Библиотека задать вопрос контакты

ПОДПИСКА НА ИНФОРМАЦИОННЫЕ УВЕДОМЛЕНИЯ

Мы будем уведомлять Вас о наших акциях и специальных предложениях, делиться нашими статьями и новостями отрасли информационной безопасности.

Игнатьева Алена Михайловна


ignatyeva.jpg

ЦИБИТ: Во время сессии вы задали вопрос по аттестации. Давайте выясним, в чем была трудность, чтобы в будущем наши читатели смогли ее избежать.

Игнатьева Алена: Проблема возникла при получении лицензии на виды деятельности, связанные с криптографической защитой информации по новому образцу. В Постановлении Правительства РФ № 313 указано, что необходимо предоставить в лицензирующий орган — Управление ФСБ России — сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации в нашей информационной системе. Ни в Постановлении, ни в Федеральном законе «Об информации, информационных технологиях и о защите информации» не определены требования к «подтверждающему документу». Обратившись к поисковой системе, точной информации тоже не наши, и мнение коллег разделилось по этому поводу.

Следующим этапом был поиск образца или шаблона такого подтверждающего документа. Нам удалось найти только тексты, составленные в произвольной форме, не имеющие правовой основы. Все источники ссылались на то, что документ, подтверждающий соответствие информационной системы какому-то уровню защищенности или классу защищенности может сформировать только лицензиат, который обладает лицензией на техническую защиту конфиденциальной информации, и только такой документ считается официальным. Указанной лицензии у нас нет. Потребовалось привлечение сторонней организации.

Впоследствии более конкретную информацию о требованиях к подтверждающему документу нашли только в Аттестате СТР-К и Приказе ФАПСИ № 152. Однако в них указано, что на нас не распространяются эти требования, так как они носят рекомендательный характер для банков. Мы пришли к выводу, что проще получить аттестат соответствия, чем доказывать, что можно подготовить документ произвольной формы, не прибегая к услугам компании — лицензиата ФСТЭК России. На это мы потратили полгода, потому что разрабатывали новый пакет документов, так как предыдущий мы делали 5 лет назад, когда получали предыдущую лицензию, и за это время требования поменялись.

ЦИБИТ: На данный момент вы получили необходимые документы?

Игнатьева Алена: Да, лицензию получили. Некоторые документы, такие как Аттестат, необходимо менять каждые 3 года и актуализировать паспорт на автоматизированную систему. Мы — динамично развивающаяся организация, поэтому приходится идти в ногу с новыми требованиями.

ЦИБИТ: Действительно непростая задача. Удалось ли вам переговорить с нашим экспертом по аттестационным работам Владимиром Бабкиным, помог ли он вам в вашем вопросе?

Игнатьева Алена: Да, Владимир Филиппович также подтвердил, что аттестация необходима. Он смог нам сузить круг объектов, которые нужно аттестовать. При прохождении первой аттестации нам сказали, что аттестовать нужно все, что так или иначе работает с СКЗИ. На тот момент у нас было 33 компьютера — это очень большой объем. Мы столкнулись с несколькими проблемами: во‑первых, встал вопрос, какие рабочие места необходимо аттестовать, так как у нас один компьютер, на котором не генерируются криптографические ключи, но он имеет доступ к защищаемой информации.

Этот компьютер стоит среди других пятнадцати, на которых работают с этой информацией, но все работники являются сотрудниками одного отдела. Во-вторых, при составлении паспорта необходимо переписать всё, вплоть до лампочек и кондиционеров, которые находятся в этом кабинете, а так как там более 15 рабочих мест, это огромный объем работы, на один кабинет уходит около недели. С другой стороны, у нас нет возможности нанять специалиста, который будет заниматься непосредственно только этой работой.

ЦИБИТ: Правильно ли я вас поняла, что даже обратившись в стороннюю организацию, вам пришлось заниматься не заполнением готовых форм, а их разработкой?

Игнатьева Алена: Форма аттестата и паспорта разработана и утверждена, ее было достаточно заполнить. Но такие документы, как Приказы «О контролируемой зоне помещения», «О назначении лиц» — с этой проблемой мы столкнулись, так как в них не было четких указаний.