензии ФСТЭК или ФСБ.

*В остальных случаях аттестация является добровольной.

Вы всё ещё думаете? Просто попробуйте.

Миф №95 «Аттестация информационной системы по требованиям безопасности возможна и обязательна»

Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Недавно, во время перелета в Ижевск, листал журнал, полученный на борту и наткнулся на статью, посвященную персональным данным, в которой были такие высказывания: «очень хочется донести до руководителей коммерческих предприятий, что работы по аттестации объектов информатизации по требованиям безопасности информации необходимо было начать еще в 2006 году, когда был подписан федеральный закон». И это классическое заблуждение, которое до сих пор встречается в регионах, а иногда и навязывается отдельными сотрудниками регуляторов. Насколько это верно? Так ли обязательна аттестация информационных систем? И, вообще, возможна ли она в принципе?

Начнем с определения. Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России. Единственным документом, который описывает данный процесс, является Положение «По аттестации объектов информатизации по требованиям безопасности информации», утвержденное еще 25 ноября 1994 года Председателем Гостехкомиссии (бывшее название ФСТЭК).

Сначала развенчаем последнюю часть мифа об обязательности аттестации. Действительно, в первой версии документов ФСТЭК по защите персональных данных была фраза об обязательности аттестации ИСПДн 1-го и 2-го классов, а также распределенных ИСПДн 3-го класса. Однако, документы ФСТЭК, выпущенные в феврале 2008 года, уже не действуют – они были отменены решением коллегии ФСТЭК в марте года нынешнего, 2010-го. В единственном действующем ныне нормативно-правовом акте по защите персональных данных (а это приказ ФСТЭК №58) требования по аттестации нет. Дополнительно надо заметить, что согласно уже упомянутому положению по аттестации «обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров». Дополнительно положение уточняет, что «в остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации». Сама ФСТЭК четко и ясно в своих нормативных документах отвечает на вопрос об обязательности аттестации информационных систем коммерческих предприятий.

Теперь вспомним вторую часть мифа и посмотрим, насколько вообще возможна аттестация современной информационной системы. Начну с того, что аттестации подлежит не просто набор программных и аппартных средств, обрабатывающих информацию. Аттестуется объект информатизации, который согласно ГОСТ Р 51275-2006 определяется как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров». Иными словами, выполнение требований по безопасности проверяется не только для конкретной информационной системе, но и для помещениях, в которых данная ИС функционирует.

Все бы ничего и оценка соответствия в форме аттестации не вызывала бы таких горячих споров, если бы не следующий пункт положения ФСТЭК по аттестации: «Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации». Можно ли в современных условиях обеспечить неизменность объекта информатизации?

Неизменность означает, что вы не можете отклоняться от исходных данных, указанных в паспорте на аттестуемый объект информатизации. Вы не можете установить новое ПО на информационную систему; вы не можете обновить ПО с целью устранения уязвимостей; вы не можете поменять вышедшую из строя аппаратную деталь; вы не можете изменять настройки ПО… Возможно ли выполнение этого условия в современной сети? Разумеется нет. В давние давние времена, когда компьютеры были роскошью, аттестация применялась к объектам, обрабатывающим гостайну. Такие объекты не менялись годами и, соответственно не требовали переаттестации.

Сегодня, когда число компонентов современных ИС исчисляется десятками, не проходит дня, чтобы ИТ-департамент не получал новые патчи и обновления, устраняющие обнаруженные баги и уязвимости. Однако, «в случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации». А любая переаттестация это деньги и время. Готовы ли вы каждые полгода (чаще не согласится орган по аттестации) переаттестовывать свою систему, затрачивая на это немалые деньги (стоимость переаттестации может достигать 30-50% от первоначальной цены, которая примерно равна 20-30 тысячам рублей на один компьютер)? В итоге вы приходите к парадоксу. Или обладать действующим аттестатом и не иметь возможности обновлять информационную систему, оставляя ее в уязвимом состоянии. Или поднять уровень защищенности ИС, потеряв при этом аттестат. Большинство коммерческих организаций выберет второй вариант. Тогда зачем вообще нужна аттестация в том виде, в котором она принята в России?

А ведь я даже не заводил разговора о том, что аттестовать объекты, использующие беспроводные технологии, смартфоны, или иные мобильные устройства вообще невозможно, т.к. это противоречит заложенной регуляторами парадигме о контролируемой зоне. Представьте себе точку продажи банковского продукта, вынесенную в торговый центр. Ни о какой контролируемой зоне в такой ситуации и речи быть не может, а следовательно аттестовать такой объект не представляется возможным в принципе.

Значит ли это, что аттестация никому не нужна? Разумеется нет. Для госорганов и предприятий, обрабатывающих гостайну это единственная процедура оценки соответствия нормативным требованиям. Коммерческому предприятию тоже такая оценка нужна. Только содержание ее должно быть иной. Например, в виде внешнего аудита или проведения самооценки по стандартам Банка России (СТО БР ИББС-1.2 или РС БР ИББС-2.1).

Аттестат информационной системы: срок действия и его досрочное прекращение

Аттестация информационных систем — это комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие информационной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации. Подтверждением такого соответствия является специальный документ –аттестат соответствия.

Обязательной аттестации подлежат следующие информационные системы:

• информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами («Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. председателем Гостехкомиссии 25.11.1994 г.);
• информационные системы, отнесенные к муниципальным или государственным (приказ ФСТЭК РФ от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца информационной системы.

Иными словами, если в вашей организации есть информационная система, в которой ведется обработка персональных данных, то аттестация такой информационной системы является добровольной, но если эта информационная система является государственной, то аттестация обязательна.

Аттестацию на соответствие требованиям по защите информации могут проводить организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации, выданную ФСТЭК России.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Узнать больше

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Аттестат соответствия выдается на период, в течение которого должна быть обеспечена неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 3 года.

Владелец аттестованной информационной системы несет ответственность за неизменность установленных условий функционирования информационной системы, технологии обработки защищаемой информации и требований по безопасности информации.

Эксплуатация аттестованной информационной системы

Эксплуатация аттестованной информационной системы должна осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами. Владелец обязан:

• поддерживать правила разграничения доступа в информационную систему;
• поддерживать работоспособность средств защиты информации в информационной системе в соответствии с эксплуатационной документацией;
• информировать пользователей информационной системы о правилах эксплуатации средств защиты информации, а при необходимости обучать их работе со средствами защиты информации;
• выявлять, регистрировать и реагировать на события в информационной системе, связанные с защитой информации;
• поддерживать конфигурацию информационной системы и ее систему защиты информации (структуру системы защиты информации информационной системы, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
• ежегодно проводить контроль соблюдения неизменности условий и технологии обработки защищаемой информации в информационной системе.

В случае изменения условий и технологии обработки защищаемой информации владелец аттестованной информационной системы обязан известить об этом организацию, проводившую работы по аттестации информационной системы, которая в свою очередь принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:

1. Состав и условия размещения технических средств и систем.

Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б. Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.

1. Состав программного обеспечения обработки защищаемой информации и условия ее обработки.

Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких». В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).

1. Состав продукции, используемой в целях защиты информации, параметры установки и настройки.

Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.

Выводы:

При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия». Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Специалисты «Контур-Безопасность» готовы: 

• подготовить документы
• провести аттестационные испытания
• проконсультировать по сложным вопросам

Узнать больше

Если вы не знаете, что именно нужно в вашем случае — переаттестация или внесение изменений в текущую документацию, описывайте ситуацию в комментариях, мы постараемся разобрать ее онлайн или в следующей статье.

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность» 

Аттестация информационной безопасности и защиты инофрмации на соответсвие требованиям - ЗАО «АСТ»

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ.

Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.

Аттестация может быть как добровольная, так и обязательная.

• Добровольная – проводится по инициативе владельца ОИ и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка.
• Обязательная – проводится для ОИ в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные ИС и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ. Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:

• Информационные системы
• Рабочие места, оснащенные средствами автоматизации
• Сети передачи данных
• Помещения

«АСТ» проводит аттестацию ОИ на соответствие:

• Требованиям по защите персональных данных (152-ФЗ, приказ 21 ФСТЭК)
• Требованиям по защите государственных информационных систем (приказ 17 ФСТЭК России)
• Требованиям по защите конфиденциальной информации
• Требованиям, предъявляемым к ИС, обрабатывающим информацию, составляющую государственную тайну

Виды выполняемых при проведении аттестации ОИ работ:

1. Определение перечня ОИ, подлежащих аттестации, категорирование и классификация
2. Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования
3. Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ
4. Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям
5. Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению
6. Оценка соответствия помещений, в которых установлены ОИ предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедренных устройств перехвата информации
7. Оценка уровня подготовки персонала
8. При необходимости, проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)
9. Подготовка и утверждение программы и методики проведения аттестационных испытаний
10. Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное, ИТ-оборудование и пр.
11. Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам
12. Подготовка отчетной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)
13. Выдача, при условии положительного заключения, «Аттестата соответствия»
14. Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации.

В результате проведения работ заказчику выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.

---

Смотрите также

• 
  Программа проведения вводного инструктажа по экологической безопасности
• 
  Периодичность проведения инструктажа по технике безопасности
• 
  Смешные плакаты по охране труда и технике безопасности
• 
  Мероприятия обеспечивающие безопасность производства работ
• 
  Технический регламент таможенного союза о безопасности рыбы и рыбопродуктов
• 
  Погрузочно разгрузочные работы требования безопасности
• 
  Пожарная безопасность в начальной школе презентация
• 
  Как пристегнуть детское кресло в машине ремнем безопасности
• 
  Закон о безопасности критической информационной инфраструктуры кии
• 
  Правила техники безопасности в кабинете информатики
• 
  Уголок безопасности дорожного движения в школе