Согласно нормам Российской Федерации, организации, работающие с персональными данными, должны гарантировать их надежную защиту и безопасность. Рассказываем, когда и зачем проводить аттестацию на соответствие требованиям ИБ, как подготовиться к проведению оценки соответствия.
Что такое аттестация?
Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Какая бывает аттестация?
Когда мы говорим об аттестации, невозможно обойти стороной еще одно определение – оценка соответствия.
Согласно ФЗ-184 «О техническом регулировании» оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту. Аттестация, в свою очередь, является одной из форм проведения оценки соответствия.
Давайте разберемся, в какой форме может проводиться оценка соответствия системы защиты информации требованиям по защите информации:
- Оценка эффективности реализованных мер в рамках системы защиты ПДн.
Данное понятие встречается в приказе ФСТЭК №21 от 18.02.2013 г. и подразумевает проведение оценки соответствия в свободной форме либо самостоятельно, либо с привлечением компании-лицензиата. Как правило, подтверждающими документами являются протокол проведения испытаний системы защиты и акт соответствия требованиям по защите информации. В случае, если к ИСПДн будут предъявляться требования 17 приказа ФСТЭК, то потребуется аттестация.
- Подтверждение соответствия системы защиты информации требованиям по защите информации в форме приемочных испытаний.
Данный формат оценки соответствия применим для АСУ ТП и ЗО КИИ. Подтверждающим документом будет акт приёмки. Значит ли это, что для ИСПДн данная форма не подходит? Не совсем, так как для ИСПДн не определена обязательная форма оценки соответствия. Теоретически возможно подтверждение соблюдения требований с помощью приёмочных испытаний, но практике мы с таким почти не встречаемся.
- Подтверждение соответствия системы защиты информации объекта информатизации требованиям приказа ФСТЭК № 17 – проводится в форме аттестации.
Для государственных, муниципальных информационных систем (ГИС/МИС) и защищаемых помещений (ЗП) проведение аттестации является обязательным требованием, соответствие подтверждается выданным аттестатом. Для информационных систем персональных данных (ИСПДн) тоже допускается проведение оценки соответствия в форме аттестации по решению владельца объекта информатизации, также для автоматизированных систем управления производственными и технологическими процессами (АСУТП) и значимых объектов критической информационной инфраструктуры (ЗО КИИ) аттестация может быть альтернативным методом проведения оценки соответствия.
Итак, аттестация системы защиты информации обязательна для соответствия специальным требованиям, указанным в приказе ФСТЭК № 17. Она может проводится для любых ИС по решению владельца объекта информатизации.
Нужна ли аттестация, если она «не нужна»?
Помимо соблюдения обязательных требований к проведению аттестации есть множество систем, для которых она не является обязательной. Возникает вопрос, когда еще нужна аттестация? Кроме соблюдения требований и рекомендаций регулирующих органов аттестация – хорошая возможность проверить свою информационную систему на соответствие, в первую очередь, требованиям по защите информации, а также провести испытания системы защиты инструментальным методом, чтобы понимать, насколько ваша система защиты готова противостоять современным угрозам.
Когда проводить и как подготовиться?
Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации). Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
Решение принято, что дальше? В двух словах, оператору требуется спроектировать систему защиты информации, провести организационные и технические мероприятия в соответствии с требованиями ФЗ и НПА. Но обо всем по порядку.
- Организационные мероприятия.
Требуется разработать модель угроз информации, техническое задание на систему защиты, акт классификации, технический проект, технический паспорт на систему защиты информации, комплект эксплуатационной и организационно-распорядительной документации. Стоит отметить, что для государственных информационных систем требуется обязательное согласование модели угроз и технического задания с территориальным органом ФСТЭК России, в случае использования в системе защиты средств криптографической защиты информации – с ФСБ России.
- Технические мероприятия.
Согласно утверждённому техническому проекту и определённому в соответствии с актом классификации классу защищённости и уровню защиты информации необходимо провести внедрение средств защиты информации и их настройку по требованиям безопасности.
Относительно государственных информационных систем для определения верных параметров настройки советуем руководствоваться методическим документом «Меры защиты информации в государственных информационных системах», утвержден ФСТЭК России от 11 февраля 2014 г., также рекомендуем провести анализ уязвимостей с помощью специализированных инструментальных средств для выявления возможных угроз безопасности и принять меры по их устранению.
По завершению мероприятий следует обратиться к компании лицензиату для запроса на проведение аттестационных мероприятий.
Во всем должен быть порядок
Нельзя не затронуть один из самых главных документов, которым руководствуется каждый лицензиат при проведении аттестации – приказ № 77 от 29 апреля 2021 года «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.
1. Организация работ
Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России. Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырёх месяцев.
2. Проведение работ
Владелец объекта информатизации предоставляет в орган по аттестации комплект документов, перечисленных в п.11 приказа № 77. На основе анализа предоставленных документов и предварительным ознакомлением с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний. Программа и методики согласуется с владельцем объекта информатизации до начала проведения аттестационных испытаний.
Аттестационные испытания проводятся в соответствии с п.16 приказа ФСТЭК № 77 включают в себя экспертно-документальную оценку и испытания системы защиты информации путём тестирования её функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путём осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования.
По результатам аттестационных испытаний орган по аттестации оформляет протокол и заключение по результатам аттестационных испытаний объекта информатизации. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.
В случае выявления недостатков, которые можно устранить, владелец объекта информатизации проводит мероприятия по их устранению, далее проводятся мероприятия по проверке устранения выявленных недостатков экспертами органа по аттестации и выдается положительное заключение.
В случае выявления недостатков, которые невозможно устранить в процессе аттестации, выдается отрицательное заключение с указанием выявленных недостатков, аттестат в этом случае не оформляется.
В случае положительного заключения по результатам аттестационных испытаний на объект информатизации выдается аттестат соответствия.
Процедура проведения аттестации на этом завершается.
Аттестовались, что дальше?
Согласно п. 31 приказа ФСТЭК № 77: Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в территориальный орган ФСТЭК России. Непредставление протоколов контроля защиты информации в территориальный орган ФСТЭК России является основанием для приостановления действия аттестата соответствия. Поэтому следует своевременно проводить мероприятия по контролю защиты информации.
Само собой, время идёт, меняются инструменты, меняются технологии, и неизбежно меняется информационная система. Какими будут дальнейшие действия, если система аттестована?
Тут нам стоит обратиться к п.33 приказа ФСТЭК № 77 который определяет, в каком случае при модернизации объекта информатизации достаточно будет провести дополнительные аттестационные испытания (при этом действие аттестата соответствия не прекращается) или потребуется повторная аттестация.
Простыми словами аттестация – как правило разовая процедура, исключение – развитие (модернизация) ОИ приводящего к:
-
повышению класса/уровня защищенности, категории значимости ОИ;
-
изменилась архитектура СЗИ ОИ (изменения видов и типов программных, программно-технических средств и СрЗИ, изменения структуры СЗИ, состава и мест расположения ОИ и его компонентов).
Контроль эффективности – периодическая ежегодная (возможно 1 раз в 2 года) практика, проводится в течение всего срока жизни ОИ.
Наше решение
КСБ-СОФТ – системный интегратор в сфере информационной безопасности, работаем с 2014 года. Мы оказываем услуги по установке и обслуживанию средств защиты информации, подготовке объектов к аттестации и контролю защищенности уже аттестованных информационных систем. Компания имеет необходимые лицензии от ФСБ и ФСТЭК России, гарантирующие, что предоставляемые решения соответствуют государственным стандартам защиты информации.