Аттестация объектов информатизации — это совокупность мероприятий, направленных на подтверждение их соответствия требованиям по информационной безопасности. Наличие на объекте информатизации действующего «Аттестата соответствия» даёт право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленным в «Аттестате соответствия».
Объектами информатизации могут выступать:
- Автоматизированные системы: устройства, на которых обрабатывается и хранится защищаемая информация (компьютеры, сервера, средства копирования документов);
- Защищаемые помещения (помещения, предназначенные для ведения конфиденциальных переговоров).
В процессе подготовительных работ к аттестации проводится анализ и оценка исходных данных, поставка, установка и настройка средств защиты информации, подготовка проектов организационно-распорядительной документации. Аттестационные испытания проводятся в соответствии с методиками ФСТЭК России. По результату аттестационных испытаний выдаются аттестационные документы, в том числе Аттестат соответствия требованиям по безопасности информации. С помощью всех этих мероприятий подтверждается соответствие объекта информатизации требованиям по защите информации.
Аттестация является самым оптимальным способом подтверждения выполнения актуальных требований к безопасности информации, установленных нормами законодательства. Кстати, допускается добровольная процедура прохождения аттестации для объектов информатизации, которым не требуется обязательная аттестация.
Аттестация, не являющаяся обязательной, может быть актуальна в случаях, если организация хочет:
- получить объективную оценку уровня защищённости средств для обработки конфиденциальных данных;
- проверить соответствие средств защиты данных объекта стандартам безопасности.
Нормативная база
Согласно нормам законодательства РФ (ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ. 2012 г.), каждый объект информатизации для соответствия требованиям должен проходить:
— периодические контроли эффективности не реже чем раз в год;
— переаттестацию каждые 3 года.
Периодический контроль эффективности
Одним из ключевых моментов является обязательное прохождение периодического контроля эффективности не реже чем раз в год. Специалисты уверены: это действительно необходимая мера, ведь зачастую организации, эксплуатирующие объекты информатизации, даже не догадываются о том, что имеют какие-то нарушения в эксплуатации.
Итак, почему так важен контроль эффективности?
- Выход из строя технических средств
Часто аттестованные объекты информатизации эксплуатируются организацией довольно редко, именно поэтому отследить любые изменения бывает сложно. Для соответствия требованиям законодательства, необходимо постоянно следить за состоянием технических средств, которые могут выйти из строя и быть заменены (например, замена сломанной «мышки» или клавиатуры).
- Окончание действия сертификатов на СЗИ
В ходе эксплуатации объекта информатизации необходимо проверять сроки действия сертификатов соответствия и контролировать их.
Показательный случай из практики ГК «ЦИБИТ»: многие организации не знали об окончании в декабре 2019 года срока действия сертификата Kaspersky. При проверке ФСБ России выяснялось, что на объектах информатизации используется несертифицированное средство защиты информации. Это является нарушением. Подобные ситуации влекут за собой целый ряд негативных последствий.
- Утеря пароля администратора
В ходе эксплуатации объекта информатизации может смениться персонал, системный администратор может забыть/поменять пароль и т.д. При проверке регулирующими органами данная ситуация тоже может привести к зафиксированным нарушениям и серьёзным последствиям.
Проверка объекта информатизации регуляторами
Следующий важный момент. На любом из аттестованных объектов информатизации может быть проведена проверка регуляторами – ФСБ России и ФСТЭК России. Чтобы избежать нарушений и проблем, эксперты Департамента аттестационных работ ГК «ЦИБИТ» подготовили несколько рекомендаций:
- Необходимо следить за выходом новых версий программного обеспечения и за установкой актуальных обновлений программных модулей средств защиты информации;
- Следует контролировать сроки действия сертификатов соответствия на используемые средства защиты информации;
- Важно регулярно проводить модернизацию системы защиты с учётом изменений в нормативной документации и требованиях регуляторов;
- Особое внимание стоит уделить правильному ведению документации;
- В случае существенных изменений условий эксплуатации объекта информатизации, может быть необходим внеочередной контроль эффективности или даже переаттестация;
- Необходимо проходить поверочные мероприятия контрольно-измерительного оборудования (для лицензиатов ФСТЭК России с контрольно-измерительным оборудованием).
Контролировать такое большое количество процессов достаточно трудно, особенно если объект информатизации эксплуатируется редко. Именно поэтому оптимальным решением станет поиск надёжного партнёра и заключение договора на долгосрочное сотрудничество по поддержанию объекта информатизации в актуальном состоянии на период действия аттестатов соответствия.
Комплексное решение для объектов информатизации
Департамент аттестационных работ ГК «ЦИБИТ» предлагает комплексную услугу, включающую все необходимые плановые мероприятия.
Состав комплексной услуги по сопровождению одного объекта информатизации:
- Аттестация
- Два ежегодных контроля эффективности объекта информатизации
- Установка актуальных обновлений программных модулей средств защиты информации
- Консультации по настройке средств защиты информации и ведению организационно-распорядительной документации
- Организация поверочных мероприятий (для лицензиатов ФСТЭК России с контрольно-измерительным оборудованием)
- Модернизация системы защиты с учётом изменений в нормативной документации и требованиях регуляторов
- Переаттестация
- Постоянная поддержка и консультирование
Алексей Владимирович Велякин, ведущий эксперт Департамента аттестационных работ ГК «ЦИБИТ»:
«Сегодня наиболее оптимальным вариантом является долгосрочное сотрудничество в вопросах поддержания актуального состояния аттестованного объекта информатизации. Ведь, помимо плановых мероприятий, необходимо постоянно следить за выходом новых версий программного обеспечения, контролировать сроки действия сертификатов соответствия, правильно вести внутреннюю документацию и прочее. Нюансов действительно очень много, уследить за всем сложно. Чтобы не упустить эти важные моменты и не «нарваться» на нарушение, мы советуем найти надёжного партнёра по поддержанию актуального состояния объекта информатизации».
Специальное предложение: заключите договор на три года (долгосрочное сотрудничество) и получите один ежегодный контроль эффективности – бесплатно!
Обратитесь к нам за подробной консультацией:
+7 (495) 792-80-80 / info@cibit.ru