Аттестация объектов информатизации по требованиям ФСТЭК России
Аттестация объектов информатизации — это официальная процедура подтверждения соответствия системы защиты информации (СЗИ) объекта установленным требованиям по безопасности информации. Аттестация обязательна для всех объектов, где обрабатываются сведения, составляющие государственную тайну, персональные данные или иная конфиденциальная информация. Аттестат соответствия — единственный документ, дающий право на ввод объекта информатизации в эксплуатацию.
Что такое аттестация объекта информатизации?
Аттестация объекта информатизации (АС, АРМ, ИСПДн, ГИС, выделенного помещения) — это комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие объекта требованиям по защите информации. Аттестация проводится на этапе создания или модернизации объекта, а также после истечения срока действия предыдущего аттестата. Важно: Без действующего аттестата соответствия эксплуатация объекта информатизации, на котором обрабатываются защищаемые сведения, запрещена и влечет административную и уголовную ответственность.
АО «РНТ» имеет собственный Орган по аттестации, аккредитованный ФСТЭК России (аттестат аккредитации №...). Это позволяет нам проводить полный цикл аттестационных работ без привлечения сторонних организаций — от анализа документации до выдачи аттестата.
Объекты, подлежащие аттестации
АО «РНТ» проводит аттестацию следующих типов объектов информатизации:
Автоматизированные системы (АС)
Аттестация АСУ ТП, ERP-систем, корпоративных информационных систем, систем документооборота. Оценивается защищенность от НСД, вредоносного ПО, утечек по техническим каналам.
Государственные информационные системы (ГИС)
Аттестация ГИС проводится в соответствии с Приказом ФСТЭК России №117 от 18.10.2024 (действует взамен отмененных приказов №17, №27, №106). Оценивается соответствие требованиям к защите информации для ГИС различного уровня защищенности.
Информационные системы персональных данных (ИСПДн)
Аттестация ИСПДн проводится по требованиям Приказа ФСТЭК №21 (Состав и содержание мер по обеспечению безопасности ПДн). Выдается аттестат соответствия для систем 1-4 уровней защищенности.
Выделенные и защищаемые помещения
Аттестация переговорных комнат, кабинетов руководства, залов заседаний на предмет защищенности от утечки речевой информации по акустическим, виброакустическим и электромагнитным каналам.
Системы связи, отображения и размножения информации
Аттестация систем видеоконференцсвязи (ВКС), систем отображения коллективного пользования, многофункциональных устройств (МФУ), принтеров и копировальных аппаратов.
Оборудование для аттестованных рабочих мест
| Тип объекта | Рекомендуемое оборудование РНТ | Уровень аттестации |
|---|---|---|
| Автоматизированные системы (АС) |
ПЭВМ «Обруч» (ФСБ, 4 класс, десктоп) ПЭВМ «Обруч-2» (ФСТЭК, ПЭМИН, до 1 категории) |
до 1 категории / ОВ |
| Государственные информационные системы (ГИС) |
АП «Обруч Интернет» (ФСБ, десктоп) АП «Обруч-М Интернет» (ФСБ, моноблок) |
до 1 класса защищенности |
| Системы персональных данных (ИСПДн) |
ПЭВМ «Обруч» (ФСБ, 4 класс) ПЭВМ «Обруч-М2» (ФСБ, 3 класс, моноблок) |
до 1 уровня защищенности |
| Выделенные и защищаемые помещения |
Маскиратор «Маис-М1» (ФСБ) Маскиратор «Маис-М2» (ФСТЭК) |
до 2 категории |
| Системы связи и оповещения |
УЗГ-Ф (ФСБ) УЗГ (ФСТЭК) |
по требованиям ФСБ/ФСТЭК |
Этапы проведения аттестации
Этап 1: Анализ исходных данных
Специалисты изучают проектную и эксплуатационную документацию на объект информатизации, перечень защищаемых сведений, модель угроз. Проводится предварительный анализ достаточности принятых мер защиты.
Этап 2: Разработка программы и методики аттестационных испытаний
На основе анализа разрабатывается Программа и методика аттестационных испытаний (ПМИ). Документ согласовывается с заказчиком и при необходимости — с регулятором (ФСТЭК/ФСБ).
Этап 3: Проведение аттестационных испытаний
Специалисты проводят инструментальный контроль уровня защищенности: проверку СЗИ на соответствие заявленным характеристикам, тестирование на отсутствие НДВ, контроль эффективности защиты от ПЭМИН, акустических и виброакустических каналов. Используется высокоточное контрольно-измерительное оборудование, прошедшее метрологическую поверку.
Этап 4: Оформление результатов и выдача аттестата
По результатам испытаний оформляются протоколы, заключение и Аттестат соответствия (при положительных результатах). Аттестат регистрируется в реестре ФСТЭК России и действует до 5 лет (для ГТ) или бессрочно с периодическим контролем раз в 2 года (для КИ).
Нормативная база аттестации
Работы по аттестации выполняются в строгом соответствии со следующими документами:
- Приказ ФСТЭК России №77 от 29.04.2021 — «Об утверждении Порядка организации и обеспечения функционирования системы аттестации объектов информатизации по требованиям безопасности информации» (основной документ).
- Приказ ФСТЭК России №117 от 18.10.2024 — «Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений» (взамен отмененных приказов №17, №27, №106).
- Приказ ФСТЭК России №21 — «Состав и содержание мер по обеспечению безопасности персональных данных».
- ГОСТ РО 0043-003-2012 — «Защита информации. Аттестация объектов информатизации. Общие положения».
- СТР-К — Специальные требования и рекомендации по технической защите конфиденциальной информации.
ℹ️ Важно: С 1 марта 2025 года признаны утратившими силу приказы ФСТЭК России №17 от 11.02.2013, №27 от 15.02.2017, №106 от 28.05.2019, №61 от 27.04.2020. В настоящее время действует Приказ №117 от 18.10.2024. Актуализируйте нормативную базу!
Преимущества аттестации в АО «РНТ»
- Орган по аттестации с 1997 года — более 1000 успешно аттестованных объектов.
- Собственная продукция — аттестация проводится на оборудовании нашего производства (ПЭВМ «Обруч», «Обруч-М2», «Обруч-2», маскираторы «Маис», УЗГ, УБМ-1). Это гарантирует совместимость и предсказуемость результатов.
- Полный цикл работ — от анализа документации до выдачи аттестата, без привлечения субподрядчиков.
- Оптимальные сроки — аттестация стандартного АРМ занимает от 14 рабочих дней.
- Пост-аттестационное сопровождение — помощь в прохождении периодического контроля.
Часто задаваемые вопросы об аттестации
Вопрос: Сколько времени действует аттестат соответствия?
Ответ: Согласно Приказу ФСТЭК №77, для объектов, предназначенных для обработки сведений, составляющих государственную тайну (ГТ), срок действия аттестата — до 5 лет. Для иных объектов (ГИС, ИСПДн, помещения, АСУ ТП, КИИ) аттестат выдается бессрочно, но требует периодического контроля раз в 2 года.
Вопрос: Какие документы нужны для начала аттестации?
Ответ: Перечень базовых документов: технический паспорт на объект, перечень защищаемых сведений, модель угроз, акт разграничения доступа, техническая документация на СЗИ. Наши специалисты помогут подготовить недостающие документы.
Вопрос: Сколько стоит аттестация объекта?
Ответ: Стоимость зависит от типа объекта, его сложности, количества АРМ и требуемого класса защищенности. Точный расчет можно получить после бесплатного предварительного обследования.
Вопрос: Что будет, если эксплуатировать объект без аттестата?
Ответ: Эксплуатация объекта информатизации без действующего аттестата соответствия является административным правонарушением (ст. 13.12 КоАП РФ) с штрафом до 500 000 рублей на юридическое лицо. При обработке гостайны возможна уголовная ответственность.
Вопрос: Как часто нужно проводить периодический контроль?
Ответ: Согласно Приказу №77 (п.30-31), владелец объекта должен проводить периодический контроль уровня защиты информации не реже одного раза в два года. Протоколы контроля предоставляются в ФСТЭК России.
Нужно аттестовать объект?
Проведем полный цикл аттестационных работ — от анализа документации до выдачи аттестата ФСТЭК
Заказать аттестацию