Аттестация объектов информатизации по 77 приказу ФСТЭК России
Аттестация объектов информатизации (ОИ) — это комплекс организационных и технических мероприятий, подтверждающих соответствие защищённости объекта информатизации требованиям нормативных документов ФСТЭК России. Наличие аттестата является обязательным условием для обработки информации ограниченного доступа, включая персональные данные, служебную и коммерческую тайну, а также государственную тайну.
Аттестация объектов информатизации проводится в соответствии с Приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка аттестации объектов информатизации». Без действующего аттестата — штрафы до 500 000 ₽, приостановка деятельности и риски утечки данных.
📄 Нормативные документы по аттестации объектов информатизации
Порядок организации и проведения работ по аттестации объектов информатизации. Основной документ.
Требования к защите информации в ГИС (при аттестации ГИС).
Меры защиты персональных данных (при аттестации ИСПДн).
Утверждена 05.02.2021. Для разработки модели угроз.
Какие объекты подлежат аттестации
- Государственные информационные системы (ГИС) — аттестация обязательна для всех классов защищённости (согласно Приказу ФСТЭК №17 от 11.02.2013).
- Информационные системы персональных данных (ИСПДн) — для 1-3 уровней защищённости. Для 4 уровня — упрощённая процедура.
- Автоматизированные системы управления технологическими процессами (АСУ ТП) — объекты критической информационной инфраструктуры (КИИ).
- Выделенные помещения — переговорные комнаты, кабинеты руководителей, где ведётся обсуждение конфиденциальной информации.
- Объекты КИИ — в соответствии с требованиями 187-ФЗ и приказами ФСТЭК №239, №235.
Этапы аттестации
| Этап | Содержание работ | Срок |
|---|---|---|
| 1. Предварительное обследование | Анализ инфраструктуры заказчика, выявление узких мест, оценка готовности к аттестации | 3-5 дней |
| 2. Разработка модели угроз и ТЗ | Модель угроз безопасности информации, техническое задание на защиту информации | 10-20 дней |
| 3. Внедрение сертифицированных СЗИ | Поставка, установка, настройка средств защиты информации | 10-30 дней |
| 4. Проведение специальных проверок | Контроль виброакустических каналов, поиск закладных устройств | 5-10 дней |
| 5. Проведение специальных исследований | 10 дней | |
| 6. Подготовка отчётов и заключения | Формирование пакета документов для аттестационной комиссии | 5-7 дней |
| 7. Выдача аттестата соответствия | Получение аттестата установленного образца, внесение в реестр | до 30 дней |
📋 Чек-лист для старта аттестации
- ✅ Назначен ответственный за обеспечение защиты информации
- ✅ Разработана и утверждена модель угроз безопасности информации
- ✅ Внедрены сертифицированные средства защиты информации (СЗИ)
- ✅ Проведены специальные проверки
- ✅ Проведены специальные исследования (акустика, виброакустика)
- ✅ Разработана организационно-распорядительная документация (приказы, политики, инструкции)
- ✅ Сотрудники обучены и ознакомлены с требованиями защиты информации
Стоимость аттестации
Стоимость формируется индивидуально на основании объёма объекта информатизации, требуемого класса защищённости, состава внедряемых средств защиты и объёма предварительных работ. Для получения коммерческого предложения необходимо провести предпроектное обследование.
💰 Стоимость услуг
| Услуга | Стоимость | Срок |
|---|---|---|
| ГИС 3 класса | индивидуально | |
| ГИС 2 класса | индивидуально | |
| АСУ ТП (до 10 АРМ) | индивидуально | |
| ИСПДн 3 уровня | индивидуально | |
| Выделенное помещение (до 30 м²) | индивидуально |
* Точная стоимость определяется после предпроектного обследования
❓ Часто задаваемые вопросы
Что такое аттестация объектов информатизации?
Аттестация — это комплекс мероприятий, подтверждающих соответствие защищённости объекта требованиям ФСТЭК. Результат — аттестат соответствия, дающий право на обработку информации ограниченного доступа.
Сколько времени занимает аттестация?
Сроки зависят от сложности объекта: от 3 недель (типовой объект 4 класса) до 3 месяцев (распределённая ГИС 1 класса). Точный срок определяется после предпроектного обследования.
Обязательна ли аттестация для ИСПДн?
Для 1-3 уровней защищённости — обязательна. Для 4 уровня — уведомительный порядок, но рекомендуется проведение аттестации для снижения рисков.
Какой аттестат выдаётся и на какой срок?
Аттестат соответствия выдаётся на срок от 1 до 3 лет в зависимости от класса защищённости. По истечении срока требуется переаттестация.
Что будет, если не проводить аттестацию?
Штрафы до 500 000 ₽, приостановка деятельности, уголовная ответственность при утечке информации.
📚 Полезные материалы
Поможем подобрать решение
Расскажите о своей задаче — мы подготовим предложение под ваш бюджет и уровень защиты.
📞 Или звоните: +7 (495) 777-75-77 | sales@rnt.ru
АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 30+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.
