Аттестация ОКИИ

оценка соответствия ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ проводится в форме:

  1. аттестации на соответствие требованиям приказа фстэк №17 от 11 февраля 2013 года и приказа №77 от 29.04.2021 с оформлением Аттестата соответствия требованиям по защите информации.
  2. оценка защищенности с оформлением акта приемки окии в эксплуатацию.

Как проводится подготовка к аттестации?

Подготовка к аттестации ОКИИ проводится в соответствии с приказом ФСТЭК № 239 в следующем порядке:

  • установление требований к обеспечению безопасности ОКИИ;
  • разработка организационных и технических мер по обеспечению безопасности ОКИИ;
  • внедрение организационных и технических мер по обеспечению безопасности ОКИИ и ввод его в действие.

На этапе установления требований к обеспечению безопасности ОКИИ необходимо:

  • разработать техническое задание на создание системы обеспечения безопасности информации.

На этапе разработки организационных и технических мер по обеспечению безопасности информации ОКИИ необходимо:

  • разработать модель угроз и нарушителя безопасности информации;
  • разработать технический проект на создание системы обеспечения безопасности информации;
  • разработать организационно-распорядительную и рабочую (эксплуатационную) документацию.

На этапе внедрения организационных и технических мер по обеспечению безопасности ОКИИ и ввода его в действие необходимо:

  • закупить, установить и настроить сертифицированные средства защиты информации, средства криптографической защиты информации;
  • внедрить организационные меры по обеспечению безопасности;
  • провести предварительные испытания подсистемы безопасности;
  • провести опытную эксплуатацию подсистемы безопасности;
  • провести анализ уязвимостей и принять меры по их устранению;
  • провести приемочные испытания подсистемы безопасности.

Сколько стоит аттестация?

Стоимость аттестации зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, типы аппаратных платформ и др.;
  • применяемые технологии обработки информации;
  • территориальная распределенность системы (географическая).

Только проведя оценку по каждому критерию, можно определить стоимость аттестации ОКИИ.

Кто может проводить аттестацию ОКИИ?

Аттестацию ОКИИ может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Кто может проводить подготовку к аттестации ОКИИ?

Подготовку к аттестации ОКИИ (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
    • д2 — помещений со средствами (системами) информатизации, подлежащими защите;
    • д3 — защищаемых помещений;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия ОКИИ?

Оформляет, утверждает, выдает аттестат соответствия ОКИИ собственнику ОКИИ лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия ОКИИ в ФСТЭК России для внесения сведений об аттестате соответствия ОКИИ в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ОКИИ установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ОКИИ, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ОКИИ?

Собственник ОКИИ должен поддерживать уровень защищённости конфиденциальной информации в ОКИИ на всем протяжении времени эксплуатации ОКИИ, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в ОКИИ (периодический контроль ОКИИ), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля ОКИИ в ФСТЭК России для продления действия аттестата соответствия ОКИИ. В случае, если протоколы периодического контроля ОКИИ не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ОКИИ.
Делать периодический контроль ОКИИ собственными силами могут не все собственники ОКИИ, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных ОКИИ, в котором отражается статус действия аттестата соответствия ОКИИ.

Кто является регулятором в области аттестации ОКИИ?

Регулятором в области аттестации ОКИИ является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).
Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

  • Скачать коммерческое предложение на подготовку и аттестацию ОКИИ
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию ОКИИ
Скачать PDF

Заказать звонок