Аттестация объектов информатизации по 77 приказу ФСТЭК России
Аттестация объектов информатизации (ОИ) — это комплекс организационных и технических мероприятий, подтверждающих соответствие защищённости объекта информатизации требованиям нормативных документов ФСТЭК России. Наличие аттестата является обязательным условием для обработки информации ограниченного доступа, включая персональные данные, служебную и коммерческую тайну, а также государственную тайну.
Аттестация объектов информатизации проводится в соответствии с Приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка аттестации объектов информатизации». Без действующего аттестата — штрафы до 500 000 ₽, приостановка деятельности и риски утечки данных.
📌 Нормативная база
- Приказ ФСТЭК России от 29.04.2021 № 77 — Порядок аттестации объектов информатизации
- Приказ ФСТЭК России от 11.02.2013 № 17 — Требования к защите информации в ГИС
- Приказ ФСТЭК России от 18.02.2013 № 21 — Меры защиты персональных данных
- Постановление Правительства РФ от 01.11.2012 № 1119 — Требования к защите ПДн
Какие объекты подлежат аттестации
- Государственные информационные системы (ГИС) — аттестация обязательна для всех классов защищённости (согласно Приказу ФСТЭК №17 от 11.02.2013).
- Информационные системы персональных данных (ИСПДн) — для 1-3 уровней защищённости. Для 4 уровня — упрощённая процедура.
- Автоматизированные системы управления технологическими процессами (АСУ ТП) — объекты критической информационной инфраструктуры (КИИ).
- Выделенные помещения — переговорные комнаты, кабинеты руководителей, где ведётся обсуждение конфиденциальной информации.
- Объекты КИИ — в соответствии с требованиями 187-ФЗ и приказами ФСТЭК №239, №235.
Этапы аттестации
| Этап | Содержание работ | Срок |
|---|---|---|
| 1. Предварительное обследование | Анализ инфраструктуры заказчика, выявление узких мест, оценка готовности к аттестации | 3-5 дней |
| 2. Разработка модели угроз и ТЗ | Модель угроз безопасности информации, техническое задание на защиту информации | 10-20 дней |
| 3. Внедрение сертифицированных СЗИ | Поставка, установка, настройка средств защиты информации | 10-30 дней |
| 4. Проведение специальных проверок | Контроль ПЭМИН, виброакустических каналов, поиск закладных устройств | 5-10 дней |
| 5. Подготовка отчётов и заключения | Формирование пакета документов для аттестационной комиссии | 5-7 дней |
| 6. Выдача аттестата соответствия | Получение аттестата установленного образца, внесение в реестр | до 30 дней |
📋 Чек-лист для старта аттестации
- ✅ Назначен ответственный за обеспечение защиты информации
- ✅ Разработана и утверждена модель угроз безопасности информации
- ✅ Внедрены сертифицированные средства защиты информации (СЗИ)
- ✅ Проведены специальные проверки (ПЭМИН, акустика, виброакустика)
- ✅ Разработана организационно-распорядительная документация (приказы, политики, инструкции)
- ✅ Сотрудники обучены и ознакомлены с требованиями защиты информации
Стоимость аттестации
Стоимость формируется индивидуально на основании объёма объекта информатизации, требуемого класса защищённости, состава внедряемых средств защиты и объёма предварительных работ. Для получения коммерческого предложения необходимо провести предпроектное обследование.
💰 Стоимость услуг
| Услуга | Стоимость | Срок |
|---|---|---|
| ГИС 3 класса | от 150 000 ₽ | 3-4 недели |
| ГИС 2 класса | от 250 000 ₽ | 4-6 недель |
| АСУ ТП (до 10 АРМ) | от 200 000 ₽ | от 4 недель |
| ИСПДн 3 уровня | от 120 000 ₽ | 2-3 недели |
| Выделенное помещение (до 30 м²) | от 90 000 ₽ | 2 недели |
* Точная стоимость определяется после предпроектного обследования
❓ Часто задаваемые вопросы
Что такое аттестация объектов информатизации?
Аттестация — это комплекс мероприятий, подтверждающих соответствие защищённости объекта требованиям ФСТЭК. Результат — аттестат соответствия, дающий право на обработку информации ограниченного доступа.
Сколько времени занимает аттестация?
Сроки зависят от сложности объекта: от 3 недель (типовой объект 4 класса) до 3 месяцев (распределённая ГИС 1 класса). Точный срок определяется после предпроектного обследования.
Обязательна ли аттестация для ИСПДн?
Для 1-3 уровней защищённости — обязательна. Для 4 уровня — уведомительный порядок, но рекомендуется проведение аттестации для снижения рисков.
Какой аттестат выдаётся и на какой срок?
Аттестат соответствия выдаётся на срок от 1 до 3 лет в зависимости от класса защищённости. По истечении срока требуется переаттестация.
Что будет, если не проводить аттестацию?
Штрафы до 500 000 ₽, приостановка деятельности, уголовная ответственность при утечке информации.
📄 Нормативные документы
Порядок организации и проведения работ по аттестации объектов информатизации
📚 Полезные материалы
Нужна консультация?
Оставьте заявку, и наш специалист свяжется с вами для уточнения деталей.
Или напишите нам: sales@rnt.ru | +7 (495) 777-75-77
АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 20+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.
