Аттестация ИС

Большинство организаций проходят аттестацию информационных систем для подтверждения реализации требований регуляторов, в то же время ряд компаний выбирают эту процедуру добровольно. О том, что важно учесть при аттестации, рассказывает эксперт «Solar Интеграция» компании «РТК-Солар» Андрей Семенов.

Большинство организаций проходят аттестацию имеющихся информационных систем для подтверждения реализации требований регуляторов в области безопасности. В то же время ряд компаний выбирают эту процедуру добровольно, чтобы оценить достаточность применяемых мер защиты для противодействия атакам на ресурсы с точки зрения законодательства. Интерес к аттестации подогревают и новые законодательные инициативы: в начале апреля на рассмотрение в Госдуму был внесен законопроект, согласно которому предлагается обязать операторов персональных данных сообщать об утечках в Роскомнадзор и повысить штрафы за такие нарушения. В этих реалиях многие организации стремятся убедиться в корректности реализованных мер защиты информационных систем с помощью аттестации.

В статье я расскажу, что представляет собой процедура аттестации, в каких случаях ее нужно проходить обязательно, а когда она носит добровольный характер. Также поделюсь практическими рекомендациями на основе ситуаций, с которыми мы сталкивались за последние полгода как орган по аттестации. Поскольку чаще всего мы работаем с государственными информационными системами (ГИС), именно на них будет сделан основной акцент.

Введение

Если описывать процедуру аттестации коротко, то она включает в себя организационные и технические мероприятия, по итогам которых подтверждается, что система защиты объекта информатизации соответствует требованиям по безопасности информации. Детальный порядок аттестации прописан в приказе ФСТЭК №77 от 29 апреля 2021 года. Документ вступил в силу в сентябре прошлого года и распространяется на все новые договоры по аттестации, заключенные с этого момента. Как нам пояснили представители регулятора, по ранее заключенным договорам допускается применение положения Гостехкомиссии, принятого еще в 1994 году. Кроме этого, существует два национальных стандарта, в которых описаны общие положения аттестации, а также требования к программе и методикам аттестационных испытаний. Предполагается, что эти стандарты перестанут действовать по истечении «переходного периода», когда все обязательства по договорам, заключенным до вступления в силу нового порядка, будут выполнены.

---

Требования к реализации защитных мер, соответствие которым подтверждается с помощью аттестации, прописаны сразу в нескольких нормативных правовых актах. Например, жизненный цикл ГИС регулируется Постановлением Правительства РФ №676 от 6 июля 2015 года, а требования к защите информации в таких системах определены в приказе ФСТЭК России №17 от 11 февраля 2013 года. Требования к сертификации средств защиты прописаны в другом приказе регулятора, №55 от 3 апреля 2018 года. Далее я расскажу, в каких случаях аттестация необходима, кто может ее проводить, и из каких этапов она состоит, в соответствии с действующими нормативными правовыми актами.

В каких случаях необходима аттестация

Объекты информатизации, которые подлежат обязательной аттестации, можно условно разделить на три группы: это государственные и муниципальные информационные системы, информационные системы управления производством в оборонно-промышленном комплексе, а также помещения, предназначенные для проведения конфиденциальных переговоров. К первой группе также относятся государственные и муниципальные информационные системы, в которых обрабатываются персональные данные.

Аттестация остальных объектов информатизации носит добровольный характер (в этой статье не рассматриваются объекты информатизации, обрабатывающие государственную тайну). Например, можно не аттестовывать значимые объекты критической информационной инфраструктуры, автоматизированные системы управления производственными и технологическими процессами, а также информационные системы персональных данных (ИСПДн), не относящиеся к государственным и муниципальным. При этом мы в своей практике часто сталкиваемся со случаями, когда владельцы ИСПДн сами выбирают аттестацию, поскольку считают этот способ оценки соответствия принимаемых мер защиты регуляторным требованиям наиболее понятным.

Кто может проводить аттестацию

Согласно приказу ФСТЭК России № 77 проводить аттестацию могут организации, у которых есть лицензия регулятора на деятельность по технической защите конфиденциальной информации (ТЗКИ), а именно на «работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации». При этом, согласно документу, органы госвласти могут аттестовать собственные информационные системы без получения соответствующей лицензии. Полный перечень организаций, имеющих право проводить аттестационные работы, опубликован на сайте ФСТЭК России. Сегодня в нем насчитывается 75 органов госвласти и более 2,5 тысяч органов по аттестации.

---

Для того, чтобы исключить влияние владельцев информационных систем на результаты аттестационных испытаний, регулятор также определил требование к составу аттестационной комиссии, непосредственно проводящей такие работы. Это могут быть только эксперты, не зависящие от владельца объекта информатизации. Что именно это означает на практике в документе не разъясняется. В поисках ответа на этот вопрос мы проанализировали нормативную правовую базу и пришли к выводу, что критерии независимости экспертов приводятся всего в одном нормативном документе — Федеральном законе «Об аудиторской деятельности». Согласно закону аудитор не может проверять ни дочерние, ни родительские организации. Может ли в таком контексте орган по аттестации проверять информационные системы дочерней или родительской компании, если, например, они входят в единую холдинговую структуру? Ответ на этот вопрос дает приказ ФСТЭК России №17: в нем говорится, что назначение экспертов в орган по аттестации не допускается из числа работников, которые участвовали в разработке или внедрении системы защиты объекта информатизации. Таким образом, если специалист не был задействован ни в одной из этих активностей, его можно включать в состав аттестационной комиссии в качестве эксперта.

Подготовка к аттестации: что важно предусмотреть для минимизации издержек

Перед заключением договора с органом по аттестации важно убедиться, что объект информатизации готов к аттестационным работам. В нашей практике были случаи, когда уже в процессе работ выяснялось обратное, и организациям приходилось тратить много времени на устранение несоответствий. В итоге это приводило к продлению договора и увеличению трудозатрат по нему.

При заключении договора полезно обсудить и объем предстоящих работ. Это поможет избежать путаницы в терминологии и максимально приблизить ожидания от проекта к реальности. Нередко владельцы информационных систем подразумевают под аттестацией в том числе и подготовительные работы: проведение аудита для выявления несоответствий и их последующее устранение. Между тем в ходе этой процедуры орган по аттестации лишь проверяет достаточность и корректность задекларированных и фактически реализованных мер на соответствие оцениваемым требованиям о защите информации. Другими словами, понятие «аттестация» включает только аудит и последующую выдачу заключения.

---

Из каких этапов состоит аттестация

Последовательность работ по аттестации выглядит так: сначала орган по аттестации определяет, каким именно требованиям о защите информации должна соответствовать обследуемая система. Затем эксперты проверяют наличие комплекта документов, который должен подтверждать полноту и корректность реализации предъявляемых требований. Когда становится ясно, что расхождений в документах нет, аттестационная комиссия проверяет, соответствуют ли они реальным условиям эксплуатации системы защиты объекта информатизации.

Почему порядок действий выглядит именно так? Ведь в теории можно сначала приехать на место, где размещается обследуемая система, например, в центр обработки данных, посмотреть, как система функционирует, а потом проверить, что написано в документации. Однако, как показывает практика, на каждом этапе аттестационных испытаний выявляются несоответствия. Поэтому для владельцев объектов информатизации получается проще, быстрее и дешевле сначала устранить расхождения в документации и уже потом проверять ее соответствие реальным условиям.



Этапы аттестации

Что оценивается при документарной проверке

В ходе документарной проверки орган по аттестации оценивает объемный перечень документов, который определяется приказами ФСТЭК России №17 и 77:

• 
  Технический паспорт на объект информатизации;
  
• 
  Акт классификации системы (сети) / акт категорирования значимого объекта КИИ;
  
• 
  Модель угроз безопасности информации;
  
• 
  Техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации;
  
• 
  Проектная документация на систему защиты информации объекта информатизации;
  
• 
  Эксплуатационная документация на систему защиты информации объекта информатизации и применяемые средства защиты информации;
  
• 
  Организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации;
  
• 
  Документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации;
  
• 
  План мероприятий по защите информации на объекте информатизации;
  
• 
  Документы по порядку оценки угроз безопасности информации;
  
• 
  Документы по управлению (администрированию) системой защиты информации;
  
• 
  Документы по управлению конфигурацией объекта информатизации;
  
• 
  Документы по реагированию на инциденты безопасности;
  
• 
  Документы по информированию и обучению персонала;
  
• 
  Документы по контролю за обеспечением уровня защищенности информации.
  

---

Отмечу, что с принятием приказа ФСТЭК России №77 в этом списке не появилось каких-либо принципиально новых документов, все они проверялись в ходе аттестации и по ранее действовавшим требованиям. При этом приказ дал ответ на вопрос о том, кто должен предоставлять результаты инструментального сканирования. Ранее вокруг этого вопроса нередко возникали споры: многие владельцы аттестуемых информационных систем были уверены, что провести сканирование должны эксперты аттестационной комиссии, а органы по аттестации придерживались обратной точки зрения. Теперь в приказе явно прописано, что такие сведения для аттестации должен предоставлять сам владелец объекта информатизации.

Далее расскажу, на что важно обратить внимание при документарной проверке: пройдусь по основным моментам, с которыми мы сталкивались в нашей практике за последние полгода.

Техническое задание vs. модель угроз

По нашему опыту один из принципиальных моментов, вызывающих споры, касается требования ФСТЭК России предоставить для аттестации ГИС согласованную с регулятором модель угроз и техническое задание на объект информатизации. Об этом, в частности, говорится в пункте 15 приказа ФСТЭК России №77. Нередко владельцы информационных систем согласовывают с ведомством только один из документов, ссылаясь на пункт 3 Постановления Правительства РФ №676, содержащий в соответствующем требовании формулировку «или». В действительности данная норма касается только этапа создания информационной системы и не распространяется на этап аттестации. В постановлении говорится о необходимости проведения аттестации, однако оно не регулирует состав документов, подлежащих проверке. Этот перечень прописан именно в упомянутом приказе ФСТЭК России.

Таким образом, при аттестации ГИС организации необходимо предоставлять органу по аттестации и техническое задание, и модель угроз, согласованные с регулятором. В теории, если двигаться по этапам жизненного цикла информационной системы, можно согласовать с ведомством один из документов на этапе создания ГИС и затем проделать аналогичные действия с оставшимся на этапе аттестации. Однако мы рекомендуем направлять во ФСТЭК России сразу оба документа для снижения административных издержек.

Подвох там, где не ждали: устаревший ГОСТ

---

Смотрите также файлы

• Инструменты и приспособления.docx

• Занятие 1 Обзор математических задач. Связь математики и электротехники Преподаватель Борис Фёдорович Кузнецов.pdf

• Международная охрана авторских прав.docx

• .docx

• Сценарий вечера знакомств В ожидании чудес.docx