Аттестация ИСОП

АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГО ПОЛЬЗОВАНИЯ ПО ТРЕБОВАНИЯМ БЕЗОПИСОПНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация ИСОП?

Аттестация ИСОП в обязательном порядке требуется органам государственной власти на основании приказа ФСТЭК № 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования».

Что включает в себя аттестация ИСОП?

Аттестация ИСОП включает в себя
комплексные аттестационные испытания ИСОП в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

  • программа и методики аттестационных испытаний ИСОП;
  • заключение по результатам аттестационных испытаний ИСОП;
  • протокол аттестационных испытаний ИСОП;
  • аттестат соответствия ИСОП.

Примечание: аттестация ИСОП — это только процедура оценки соответствия (защищенности), которая не включает в себя подготовку к аттестации ИСОП.

Что нужно сделать перед началом аттестации ИСОП?

Перед началом аттестации необходимо подготовить ИСОП к аттестации, тоесть в ИСОП необходимо обеспечить защиту информации по определенному классу защищенности.
Приказ ФСТЭК № 489 устанавливает всего 2 (два) класса защищенности информационных систем общего пользования.

К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

К II классу относятся информационные системы общего пользования, не указанные в I классе.

По каким требованиям проводится подготовка к аттестации и аттестация ИСОП?

Подготовка к аттестации и аттестация ИСОП проводится в соответствии с действующими нормативными документами:

  • «Приказ ФСТЭК № 489;
  • «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77).

В каком объеме проводится подготовка к аттестации ИСОП?

В зависимости от готовности ИСОП подготовка осуществляется ориентировочно в следующем объеме:

  • определяется класс защищенности ИСОП, утверждается документ «Акт классификации ИСОП»;
  • определяются условия расположения объекта информатизации относительно границ контролируемой зоны (КЗ), утверждается документ «Приказ об определении границы КЗ»;
  • определяются конфигурация и топология ИСОП и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения, утверждается документ «Технический паспорт ИСОП»;
  • определяются технические средства и системы, предполагаемые к использованию в ИСОП и системах связи, условия их расположения, общесистемные и прикладные программные средства, утверждается документ «Технический паспорт ИСОП»;
  • определяются режимы обработки информации в ИСОП в целом и в отдельных компонентах, утверждается документ «Описание технологического процесса обработки информации»;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • проверяется наличие и образование работников, ответственных за защиту информации в ИСОП, и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации, утверждается документ «Приказ о назначении администратора безопасности ИСОП»;
  • разрабатывается техническое задание и технический проект на создание системы защиты информации (СЗИ) ИСОП, включая перечня организационно-распорядительных документов и спецификации на закупку сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ), утверждаются документы «Техническое задание на создание СЗИ ИСОП», «Технический проект на создание СЗИ ИСОП»;
  • закупаются, устанавливаются и настраиваются СрЗИ и СКЗИ в ИСОП в соответствии с разработанными параметрами настройки, утверждается документ «Акт установки и настройки СрЗИ и СКЗИ»;
  • проводятся предварительные испытания подсистемы безопасности, утверждается документ «Акт предварительных испытаний подсистемы безопасности»;
  • проводится анализ уязвимостей и принимаются меры по их устранению, утверждается документ «Акт наличия уязвимостей и принятые меры по их устранения»;
  • на стадии ввода в действие СЗИ ИСОП осуществляются:
    • опытная эксплуатация СрЗИ и СКЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации, утверждается документ «Акт опытной эксплуатации подсистемы безопасности»;
    • приемо-сдаточные испытания СрЗИ и СКЗИ по результатам опытной эксплуатации, утверждается документ «Акт приемочных испытаний подсистемы безопасности».

Сколько стоит аттестация ИСОП?

Стоимость аттестации ИСОП зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • применяемые технологии и режимы обработки конфиденциальной информации;
  • территориальное (географическое) расположение ИСОП;
  • ранее проводилась ли подготовка и аттестация ИСОП.

Кто может проводить аттестацию ИСОП?

Аттестацию ИСОП может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • — г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Органу по аттестации (лицензиат ФСТЭК России) достаточно иметь только лицензию ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ) с соответствующими открытыми пунктами в лицензии.

Кто может проводить подготовку к аттестации ИСОП?

Подготовку к аттестации ИСОП (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
    • д2 — помещений со средствами (системами) информатизации, подлежащими защите;
    • д3 — защищаемых помещений;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия ИСОП?

Оформляет, утверждает, выдает аттестат соответствия ИСОП собственнику ИСОП лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия ИСОП в ФСТЭК России для внесения сведений об аттестате соответствия ИСОП в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ИСОП установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ИСОП, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ИСОП?

Собственник ИСОП должен поддерживать уровень защищённости конфиденциальной информации в ИСОП на всем протяжении времени эксплуатации ИСОП, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в ИСОП (периодический контроль ИСОП), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля ИСОП в ФСТЭК России для продления действия аттестата соответствия ИСОП. В случае, если протоколы периодического контроля ИСОП не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ИСОП.
Делать периодический контроль ИСОП собственными силами могут не все собственники ИСОП, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных ИСОП, в котором отражается статус действия аттестата соответствия ИСОП.

Кто является регулятором в области аттестации ИСОП?

Регулятором в области аттестации ИСОП является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к ИСОП размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»), или по ссылке: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-31-avgusta-2010-g-n-489

  • Скачать коммерческое предложение на подготовку и аттестацию информационной системы общего пользования
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию информационной системы общего пользования
Скачать PDF

Заказать звонок