10 августа 2021 года был зарегистрирован Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.
ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ
Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:
- аттестат соответствия выдаётся бессрочно (ранее документ выдавался на 3 года);
- каждые 2 года юридическое лицо обязано подтверждать факт проведённых периодических контролей аттестованных объектов информатизации;
- сохраняются требования по проведению ежегодного периодического контроля;
- ФСТЭК России ведётся реестр аттестованных объектов информатизации, в котором отражается статус аттестата соответствия;
- органы по аттестации обязаны в пятидневный после подписания аттестатов соответствия срок высылать их копии во ФСТЭК России для формирования данного реестра;
- все аттестаты, выданные до 01.09.21, действуют согласно прежним нормам и имеют срок действия 3 года.
Мы проанализировали Приказ и думаем, что документ подразумевает усиление контроля со стороны ФСТЭК России по отношению как к аттестующим органам, так и к самим объектам информатизации».
Евгения Колодина: «Без сомнений, новые правила, которые введены в действие данным документом, в целом повлияют на рынок и позволят сократить количество недобросовестных аттестационных центров, которые предоставляют услуги низкого качества.
Теперь регулятор может без дополнительной проверки приостановить действие выданного аттестата соответствия в случае выявления ошибок при выдаче аттестата или неподтверждения проведения необходимых контрольных испытаний».
ОБЛАСТЬ ПРИМЕНЕНИЯ
Алексей Велякин: «В пункте 3 Приказа указано, что его действие распространяется на проведение аттестационных мероприятий:
- государственных и муниципальных информационных систем (в том числе информационных систем персональных данных);
- информационных систем управления производством, используемых организациями оборонно-промышленного комплекса;
- защищаемых помещений для ведения конфиденциальных переговоров;
- при решении проведения аттестации для значимых объектов КИИ, информационных систем персональных данных, автоматизированных систем управления производственными и технологическими процессами на критически важных объектах».
ПОРЯДОК АТТЕСТАЦИИ
Алексей Велякин: «Согласно новому документу, процесс аттестации можно разделить на шесть этапов:
1. Орган по аттестации назначает аттестационную комиссию.
2. Владелец объекта информатизации предоставляет органу по аттестации всю необходимую документацию.
3. Аттестационная комиссия изучает документы.
4. Разрабатывается программа и методики аттестационных испытаний, согласовывается с владельцем объекта информатизации.
5. Проводятся аттестационные испытания.
6. По результатам испытаний выдаётся аттестат соответствия».
Евгения Колодина: «В данном приказе отмечено: аттестационные испытания могут завершаться без выдачи аттестата соответствия в том случае, если на объекте информатизации выявлены существенные недостатки в области защиты информации, которые невозможно устранить в рамках проведения аттестационных мероприятий. В такой ситуации выдаётся отрицательное заключение и работы прекращаются. Если владелец объекта информатизации не согласен с выданным заключением, он может направить претензию во ФСТЭК России. Далее регулятор рассматривает жалобу и делает вывод, легитимно ли решение органа по аттестации».
Алексей Велякин: «Стоит отметить: пакет документов, которые владельцу объекта информатизации необходимо предоставить для проведения аттестационных работ, соответствует уже бывшим в действии стандартам в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации” (утверждено председателем Гостехкомиссии России 25 ноября 1994 года) и “ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ, 2012”.
Перечень документов следующий:
- технический паспорт;
- акт классификации информационной системы;
- организационно-распорядительная документация; при наличии: модель угроз безопасности информации, техническое задание на создание ОИ, проектная документация, эксплуатационная документация, результаты анализа уязвимостей.
В этом ключе новый приказ ФСТЭК России №77 не отменяет действующие документы, скорее выступает дополнением».
ГЛАВНЫЕ НОВОВВЕДЕНИЯ
Алексей Велякин: «Мы отмечаем несколько принципиальных пунктов, которые могут оказать сильное влияние на рынок в целом.
Самое первое – аттестат соответствия теперь выдаётся на весь срок эксплуатации объекта информатизации. И если для государственных информационных систем эта норма не нова, то теперь новый документ вводит её и для защищаемых помещений.
Далее стоит обратить внимание на то, что во ФСТЭК России теперь ведётся реестр аттестованных объектов информатизации. В том числе в него вносятся сведения обо всех аттестованных объектах информатизации, которые попадают под действие данного Приказа, с указанием действующего статуса.
ФСТЭК России особое внимание уделяет контролю аттестованных объектов информатизации: теперь органы по аттестации отчитываются регулятору по каждому аттестованному ОИ в течение 5 рабочих дней. В свою очередь, владельцы объектов информатизации каждые два года обязаны направлять информацию о проведённых контролях эффективности. Это значит, что теперь ФСТЭК России получает данные по каждому аттестованному объекту информатизации и контролирует его.
Наконец, одно из самых главных изменений, продиктованных новым Приказом, заключается в том, что ФСТЭК России может приостанавливать и даже отменять действие аттестатов на основании экспертной проверки предоставленных документов или факта непредоставления необходимой документации.
Многие из эксплуатантов объектов информатизации являются лицензиатами ФСТЭК России по разным направлениям деятельности: монтаж или разработка средств защиты информации, аттестация, проведение контролей и так далее. Чтобы соответствовать требованиям положений по лицензированию, у таких организаций должны быть защищаемые помещения для ведения конфиденциальных переговоров.
Если компания-лицензиат не предоставляет данные или проводимая аттестация не соответствует требованиям регулятора, что приводит к приостановке аттестата соответствия, то ФСТЭК России, опираясь на актуальные данные из реестра, может санкционировать более тщательную и детальную проверку на соответствие лицензионным требованиям.
К тому же теперь каждые два года объект информатизации обязан направлять отчёт во ФСТЭК России об осуществлении периодического контроля».
ЧТО ПРЕДЛАГАЕТ ЦИБИТ?
Евгения Колодина: «ЦИБИТ внимательно следит за всеми нововведениями. Мы предлагаем только актуальные услуги, отвечающие запросам времени. Для удобства клиентов мы сформировали выгодное спецпредложение, учитывающее новые особенности в порядке организации и проведения аттестации объектов информатизации, продиктованные Приказом ФСТЭК России № 77.
Нами разработана многоступенчатая система скидок* в рамках комплексной услуги по сопровождению объектов информатизации, включающей все необходимые плановые мероприятия: аттестацию, ежегодные контроли эффективности, постоянную поддержку и консультирование.
ЦИБИТ предлагает заключить долгосрочный договор с фиксированными ценами сразу на несколько лет, в рамках которого специалисты проведут аттестацию и будут каждый год проводить периодический контроль объекта информатизации по выгодной цене. Кроме того, в случае заключения такого договора каждый 4-й периодический контроль эксперты Департамента аттестационных работ ГК “ЦИБИТ” сделают бесплатно».
*Предложение действует до 31.12.2021.
