Что такое оценка соответствия требованиям по защите информации

Почему оценка соответсвия средств защиты информации и есть сертификация

В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.

Откуда растут ноги?

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.

Что есть «оценка соответствия»?

декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Формы подтверждения соответствия
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации.

— выясняем, что существует добровольная сертификация и обязательное подтверждение соответствия.
В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.

Добровольная сертификация

Статья 21. Добровольное подтверждение соответствия
1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.…
2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.

— видно, что она больше используется для соответствия корпоративным стандартам.
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).

Декларирование соответствия

Статья 24. Декларирование соответствия
1. Декларирование соответствия осуществляется по одной из следующих схем:
— принятие декларации о соответствии на основании собственных доказательств;
— принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее — третья сторона).

2. При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.

3. Декларация о соответствии и сертификат соответствия имеют равную юридическую силу независимо от схем обязательного подтверждения соответствия и действуют на всей территории Российской Федерации.

Состав доказательственных материалов определяется соответствующим техническим регламентом.

1. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Суммирую все перечисленное, получается следующее: Закон ни в коем разе не ограничивает наше право в декларировании соответствия средств защиты информации требованиям по защите информации (в соответствии с пунктом 1 статьи 28 «Заявитель вправе… выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом; „), но данная процедура должна проходить в соответствии с техническим регламентом (в соответствии с пунктом 2 статьи 28 “Заявитель обязан… обеспечивать соответствие продукции требованиям технических регламентов»).
Но что такое технический регламент? В соответствии с определением, описанным выше — это нормативный документ, изданный на уровне Правительства и определяющий требования к продукции.

Так почему же «сертификация» = «оценка соответствия»?

Отмечу, что данное утверждение верно отчасти… лучше сделать приписку: в настоящее время.
Выше мы выяснили, что декларирование соответствия должно осуществляться в соответствии с техническими регламентами, которые, в нашем случае, должны разработать сотрудники ФСТЭК. Но… «воз и ныне там».
За все время существования закона о ПДн не выпущено ни одного техничекого регламента. Единственное, что на данный момент существует — это профили защиты, но они предназначены для разработчиков средств защиты (и содраны, кстати, кажется с NIST). Ознакомиться можно с ними здесь: Пакет проектов профилей защиты.

С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.

Источник

Оценка состояния ИБ на соответствие требованиям клиентов и/или стандартов

Мы предлагаем:

Почему мы:

Важно:

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам, и предлагают оптимальные пути решения сложившейся ситуации.

Эксперты по оценке соответствия информационной безопасности

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Задать вопрос эксперту: Музалевский Фёдор Александрович Задать вопрос эксперту Все эксперты

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Задать вопрос эксперту: Царев Евгений Олегович Задать вопрос эксперту Все эксперты

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Задать вопрос эксперту: Кобец Дмитрий Андреевич Задать вопрос эксперту Все эксперты

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Задать вопрос эксперту: Гончаров Андрей Михайлович Задать вопрос эксперту Все эксперты

Для чего нужна оценка состояния ИБ на соответствие требованиям клиентов и/или контрагентов

Вам необходима оценка состояния информационной безопасности на требования контрагентов и/или стандартов если:

Как проходит оценка соответствия требованиям

Оценка соответствия проходит посредством проведения комплекса мероприятий, включающих в себя описание объекта оценки (проверяемой системы информационной безопасности Заказчика или ее части), анализ внутренней документации на предмет соответствия стандартам и/или требованиям контрагентов, интервьюирование сотрудников для подтверждения соблюдения требований стандартов и/или контрагентов, а также технический аудит, включающий в себя исследование применяемых технических решений на предмет соответствия стандартам и/или требованиям контрагентов.

Основные этапы проведения аудита

Этапы проведения аудита информационной безопасности (указаны усредненные сроки):

Результаты аудита

Сотрудники ООО «РТМ ТЕХНОЛОГИИ» очно или заочно, проведут оценку состояния ИБ на соответствие требованиям стандартов и клиентов/контрагентов, проведут оценку рисков ИБ организации, сформируют подробный отчет степени соответствия заявленным требованиям по ИБ. Отчет о такой оценке служит хорошей основой для корректировки процессов обеспечения и управления ИБ и достижения соответствия применимым требованиям по ИБ, а также сформируют рекомендации по повышению уровня соответствия требованиям определённых стандартов либо требованиям клиентов/контрагентов организации в направлении ИБ.

Почему RTM Group?

Заказать оценку состояния ИБ на соответствие требованиям

Для уточнения стоимости и сроков звоните или пишите нам:

Источник

Практическое руководство по выполнению требований 152-ФЗ

Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Аттестация ФСТЭК России: мифы и реальность

Что такое аттестация?

Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:

А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:

В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».

Как правильно? Давайте разбираться

Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.

Для того, чтобы разобраться, давайте определимся, что же такое аттестация?

Данное определение точки над «i» не расставляет.
Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.

Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте:
«13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.

Типы аттестуемых объектов информатизации

Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Срок действия аттестата

В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:

А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.

Переаттестация (повторная аттестация)

Переаттестацией считается процедура повторной аттестации ранее аттестованного объекта.
Переаттестация, как правило, проводится прямо к окончанию действия аттестата, но может быть проведена и существенно раньше окончания срока его действия, например, по причинам внесения изменений в систему защиты информационной системы.

На практике переаттестацией считается и процедура повторной аттестации объекта информатизации, срок действия аттестата которого закончился. Так делается потому, что все же объект информатизации ранее был аттестован, и оценка его защищенности уже проводилась.

Для переаттестации объекта информатизации собственник (владелец) автоматизированной системы обращается к тому же лицензиату ФСТЭК России, который ранее проводил аттестацию объекта информатизации, или к иному лицензиату, что также допустимо.

Переаттестация, как правило, проводится по причине внесения изменений в аттестованный объект информатизации. Такими изменениями являются:

Можно ли вносить изменения в аттестованную систему?

Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.

Какие изменения могут влиять на защищенность?

В первую очередь это:

В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.

Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.

Кто выдает аттестат?

Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3. ГОСТ РО 0043-003-2012 также должен быть аттестат аккредитации органа по аттестации (далее — ОА) объектов информатизации.

Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов, имеет закрытый характер (ГОСТ РО 0043-003-2012 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.

Порядок выдачи аттестата (как выдается аттестат)

При аттестации конфиденциальных объектов:

При аттестации секретных объектов:

Кто регулятор (законодательный орган) по аттестации?

Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Официальный сайт ведомства – fstec.ru
Адрес ведомства: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела по технической защите информации: 8 (499) 263-27-75

Кто и как контролирует аттестованные объекты?

ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.

В соответствии с нормативно-правовыми актами ФСТЭК России:

Чем отличается аттестация от декларации соответствия?

Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».

В частности, это указано в НПА:

Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.

Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.

Итого мы имеем:
Аттестация:

Стоимость аттестации

Стоимость аттестации прямо зависит от:

Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.

Ответственность за аттестованный объект информатизации

Ответственность за аттестованный объект обоюдно несут два субъекта:

Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.

Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.

Какие требования по безопасности к информационным системам?

Требования по безопасности зависят в первую очередь от типа объекта.
Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.

Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:

Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.

Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.

Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.

Источник