🔥 Что такое аттестация объектов информатизации?

Аттестация — это официальная проверка, подтверждающая, что ваша система (ГИС, ИСПДн, АСУ ТП и т.п.) соответствует требованиям по защите информации, установленным государством. Результат — «Аттестат соответствия», который выдаётся на весь срок эксплуатации системы.

❗ Это не сертификация!

Сертификация для отдельных средств защиты (антивирусов, СКЗИ).

Аттестация для целой системы в целом.

Какие документы регулируют аттестацию?

Основной документ с 1 сентября 2021 года — Приказ ФСТЭК № 77. Он заменил старые правила и теперь главный. А требования, на соответствие которым проводится аттестация, зависят от типа системы:
- Для государственных информационных систем (ГИС) — Приказ № 17
- Для систем персональных данных (ИСПДн) — Приказ № 21

Что считается объектом информатизации (ОИ)?
Это всё, что участвует в обработке информации:
- Информационные ресурсы (базы данных, файлы)
- Техника и ПО
- Средства защиты
- Помещения (если речь о защищённых переговорах)

Примеры: портал госуслуг, система учёта сотрудников, АСУ станка с ЧПУ, комната для совещаний.

Когда аттестация обязательна?

Обязательно аттестовать, если у вас:
- Государственная или муниципальная ИС (включая ИСПДн)
- Система управления производством в ОПК (оборонка)
- Помещение для конфиденциальных переговоров
- Значимый объект КИИ (по решению владельца)

Во всех остальных случаях — добровольно (например, частная компания сама решила проверить свою систему).

Кто участвует в аттестации?
1. Владелец ОИ тот, кому принадлежит система (госорган, организация). Он готовит документы, устраняет недостатки, отвечает за безопасность после аттестации.
2. Орган по аттестации лицензированная организация или внутреннее подразделение госоргана. Проводит испытания и выдаёт аттестат.
3. ФСТЭК России контролирует всё: утверждает требования, ведёт реестр, может приостановить аттестат.

⚠️ Орган по аттестации должен иметь лицензию ФСТЭК с видом деятельности «г» аттестационные испытания.

Как проходит аттестация? (по Приказу № 77)

Этап 1. Подготовка Владелец подаёт в орган аттестации пакет документов:
- Технический паспорт ОИ
- Акт классификации (для ГИС) или категорирования (для КИИ)
- Модель угроз (Определяет, какие данные и процессы в системе нужно защищать. Выявляет возможные сценарии атак. Оценивает потенциальный ущерб от реализации угроз. Служит основой для выбора средств защиты информации (СЗИ) и организационных мер. Без качественной модели орган аттестации может отклонить документы, так как она доказывает, что вы понимаете риски и готовы их минимизировать.)
- Проектную и эксплуатационную документацию
- Организационно-распорядительные документы (план защиты, регламенты и т.д.)

Этап 2. Разработка программы и методик Орган аттестации составляет программу испытаний и согласовывает её с владельцем.

Этап 3. Проведение испытаний Создаётся аттестационная комиссия (руководитель + ≥2 эксперта). Эксперты не должны участвовать в создании системы!
Проводятся:
- Анализ документов
- Обследование на месте
- Тестирование защиты от несанкционированного доступа (НСД)
- Проверка защиты от утечки по техническим каналам (для помещений)
- Оценка знаний персонала

Этап 4. Оформление результатов Если всё в порядке выдаётся Аттестат соответствия.

Если есть недостатки их устраняют и повторяют проверку.

Этап 5. Регистрация Орган аттестации направляет копии документов во ФСТЭК, и система вносится в единый реестр.

Что такое технический паспорт ОИ?

Это главный документ системы, в котором:
- Описан состав техники и ПО
- Указан класс/уровень защищённости
- Зафиксированы все изменения
- Отражены результаты контроля безопасности

📌 Владелец обязан раз в 2 года проводить контроль защиты и направлять протоколы во ФСТЭК.

Что нельзя делать после аттестации?