Когда нужна аттестация

21/10/25

Б-152

Когда нужна аттестация

Прежде чем проходить аттестацию и начать изучать требования для нее, необходимо понять, что такое аттестация и кому она необходима.

Аттестация — это комплекс мероприятий по оценке и проверке соответствия информационной системы или объекта защиты установленным требованиям регуляторов и законодательства. 

По итогам прохождения аттестации выдается аттестат соответствия, который подтверждает, что система защищена должным образом и все необходимые организационные и технические меры обеспечения безопасности соблюдены.

Требования по прохождению аттестации и порядку ее проведения изложены в приказе ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Есть несколько ключевых случаев, когда прохождение аттестации необходимо согласно приказу ФСТЭК № 77.

При работе с государственными органами или если информационная система является ГИС, необходимо пройти аттестацию на соответствие требованиям обеспечения информационной безопасности. Причин на прохождение такой аттестации может быть несколько.

Для подключения к государственным системам, например ЕГИСЗ, также необходимо предъявить аттестат соответствия требованиям, поскольку такие системы зачастую хранят в себе чувствительные данные, утечка которых недопустима. 

К тому же аттестат минимизирует риски для госорганов, являясь наглядным подтверждением хорошей системы защиты. Аттестация для ГИС проводится в соответствии с приказом ФСТЭК России № 17 от 11 февраля 2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», однако, с марта 2026 года вместо приказа № 17 вступит в силу Приказ ФСТЭК России № 117 от 11 апреля 2025 года «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».

Информационные системы персональных данных (за исключением государственных, муниципальных информационных систем персональных данных), могут проходить аттестацию на добровольной основе.

Есть достаточно много требований законодательства, которые необходимо соблюдать для информационных систем персональных данных. Основные из них регулируются следующими законодательными актами:

Особое внимание стоит уделить системам персональных данных, в которых установлен УЗ-2 или УЗ-1, а также тем системам, которые обрабатывают специальную категорию персональных данных (таких как сведения о здоровье). 

Для систем персональных данных есть формат оценки эффективности, которая обязательна для ИСПДн согласно Постановлению Правительства Р Ф от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

С КИИ всегда непросто. Для объектов КИИ аттестация также не является обязательной и может проходить в формате аттестации или приемочных испытаний. Узнать, относится ли ваша система к объекту КИИ можно через официальный реестр вида деятельности по ОКВЭД.

Если ваша система все же входит в КИИ, перед аттестацией необходимо пройти категорирование. Категорирование — обязательная процедура для организаций, которые эксплуатируют информационные системы, процессы и технологии в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской деятельности и других критически важных областях. 

Без правильного категорирования и внесения объекта в реестр КИИ официально начинать прохождение аттестации нельзя. Подробнее с процедурой категорирования и мерами обеспечения безопасности для КИИ можно ознакомиться в:

Помимо перечисленных выше систем, аттестацию могут проходить:

Для них аттестация проводится для оценки и подтверждения соответствия системы защиты информации требованиям безопасности. В целях аттестации возможно будет выявить слабые места систем и обеспечить защиту от утечек и несанкционированного доступа, что будет весьма критично для таких объектов. К тому же аттестация является обязательной для объектов, составляющих государственную тайну и ведения секретных переговоров.

В некоторых случаях аттестацию на соответствие требованиям безопасности информации хотят пройти для того, чтобы повысить доверие клиентов и партнеров к компании. 

Помимо того, что данный документ прямо отражает, что система соответствует всем необходимым требованиям по защите информации, это хороший способ проверить ваши системы на соответствие требованиям законодательства, а также надежность вашей системы защиты. 

Однако, просто так аттестацию проводить все же не рекомендуется, так как данное мероприятие весьма ресурсозатратно и требует максимального внимания и включения в процесс.

Аттестация проводится на этапе создания или развития (модернизации) объекта информатизации. Можно провести и аттестацию в процессе эксплуатации объекта информатизации в случаях, когда было принято решение об обработке защищаемой информации уже после ввода объекта в эксплуатацию.

После того, как принято решение о проведении аттестации соответствия, необходимо начать подготовку к самому мероприятию. В этапы подготовки к аттестации входит:

Прежде чем начать выстраивать систему защиты, необходимо понять, что защищать.

На данном этапе важно определить: не относится ли система к ГИС или КИИ, какой уровень УЗ в случае обработки персональных данных, какой объем работ предстоит и оценить количество компонентов информационной системы, а также что в нее включено. На основе именно этого этапа в дальнейшем выстраивается как система защиты, так и организационная документация.

Этап, на котором необходимо будет навести порядок в документации, утверждающей правила информационной безопасности в вашей компании. В ЛНА должны быть описаны все необходимые правила работы с информационными системами для соблюдения безопасности.

Важно, что данные документы не просто внутренний распорядок, они должны соответствовать требованиям законодательства и закрывать те самые организационные меры. Это означает что ваши системы должны быть защищены как технически, так и организационно.

Стоит помнить, что невозможно обойтись только документами по ИБ, как и система защиты не должна существовать без установленных документально правил в компании — технический уровень всегда дополняется организационным и это правило работает в обе стороны.

Если ранее Модель угроз не была разработана, данный пункт должен быть обязательно включен в чек-лист по подготовке к аттестации. Сама по себе Модель угроз представляет собой некую «дорожную карту», где наглядно показано какие типы злоумышленников актуальны для ваших систем, какие риски могут быть в случае инцидентов информационной безопасности и какие угрозы могут быть актуальны для ваших систем. На основе данного документа строится техническое задание и технический проект на создание системы защиты.

На данном этапе оцениваются все риски, описываются используемые компоненты информационной системы и их программное обеспечение. Именно на данном этапе
происходит подбор необходимых средств защиты, их закупка и внедрение.

На данном этапе описываются все установленные средства защиты, операционные системы, программное обеспечение. Составляется план прохождения аттестации, которому необходимо будет придерживаться. К данному этапу система защиты уже должна быть введена в эксплуатацию и настроена согласно требованиям законодательства и необходимым мерам защиты информации.

Аттестацию всегда проводит сторонняя компания, имеющая лицензию ФСТЭК на проведение подобных работ. Эксперты органа по аттестации проводят анализ документов и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите. Срок проведения работ по аттестации устанавливается владельцем объекта, но как правило не должен превышать четырех месяцев.

Все аттестационные испытания проводятся согласно требованиям приказа ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

В ходе проведения работ по аттестации проводятся сканирование системы на наличие уязвимостей и испытания по осуществлению попыток несанкционированного доступа в системы, контроль всех необходимых настроек средств защиты информации.

По окончанию аттестационных испытаний и проверки документации орган по аттестации оформляет протокол и заключение. В случае выявления недостатков, которые возможно устранить в краткие сроки, необходимо провести мероприятие по их устранению, после чего орган по аттестации еще раз проверяет объект информатизации.

Если выявлены недостатки, устранение которых может растянуться на неопределенный срок или устранить которые не представляется возможным, орган по аттестации выдает отрицательное заключение с указанием недостатков. В таких случаях аттестат не выдается. В случае положительного решения, вы получаете аттестат соответствия.

Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаний включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

Повторная аттестация проводится при модернизации объекта информатизации, если она приводит к:

Аттестация соответствия уже давно перестала быть узкоспециализированной процедурой. Она становится необходимым элементом легальной и устойчивой деятельности для широкого круга организаций.

Хоть аттестация и требует необходимой подготовки и ресурсов, ее не стоит бояться, ведь если сделать все грамотно и правильно, в конечном счете аттестат соответствия может помочь привлечь новых клиентов и партнеров, а также модернизировать вашу систему защиты.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме