Аттестация ЭТРАН

АТТЕСТАЦИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ЦЕНТРАЛИЗОВАННОЙ ПОДГОТОВКИ И ОФОРМЛЕНИЯ ПЕРЕВОЗОЧНЫХ ДОКУМЕНТОВ ОАО «РЖД» НА НОВОЙ ПЛАТФОРМЕ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация АС ЭТРАН?

Аттестация АС ЭТРАН нужна операторам осуществляющие взаимодействие с информационными системами ОАО «РЖД» на основании требований ОАО «РЖД» пункта: 15.1.3. «Обеспечивать подключение к информационным системам ОАО «РЖД» только аттестованных объектов информатизации в установленном порядке по классу не ниже максимального класса защищённости исходя из перечня подключаемых систем ОАО «РЖД» – К1/К2/К31.»
Компьютеры операторов должны быть аттестованы по 3 классу защищенности в соответствии с требованиями следующих нормативных документов:

Приказ ФСТЭК России от 11 февраля 2013г. No 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Туроператор должен привлечь на договорной основе лицензиата ФСТЭК России для проведения аттестации своих компьютеров.

Что включает в себя аттестация АС ЭТРАН?

Аттестация АС ЭТРАН включает в себя комплексные аттестационные испытания в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

программа и методики аттестационных испытаний АС ЭТРАН;
заключение по результатам аттестационных испытаний АС ЭТРАН;
протокол аттестационных испытаний АС ЭТРАН;
аттестат соответствия АС ЭТРАН.

Примечание: аттестация АС ЭТРАН — это только процедура оценки соответствия (защищенности, эффективности принимаемых мер защиты), которая не включает в себя подготовку к аттестации АС ЭТРАН.

Что нужно сделать перед началом аттестации АС ЭТРАН?

Порядок работ следующий:
1. Обследование АС ЭТРАН:

акт (отчет) об обследовании;
модель угроз и нарушителя безопасности информации (bdu.fstec.ru);
акт классификации АС ЭТРАН;
техническое задание на создание системы защиты АС ЭТРАН.

2. Проектирование системы защиты АС ЭТРАН:

технический проект на систему защиты АС ЭТРАН, в составе:
— ведомость эксплуатационных документов;
— структурная схема комплекса технических средств;
— спецификация средств защиты информации;
— пояснительная записка.

3. Внедрение системы защиты информации:

закупка, установка и настройка сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ);
проведение анализа уязвимостей в АС ЭТРАН;
разработка организационно-распорядительной документации (ОРД);
внедрение организационных мер защиты.

Минимальный набор сертифицированных средств защиты информации (СрЗИ) следующий:

средство защиты от НСД;
средство антивирусной защиты (АВЗ);
средство обнаружения вторжений (СОВ);
средства межсетевого экранирования (МЭ);
средство криптографической защиты информации (СКЗИ).

Только тогда можно будет пройти аттестацию АС ЭТРАН ЭП.
Также указано: данный набор средств минимально необходим, но в отдельных случаях может быть дополнен в соответствии с принятыми внешними пользователями моделями угроз и нарушителя безопасности информации, а также по решению владельца АС ЭТРАН. Внимание: СрЗИ и СКЗИ должны быть обязательно сертифицированные! Срок действия сертификатов соответствия можно проверить в реестре по адресу https://reestr.fstec.ru/reg3.

Какие бывают меры защиты АС ЭТРАН?

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 «Требования о защите информации, не составляющей государственной тайны, содержащейся в государственных информационных системах», предъявляются следующие требования к составу мер защиты:

Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
Управление доступом субъектов доступа к объектам доступа (УПД);
Ограничение программной среды (ОПС);
Защита машинных носителей информации (ЗНИ);
Регистрация событий безопасности (РСБ);
Антивирусная защита (АВЗ);
Обнаружение вторжений (СОВ);
Контроль (анализ) защищенности информации (АНЗ);
Обеспечение целостности информационной системы и информации (ОЦЛ);
Обеспечение доступности информации (ОДТ);
Защита среды виртуализации (ЗВС);
Защита технических средств (ЗТС);
Защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
Защита информационной системы от атак, направленных на отказ в обслуживании.

По каким требованиям проводится подготовка к аттестации и аттестация АС ЭТРАН?

Подготовка к аттестации и аттестация АС ЭТРАН проводится в соответствии с действующими нормативными документами:

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года);
Меры защиты информации в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2014 года);
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Методика оценки угроз безопасности информации (утверждена ФСТЭК России от 05.02.2021 г.);
ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
ГОСТ 34.601;
ГОСТ 34.603;
ГОСТ Р 51583;
ГОСТ Р 51624;
Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.).

Сколько стоит аттестация АС ЭТРАН?

Стоимость аттестации АС ЭТРАН зависит от множества критериев:

количество компьютеров и серверов, сетевого и коммуникационного оборудования;
состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
обрабатываются ли в АС ЭТРАН персональные данные, а также каких категорий и в каком объеме;
применяемые технологии и режимы обработки информации;
территориальное (географическое) расположение АС ЭТРАН;
ранее проводилась ли подготовка и аттестация АС ЭТРАН.

Кто может проводить аттестацию АС ЭТРАН?

Аттестацию АС ЭТРАН может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.
Проверить наличие лицензии у лицензиата ФСТЭК можно по адресу https://reestr.fstec.ru/reg1

Кто может проводить подготовку к аттестации АС ЭТРАН?

Подготовку к аттестации АС ЭТРАН (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
д) работы и услуги по проектированию в защищенном исполнении:
- д1 — средств и систем информатизации;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- е1 — технических средств защиты информации;
- е2 — защищенных технических средств обработки информации;
- е3 — технических средств контроля эффективности мер защиты информации;
- е4 — программных (программно-технических) средств защиты информации;
- е5 — защищенных программных (программно-технических) средств обработки информации;
- е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Если в АС ЭТРАН используются средства криптографической защиты информации, тогда необходимо еще иметь лицензию ФСБ России на работы, связанные с средствами криптографической защиты информации (313 постановление ФСБ России), с открытыми пунктами в лицензии:

2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств.
22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Проверить наличие лицензии у лицензиата ФСБ России можно на сайте ЦЛСЗ http://clsz.fsb.ru/clsz/license.htm в реестре лицензий на деятельность, связанную с шифровальными (криптографическими) средствами.

Может ли оператор провести аттестацию АС ЭТРАН самостоятельно?

Не может. В соответствии с постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, поэтому оператор не может провести аттестацию самостоятельно без привлечения на договорной основе лицензиата ФСТЭК России.
Для привлечения лицензиата ФСТЭК к работам по аттестации АС ЭТРАН необходимо:

1. Отправить письмо в свободной форме с указанием названия организации и контактных данных для связи на адрес mail@centerbit.ru для уточнения исходных данных по АС ЭТРАН и расчета стоимости работ.
2. Заключить договор на подготовку и аттестацию АС ЭТРАН.

Кто выдает и как выглядит аттестат соответствия АС ЭТРАН?

Оформляет, утверждает, выдает аттестат соответствия туроператору лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия АС ЭТРАН в ФСТЭК России для внесения сведений об аттестате соответствия АС ЭТРАН в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на АС ЭТРАН установлена Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия АС ЭТРАН, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия АС ЭТРАН?

Собственник АС ЭТРАН должен поддерживать уровень защищённости АС ЭТРАН на всем протяжении времени эксплуатации АС ЭТРАН, и через каждые 2 года обязан подтверждать факт защищённости АС ЭТРАН (периодический контроль АС ЭТРАН), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля АС ЭТРАН в ФСТЭК России для продления действия аттестата соответствия АС ЭТРАН. В случае, если протоколы периодического контроля АС ЭТРАН не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия АС ЭТРАН.

Делать периодический контроль АС ЭТРАН собственными силами могут не все собственники АС ЭТРАН, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных АС ЭТРАН, в котором отражается статус действия аттестата соответствия АС ЭТРАН.

Кто является регулятором в области аттестации АС ЭТРАН?

Регулятором в области аттестации АС ЭТРАН является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»). Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

РАБОТАЯ С НАМИ ВЫ ПОЛУЧАЕТЕ СЛЕДУЮЩИЕ ВЫГОДЫ:

1. Мы предоставляем гибкую систему оплаты.
2. Гарантируем фиксированную стоимость всех работ без дополнительных затрат.
4. Проводим аттестацию АС ЭТРАН силами собственного аттестационного центра с гарантиями по договору.
5. Получаете аттестат соответствия на АС ЭТРАН от лицензиата ФСБ и ФСТЭК России.
6. Заблаговременно напоминаем Вам о необходимости продления лицензий и проведения периодического контроля АС ЭТРАН.
7. Получаете скидку 30% на проведение периодического контроля АС ЭТРАН.
8. Становитесь VIP клиентом и можете воспользоваться другими нашими услугами со скидкой 30%.