Аттестация объектов информатизации по требованиям ФСТЭК России
Официальная процедура подтверждения соответствия системы защиты информации (СЗИ) объекта установленным требованиям. Аттестат соответствия — единственный документ, дающий право на ввод объекта в эксплуатацию.
Аттестация объекта информатизации (АС, АРМ, ИСПДн, ГИС, выделенного помещения) — это комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие объекта требованиям по защите информации.
Аттестация проводится на этапе создания или модернизации объекта, а также после истечения срока действия предыдущего аттестата. Без действующего аттестата эксплуатация объекта информатизации, на котором обрабатываются защищаемые сведения, запрещена и влечет административную и уголовную ответственность.
АО «РНТ» имеет собственный Орган по аттестации, аккредитованный ФСТЭК России. Это позволяет нам проводить полный цикл аттестационных работ без привлечения сторонних организаций — от анализа документации до выдачи аттестата.
Объекты, подлежащие аттестации
Автоматизированные системы (АС)
Аттестация АСУ ТП, ERP-систем, корпоративных информационных систем, систем документооборота. Оценивается защищенность от НСД, вредоносного ПО, утечек по техническим каналам.
Государственные информационные системы (ГИС)
Аттестация ГИС проводится в соответствии с Приказом ФСТЭК России №117 от 18.10.2024. Оценивается соответствие требованиям к защите информации для ГИС различного уровня защищенности.
Информационные системы персональных данных (ИСПДн)
Аттестация ИСПДн проводится по требованиям Приказа ФСТЭК №21. Выдается аттестат соответствия для систем 1-4 уровней защищенности.
Выделенные и защищаемые помещения
Аттестация переговорных комнат, кабинетов руководства, залов заседаний на предмет защищенности от утечки речевой информации по акустическим, виброакустическим и электромагнитным каналам.
Системы связи, отображения и размножения информации
Аттестация систем видеоконференцсвязи (ВКС), систем отображения коллективного пользования, многофункциональных устройств (МФУ), принтеров и копировальных аппаратов.
Оборудование для аттестованных рабочих мест
Собственная сертифицированная продукция АО «РНТ» для успешного прохождения аттестации
| Тип объекта | Рекомендуемое оборудование РНТ | Уровень аттестации |
|---|---|---|
| Автоматизированные системы (АС) |
ПЭВМ «Обруч» (ФСБ, 4 класс, десктоп) ПЭВМ «Обруч-2» (ФСТЭК, ПЭМИН, до 2 категории) |
до 2 категории / ОВ |
| Государственные информационные системы (ГИС) |
АП «Обруч Интернет» (ФСБ, десктоп) АП «Обруч-М Интернет» (ФСБ, моноблок) |
до 1 класса защищенности |
| Системы персональных данных (ИСПДн) |
ПЭВМ «Обруч» (ФСБ, 4 класс) ПЭВМ «Обруч-М2» (ФСБ, 3 класс, моноблок) |
до 1 уровня защищенности |
| Выделенные и защищаемые помещения |
Маскиратор «Маис-М1» (ФСБ) Маскиратор «Маис-М2» (ФСТЭК) |
до 2 категории |
| Системы связи и оповещения |
УЗГ-Ф (ФСБ) УЗГ (ФСТЭК) |
по требованиям ФСБ/ФСТЭК |
Этапы проведения аттестации
Анализ исходных данных
Изучение проектной и эксплуатационной документации на объект, перечня защищаемых сведений, модели угроз. Предварительный анализ достаточности принятых мер защиты.
Разработка программы и методики аттестационных испытаний (ПМИ)
Разработка ПМИ на основе анализа. Согласование документа с заказчиком и при необходимости — с регулятором (ФСТЭК/ФСБ).
Проведение аттестационных испытаний
Инструментальный контроль уровня защищенности: проверка СЗИ на соответствие характеристикам, тестирование на отсутствие НДВ, контроль защиты от ПЭМИН, акустических и виброакустических каналов.
Оформление результатов и выдача аттестата
Оформление протоколов, заключения и Аттестата соответствия. Регистрация в реестре ФСТЭК России. Срок действия — 5 лет (для ГТ) или бессрочно с периодическим контролем.
Нормативная база аттестации
Приказ ФСТЭК России №77 от 29.04.2021
«Об утверждении Порядка организации и обеспечения функционирования системы аттестации объектов информатизации по требованиям безопасности информации» (основной документ).
Приказ ФСТЭК России №117 от 18.10.2024
«Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов» (взамен отмененных приказов №17, №27, №106).
Приказ ФСТЭК России №21
«Состав и содержание мер по обеспечению безопасности персональных данных».
ГОСТ РО 0043-003-2012 / СТР-К
«Защита информации. Аттестация объектов информатизации. Общие положения» / Специальные требования и рекомендации по ТЗКИ.
⚠️ Важно: С 1 марта 2025 года признаны утратившими силу приказы ФСТЭК России №17 от 11.02.2013, №27 от 15.02.2017, №106 от 28.05.2019, №61 от 27.04.2020. В настоящее время действует Приказ №117 от 18.10.2024. Актуализируйте нормативную базу!
Преимущества аттестации в АО «РНТ»
Орган по аттестации с 1997 года
Более 1000 успешно аттестованных объектов. Лицензии ФСТЭК, ФСБ, Минобороны.
Собственная продукция
Аттестация на оборудовании РНТ (ПЭВМ «Обруч», маскираторы «Маис», УЗГ) — гарантия совместимости и предсказуемости результатов.
Полный цикл работ
От анализа документации до выдачи аттестата, без привлечения субподрядчиков.
Пост-аттестационное сопровождение
Помощь в прохождении периодического контроля и продлении аттестатов.
Часто задаваемые вопросы об аттестации
Сколько времени действует аттестат соответствия?
Согласно Приказу ФСТЭК №77, для объектов, предназначенных для обработки сведений, составляющих государственную тайну (ГТ), срок действия аттестата — 5 лет. Для иных объектов (ГИС, ИСПДн, помещения, АСУ ТП) аттестат выдается бессрочно, но требует периодического контроля: для объектов КИИ — раз в 2 года, для объектов, не относящихся к КИИ, — раз в 2,5 года.
Какие документы нужны для начала аттестации?
Перечень базовых документов: технический паспорт на объект, перечень защищаемых сведений, модель угроз, акт разграничения доступа, техническая документация на СЗИ. Наши специалисты помогут подготовить недостающие документы.
Сколько стоит аттестация объекта?
Стоимость зависит от типа объекта, его сложности, количества АРМ и требуемого класса защищенности. Точный расчет можно получить после бесплатного предварительного обследования.
Что будет, если эксплуатировать объект без аттестата?
Эксплуатация объекта информатизации без действующего аттестата соответствия является административным правонарушением (ст. 13.12 КоАП РФ) с штрафом до 500 000 рублей на юридическое лицо. При обработке гостайны возможна уголовная ответственность.
Как часто нужно проводить периодический контроль?
Согласно Приказу №77 (п.30-31), владелец объекта должен проводить периодический контроль уровня защиты информации не реже одного раза в два года. Протоколы контроля предоставляются в ФСТЭК России.
Поможем подобрать решение
Расскажите о своей задаче — мы подготовим предложение под ваш бюджет и уровень защиты.
📞 Или звоните: +7 (495) 777-75-77 | sales@rnt.ru
