Аттестация ГИС

ФЗ 152

АТТЕСТАЦИЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое государственная информационная система (ГИС)?

ГИС – это информационная система, которая создана на основании федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов (п. 1 ч. 1 ст. 13 Федерального закона № 149-ФЗ), создана в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях (ч. 1 ст. 14 Федерального закона № 149-ФЗ).

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация ГИС?

В соответствии с Приказом ФСТЭК № 17 от 11.02.2013 к ГИС предъявляются обязательные требования по аттестации (оценка защищенности). Владелец (оператор) ГИС должен привлечь на договорной основе лицензиата ФСТЭК России для проведения аттестации ГИС. ВНИМАНИЕ: запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации, и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных (bdu.fstec.ru) угроз безопасности информации ФСТЭК России.

Какие бывают классы защищенности ГИС?

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:

  1. Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
  2. Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  3. Класс защищенности определяется следующим образом:
Уровень значимости
информации		Масштаб информационной системы
ФедеральныйРегиональныйОбъектовый 
УЗ 1К1К1К1 
УЗ 2К1К2К2 
УЗ 3К2К3К3 



Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.

Что включает в себя аттестация ГИС?

Аттестация ГИС включает в себя
комплексные аттестационные испытания в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

  • программа и методики аттестационных испытаний ГИС;
  • заключение по результатам аттестационных испытаний ГИС;
  • протокол аттестационных испытаний ГИС;
  • аттестат соответствия ГИС.

Примечание: аттестация ГИС — это только процедура оценки соответствия (защищенности, эффективности принимаемых мер защиты), которая не включает в себя подготовку к аттестации ГИС.

Что нужно сделать перед началом аттестации ГИС?

Порядок работ следующий:

  1. Обследование ГИС:
    • акт (отчет) об обследовании;
    • модель угроз и нарушителя безопасности информации (bdu.fstec.ru);
    • акт классификации ГИС;
    • техническое задание на создание системы защиты ГИС.
  2. Проектирование системы защиты ГИС:
    • технический проект на систему защиты ГИС, в составе:
    • ведомость эксплуатационных документов;
    • структурная схема комплекса технических средств;
    • спецификация средств защиты информации;
    • пояснительная записка.
  3. Внедрение системы защиты информации:
    • закупка, установка и настройка сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ);
    • проведение анализа уязвимостей в ГИС;
    • разработка организационно-распорядительной документации (ОРД);
    • внедрение организационных мер защиты.

Внимание: СрЗИ и СКЗИ должны быть только сертифицированные! Срок действия сертификатов соответствия можно проверить в реестре по адресу https://reestr.fstec.ru/reg3.

Какие бывают меры защиты ГИС?

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 «Требования о защите информации, не составляющей государственной тайны, содержащейся в государственных информационных системах», предъявляются следующие требования к составу мер защиты:

  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
  • Управление доступом субъектов доступа к объектам доступа (УПД);
  • Ограничение программной среды (ОПС);
  • Защита машинных носителей информации (ЗНИ);
  • Регистрация событий безопасности (РСБ);
  • Антивирусная защита (АВЗ);
  • Обнаружение вторжений (СОВ);
  • Контроль (анализ) защищенности информации (АНЗ);
  • Обеспечение целостности информационной системы и информации (ОЦЛ);
  • Обеспечение доступности информации (ОДТ);
  • Защита среды виртуализации (ЗВС);
  • Защита технических средств (ЗТС);
  • Защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
  • Защита информационной системы от атак, направленных на отказ в обслуживании.

По каким требованиям проводится подготовка к аттестации и аттестация ГИС?

Подготовка к аттестации и аттестация ГИС проводится в соответствии с действующими нормативными документами:

  • Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года);
  • Меры защиты информации в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2014 года);
  • Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
  • Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Методика оценки угроз безопасности информации (утверждена ФСТЭК России от 05.02.2021 г.);
  • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
  • ГОСТ 34.601;
  • ГОСТ 34.603;
  • ГОСТ Р 51583;
  • ГОСТ Р 51624;
  • Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.).

Сколько стоит аттестация ГИС?

Стоимость аттестации ГИС зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме;
  • применяемые технологии и режимы обработки информации;
  • территориальное (географическое) расположение ГИС;
  • ранее проводилась ли подготовка и аттестация ГИС.

Кто может проводить аттестацию ГИС?

Аттестацию ГИС может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.
Проверить наличие лицензии у лицензиата ФСТЭК можно по адресу https://reestr.fstec.ru/reg1

Кто может проводить подготовку к аттестации ГИС?

Подготовку к аттестации ГИС (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Если в ГИС используются средства криптографической защиты информации, тогда необходимо еще иметь лицензию ФСБ России на работы, связанные с средствами криптографической защиты информации (313 постановление ФСБ России), с открытыми пунктами в лицензии:

  • 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • 8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
  • 13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
  • 21. Передача шифровальных (криптографических) средств.
  • 22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Проверить наличие лицензии у лицензиата ФСБ России можно на сайте ЦЛСЗ http://clsz.fsb.ru/clsz/license.htm в реестре лицензий на деятельность, связанную с шифровальными (криптографическими) средствами.

Может ли оператор провести аттестацию ГИС самостоятельно?

Не может. В соответствии с постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, поэтому оператор не может провести аттестацию самостоятельно без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ГИС необходимо:

  1. Отправить письмо в свободной форме с указанием названия организации и контактных данных для связи на адрес mail@centerbit.ru для уточнения исходных данных по ГИС и расчета стоимости работ.
  2. Заключить договор на подготовку и аттестацию ГИС.

Кто выдает и как выглядит аттестат соответствия ГИС?

Оформляет, утверждает, выдает аттестат соответствия ГИС владельцу ГИС лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия ГИС в ФСТЭК России для внесения сведений об аттестате соответствия ГИС в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ГИС установлена Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ГИС, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ГИС?

Собственник ГИС должен поддерживать уровень защищённости ГИС на всем протяжении времени эксплуатации ГИС, и через каждые 2 года обязан подтверждать факт защищённости ГИС (периодический контроль ГИС), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля ГИС в ФСТЭК России для продления действия аттестата соответствия ГИС. В случае, если протоколы периодического контроля ГИС не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ГИС.

Делать периодический контроль ГИС собственными силами могут не все собственники ГИС, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.

В ФСТЭК ведётся реестр аттестованных ГИС, в котором отражается статус действия аттестата соответствия ГИС.

Кто является регулятором в области аттестации ГИС?

Регулятором в области аттестации ГИС является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»). Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

РАБОТАЯ С НАМИ ВЫ ПОЛУЧАЕТЕ СЛЕДУЮЩИЕ ВЫГОДЫ:

1. Мы предоставляем гибкую систему оплаты.
2. Гарантируем фиксированную стоимость всех работ без дополнительных затрат.
4. Проводим аттестацию ГИС силами собственного аттестационного центра с гарантиями по договору.
5. Получаете аттестат соответствия на ГИС от лицензиата ФСБ и ФСТЭК России.
6. Заблаговременно напоминаем Вам о необходимости продления лицензий и проведения периодического контроля ГИС.
7. Получаете скидку 30% на проведение периодического контроля ГИС.
8. Становитесь VIP клиентом и можете воспользоваться другими нашими услугами со скидкой 30%.

  • Скачать коммерческое предложение на на подготовку и аттестацию государственной информационной системы
Скачать PDF
  • Скачать коммерческое предложение на на подготовку и аттестацию государственной информационной системы
Скачать PDF

Заказать звонок