Аттестация хостинга

АТТЕСТАЦИЯ ХОСТИНГА ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация хостинга?

С 01.09.2024 вступают изменения в ФЗ №149 (ч.5 ст. 16 ) согласно которым хостинг провайдеры должны подать заявление в Минцифру на включение в перечень провайдеров хостинга предоставляющих вычислительные мощности для государственных и муниципальных предприятий.

Для этого необходимо пройти аттестацию в соответствии с Приказом ФСТЭК № 17 от 11.02.2013. Оператор хостинга должен привлечь на договорной основе лицензиата ФСТЭК России для проведения аттестации хостинга. ВНИМАНИЕ: запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации, и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных (bdu.fstec.ru) угроз безопасности информации ФСТЭК России.

Необходимость аттестации четко предписывает Постановление правительства № 1144 от 24.08.2024, в котором говориться, что к заявлению о включении прилагается аттестат соответствия хостинга.

Какие бывают классы защищенности хостинга?

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Определение класса защищенности хостинга осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:

  1. Сначала нужно определить уровень значимости обрабатываемой в хостинга информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
  2. Затем нужно определить масштаб хостинга: федеральный, региональный или объектовый. При федеральном и региональном масштабе хостинга должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  3. Класс защищенности определяется следующим образом:
Уровень значимости
информации		Масштаб информационной системы
ФедеральныйРегиональныйОбъектовый 
УЗ 1К1К1К1 
УЗ 2К1К2К2 
УЗ 3К2К3К3 

Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации хостинга, который утверждается оператором хостинга.

Что включает в себя аттестация хостинга?

Аттестация хостинга включает в себя
комплексные аттестационные испытания в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

  • программа и методики аттестационных испытаний хостинга;
  • заключение по результатам аттестационных испытаний хостинга;
  • протокол аттестационных испытаний хостинга;
  • аттестат соответствия хостинга.

Примечание: аттестация хостинга — это только процедура оценки соответствия (защищенности, эффективности принимаемых мер защиты), которая не включает в себя подготовку к аттестации хостинга.

Что нужно сделать перед началом аттестации хостинга?

Порядок работ следующий:

  1. Обследование хостинга:
    • акт (отчет) об обследовании;
    • модель угроз и нарушителя безопасности информации (bdu.fstec.ru);
    • акт классификации хостинга;
    • техническое задание на создание системы защиты хостинга.
  2. Проектирование системы защиты хостинга:
    • технический проект на систему защиты хостинга, в составе:
      • ведомость эксплуатационных документов;
      • структурная схема комплекса технических средств;
      • спецификация средств защиты информации;
      • пояснительная записка.
  3. Внедрение системы защиты информации:
    • закупка, установка и настройка сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ);
    • проведение анализа уязвимостей в хостинга;
    • разработка организационно-распорядительной документации (ОРД);
    • внедрение организационных мер защиты.

Внимание: СрЗИ и СКЗИ должны быть только сертифицированные! Срок действия сертификатов соответствия можно проверить в реестре по адресу https://reestr.fstec.ru/reg3.

Требования ФСБ к СКЗИ хостинга

Согласно доработанного проекта приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (подготовлен от 02.06.2024) «Об утверждении требований о защите информации при предоставлении вычислительных мощностей для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети Интернет…» хостинг провайдер обязан использовать сертифицированные средства криптографической защиты информации (СКЗИ), класс которых определяется моделью угроз безопасности, согласованной с ФСБ.

Какие бывают меры защиты хостинга?

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 «Требования о защите информации, не составляющей государственной тайны, содержащейся в государственных информационных системах», предъявляются следующие требования к составу мер защиты:

  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
  • Управление доступом субъектов доступа к объектам доступа (УПД);
  • Ограничение программной среды (ОПС);
  • Защита машинных носителей информации (ЗНИ);
  • Регистрация событий безопасности (РСБ);
  • Антивирусная защита (АВЗ);
  • Обнаружение вторжений (СОВ);
  • Контроль (анализ) защищенности информации (АНЗ);
  • Обеспечение целостности информационной системы и информации (ОЦЛ);
  • Обеспечение доступности информации (ОДТ);
  • Защита среды виртуализации (ЗВС);
  • Защита технических средств (ЗТС);
  • Защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
  • Защита информационной системы от атак, направленных на отказ в обслуживании.

По каким требованиям проводится подготовка к аттестации и аттестация хостинга?

Подготовка к аттестации и аттестация хостинга проводится в соответствии с действующими нормативными документами:

  • Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года);
  • Меры защиты информации в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2014 года);
  • Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
  • Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Приказ ФСБ России от 24 октября 2022 г. N 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»;
  • Методика оценки угроз безопасности информации (утверждена ФСТЭК России от 05.02.2021 г.);
  • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
  • Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.).

Сколько стоит аттестация хостинга?

Стоимость аттестации хостинга зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • применяемые технологии и режимы обработки информации;
  • территориальное (географическое) расположение хостинга;
  • ранее проводилась ли подготовка и аттестация хостинга.

Кто может проводить аттестацию хостинга?

Аттестацию хостинга  может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.
Проверить наличие лицензии у лицензиата ФСТЭК можно по адресу https://reestr.fstec.ru/reg1

Кто может проводить подготовку к аттестации хостинга?

Подготовку к аттестации хостинга (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Еще нужно иметь лицензию ФСБ России на работы, связанные с средствами криптографической защиты информации (313 постановление ФСБ России), с открытыми пунктами в лицензии:

  • 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • 8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
  • 13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
  • 21. Передача шифровальных (криптографических) средств.
  • 22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Проверить наличие лицензии у лицензиата ФСБ России можно на сайте ЦЛСЗ http://clsz.fsb.ru/clsz/license.htm в реестре лицензий на деятельность, связанную с шифровальными (криптографическими) средствами.

Может ли оператор провести аттестацию хостинга самостоятельно?

Не может. В соответствии с постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, поэтому оператор не может провести аттестацию самостоятельно без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации хостинга необходимо:

  1. Отправить письмо в свободной форме с указанием названия организации и контактных данных для связи на адрес mail@centerbit.ru для уточнения исходных данных по хостинга и расчета стоимости работ.
  2. Заключить договор на подготовку и аттестацию хостинга.

Кто выдает и как выглядит аттестат соответствия хостинга?

Оформляет, утверждает, выдает аттестат соответствия хостинга владельцу хостинга лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия хостинга в ФСТЭК России для внесения сведений об аттестате соответствия хостинга в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия хостинга установлена Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия хостинга, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия хостинга?

Собственник хостинга должен поддерживать уровень защищённости хостинга на всем протяжении времени эксплуатации хостинга, и через каждые 2 года обязан подтверждать факт защищённости хостинга (периодический контроль хостинга), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля хостинга в ФСТЭК России для продления действия аттестата соответствия хостинга. В случае, если протоколы периодического контроля хостинга не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия хостинга.
Делать периодический контроль хостинга собственными силами могут не все собственники хостинга, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных хостинга, в котором отражается статус действия аттестата соответствия хостинга.

Кто является регулятором в области аттестации хостинга?

Регулятором в области аттестации хостинга является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»). Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

РАБОТАЯ С НАМИ ВЫ ПОЛУЧАЕТЕ СЛЕДУЮЩИЕ ВЫГОДЫ:

1. Мы предоставляем гибкую систему оплаты.
2. Гарантируем фиксированную стоимость всех работ без дополнительных затрат.
4. Проводим аттестацию хостинга силами собственного аттестационного центра с гарантиями по договору.
5. Получаете аттестат соответствия на хостинга от лицензиата ФСБ и ФСТЭК России.
6. Заблаговременно напоминаем Вам о необходимости продления лицензий и проведения периодического контроля хостинга.
7. Получаете скидку 30% на проведение периодического контроля хостинга.
8. Становитесь VIP клиентом и можете воспользоваться другими нашими услугами со скидкой 30%.

  • Скачать коммерческое предложение на подготовку и аттестацию ХОСТИНГА
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию ХОСТИНГА
Скачать PDF

Заказать звонок