Аттестация АС

АТТЕСТАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое автоматизированная система (АС)?

АС – это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Существуют следующие типы АС:

Автоматизированные системы обработки конфиденциальной информации (требования устанавливаются: СТР-К и РД АС.
Государственные информационные системы (требования устанавливаются: 17 приказом ФСТЭК.
Информационные системы персональных данных (требования устанавливаются: 21 приказом ФСТЭК и ПП 1119).
Автоматизированные системы управления технологическими процессами (требования устанавливаются: 31 приказом ФСТЭК.
Информационные системы общего пользования (требования устанавливаются: 489 приказом ФСТЭК.
Объекты критической информационной инфраструктуры (требования устанавливаются: 235 и 239 приказами ФСТЭК России.
Автоматизированные банковские системы (требования устанавливаются: 382-П и СТО БР ИББС.

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Что включает в себя аттестация АС?

Аттестация АС включает в себя
комплексные аттестационные испытания АС в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

— программа и методики аттестационных испытаний АС;

— заключение по результатам аттестационных испытаний АС;

— протокол аттестационных испытаний АС;

— аттестат соответствия АС.

Примечание: аттестация АС — это только процедура оценки соответствия (защищенности), которая не включает в себя подготовку к аттестации АС.

Что нужно сделать перед началом аттестации АС?

Перед началом аттестации АС необходимо подготовить к аттестации, то есть в АС необходимо обеспечить защиту информации ограниченного доступа (конфиденциальная информация) от несанкционированного доступа и утечки по техническим каналам.

По каким требованиям проводится подготовка к аттестации и аттестация АС?

Подготовка к аттестации и аттестация АС проводится в соответствии с действующими нормативными документами:
— «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утвержден Государственной технической комиссией при Президенте Российской Федерации, № 7.2/02.03.2001 г. от 2001 г.);
— «Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АС, утвержден Государственной технической комиссией при Президенте Российской Федерации, от 1992 г.);
— «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
— «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.)».

В каком объеме проводится подготовка к аттестации АС?

В зависимости от готовности АС подготовка осуществляется ориентировочно в следующем объеме:

определяется класс защищенности АС в соответствии с РД АС, утверждается документ «Акт классификации АС»;
определяются сведения, отнесенные к конфиденциальной информации, обрабатываемые в АС, утверждается документ «Перечень сведений конфиденциального характера»;
определяются угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования, утверждается документ «Модель угроз и вероятного нарушителя безопасности информации»;
определяются условия расположения объекта информатизации относительно границ контролируемой зоны (КЗ), утверждается документ «Приказ об определении границы КЗ»;
определяются конфигурация и топология АС и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения, утверждается документ «Технический паспорт АС»;
определяются технические средства и системы, предполагаемые к использованию в АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, утверждается документ «Технический паспорт АС»;
определяются режимы обработки информации в АС в целом и в отдельных компонентах, утверждается документ «Описание технологического процесса обработки информации»;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
проверяется наличие и образование работников, ответственных за защиту информации в АС, и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации, утверждается документ «Приказ о назначении администратора безопасности АС»;
разрабатывается техническое задание и технический проект на создание системы защиты информации (СЗИ) АС, включая перечня организационно-распорядительных документов и спецификации на закупку сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ), утверждаются документы «Техническое задание на создание СЗИ АС», «Технический проект на создание СЗИ АС»;
закупаются, устанавливаются и настраиваются СрЗИ и СКЗИ в АС в соответствии с разработанными параметрами настройки, утверждается документ «Акт установки и настройки СрЗИ и СКЗИ»;
проводятся предварительные испытания подсистемы безопасности, утверждается документ «Акт предварительных испытаний подсистемы безопасности»;
проводится анализ уязвимостей и принимаются меры по их устранению, утверждается документ «Акт наличия уязвимостей и принятые меры по их устранения»;
на стадии ввода в действие СЗИ АС осуществляются:

— опытная эксплуатация СрЗИ и СКЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации, утверждается документ «Акт опытной эксплуатации подсистемы безопасности»;

— приемо-сдаточные испытания СрЗИ и СКЗИ по результатам опытной эксплуатации, утверждается документ «Акт приемочных испытаний подсистемы безопасности».

Сколько стоит аттестация АС?

Стоимость аттестации АС зависит от множества критериев:

количество компьютеров и серверов, сетевого и коммуникационного оборудования;
состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
применяемые технологии и режимы обработки конфиденциальной информации;
территориальное (географическое) расположение АС;
ранее проводилась ли подготовка и аттестация АС.

Кто может проводить аттестацию АС?

Аттестацию АС может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- - а1 — в средствах и системах информатизации;
  - а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- — г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
При аттестации АС, предназначенных для обработки конфиденциальной информации по классам защищенности 1Г, 2Б, 3Б по РД АС, а также по требованиям защиты персональных данных УЗ-1, УЗ-2, УЗ-3, УЗ-4 и по требованиям защиты государственных информационных систем К-1, К-2, К-3 органу по аттестации (лицензиат ФСТЭК России) достаточно иметь только лицензию ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ) с соответствующими открытыми пунктами в лицензии.

Кто может проводить подготовку к аттестации АС?

Подготовку к аттестации АС (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
д) работы и услуги по проектированию в защищенном исполнении:
- д1 — средств и систем информатизации;
- д2 — помещений со средствами (системами) информатизации, подлежащими защите;
- д3 — защищаемых помещений;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- е1 — технических средств защиты информации;
- е2 — защищенных технических средств обработки информации;
- е3 — технических средств контроля эффективности мер защиты информации;
- е4 — программных (программно-технических) средств защиты информации;
- е5 — защищенных программных (программно-технических) средств обработки информации;
- е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия АС?

Оформляет, утверждает, выдает аттестат соответствия АС собственнику АС лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия АС в ФСТЭК России для внесения сведений об аттестате соответствия АС в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на АС установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия АС, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия АС?

Собственник АС должен поддерживать уровень защищённости конфиденциальной информации в АС на всем протяжении времени эксплуатации АС, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в АС (периодический контроль АС), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля АС в ФСТЭК России для продления действия аттестата соответствия АС. В случае, если протоколы периодического контроля АС не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия АС.

Делать периодический контроль АС собственными силами могут не все собственники АС, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.

В ФСТЭК ведётся реестр аттестованных АС, в котором отражается статус действия аттестата соответствия АС.

Кто является регулятором в области аттестации АС?

Регулятором в области аттестации АС является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/