Аттестация объектов информатизации предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности является завершающей стадией ввода в действие системы защиты информации и выступает подтверждением эффективности комплекса мер и средств защиты информации, используемых на конкретном объекте информатизации.

Что такое аттестация?

Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:

программа и методики аттестационных испытаний

протокол аттестационных испытаний

заключение аттестационных испытаний

аттестат соответствия (выдается в случае положительного заключения).

А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы

Обследование:

-отчет об обследовании

-модель угроз и нарушителя безопасности информации

-акт классификации

-техническое задание на создание системы защиты

Проектирование системы защиты:

-технический проект на систему защиты информации

-эксплуатационная документация на систему защиты информации

Внедрение системы защиты:

-установка и настройка средств защиты информации

-разработка организационно-распорядительной документации по защите информации

В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».

Как правильно? Давайте разбираться

Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.

Для того, чтобы разобраться, давайте определимся, что же такое аттестация?

В соответствии с пунктом 1.4. «ПОЛОЖЕНИЯ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994 под аттестацией понимается: «… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России» (далее — положение по аттестации).

В соответствии с пунктом 3.6 «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012: определение в целом идентично пункту 1.4. положения по аттестации (см. выше).

Данное определение точки над «i» не расставляет.

Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.

Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте.

Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

-формирование требований к защите информации, содержащейся в информационной системе

-разработка системы защиты информации информационной системы

- внедрение системы защиты информации информационной системы

-аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие»

Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.

Типы аттестуемых объектов информатизации

Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:

-Защищаемые помещения (помещения для ведения конфиденциальных переговоров)

-Автоматизированные системы (компьютерные системы)

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

-Автоматизированные системы обработки конфиденциальной информации (далее — АС ОКИ, требования предъявляются: СТР-К и РД АС)

-Информационные системы персональных данных (далее — ИСПДн, требования предъявляются: приказ ФСТЭК России № 21)

- Государственные информационные системы (далее — ГИС, требования предъявляются: приказ ФСТЭК России № 17)

-Автоматизированные системы управления технологическими процессами (далее – АСУ ТП, требования предъявляются: приказ ФСТЭК России № 31)

-Информационные системы общего пользования (требования предъявляются: приказ ФСТЭК России № 489)

-Объекты критической информационной инфраструктуры (требования предъявляются: приказами ФСТЭК России № 235 и № 239)

Автоматизированные банковские системы (далее – АБС, требования предъявляются: положение ЦБ РФ № 382-П и СТО БР ИББС)

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

-пункт 3 приказа ФСТЭК № 17

- пункт 2.1 и 2.17 СТР-К

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

-пункт 2.3 СТР-К

-пункт 1.5 положения по аттестации

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

-подпункт 4) части 2 статьи 19 ФЗ-152

-подпункт 6 приказа ФСТЭК № 21

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.