В ходе аттестации документация проверяется на соответствие национальным стандартам. Наиболее используемыми в отношении информационных систем являются четыре стандарта:

• 
  ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
  
• 
  ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
  
• 
  ГОСТ Р 59792-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем»;
  
• 
  ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
  

Первые два документа действуют с начала этого года, вторые два – вступили в силу с 30 апреля. При подготовке к аттестации важно убедиться, что документация разработана в соответствии с актуальными версиями стандартов. Это поможет исправить несоответствия заранее и не тратить время на доработки в ходе самих аттестационных работ. В нашей практике были случаи, когда владельцы информационных систем указывали в договоре по аттестации датированные ссылки на стандарты, и уже на этом этапе становилось ясно, какая версия ГОСТа использовалась.

Требования к сторонним компонентам

Нередко сюрпризом для владельцев информационных систем становится проверка требований к сторонним компонентам. Часто заказчики указывают в проверяемом комплекте документов сведения об установленных средствах защиты, при этом за пределами их внимания остаются дополнительные требования, отраженные в документации на эти решения.

Например, на первый взгляд может показаться, что простое требование по наличию VPN-клиента не влечет за собой никаких дополнительных мер, однако при изучении эксплуатационной документации можно обнаружить подводные камни. Так, может оказаться, что для использования продукта его необходимо устанавливать только на лицензионное ПО производителя, а также требуется иметь дополнительный аппаратно-программный модуль доверенной загрузки (АПДМЗ) и сертифицированное в ФСБ России антивирусное средство.

Таким образом, требования эксплуатационной документации к сторонним средствам защиты также необходимо учитывать, даже если они не содержатся в явном виде в приказе №77.

---

Нейтрализация угроз безопасности: что важно отразить в документации

При подготовке проектной документации на систему защиты аттестуемой информационной системы важно связать данные о нейтрализации актуальных угроз безопасности в неразрывную цепочку. По нашему опыту в документах необходимо явно указать, с помощью каких технических и/или организационных мер закрывается каждая угроза из согласованной со ФСТЭК России модели угроз. Для каждой технической меры мы также рекомендуем указывать конкретные средства защиты.



Пример оформления сведений о нейтрализации угроз в документации для аттестации

Еще один важный момент касается нейтрализации угроз, связанных с контейнеризацией. Все чаще регулятор возвращает на доработку модель угроз и нарушителя, если в ней не учтены такие угрозы. Кроме того, ведомство подготовило и направило в ряд органов власти рекомендации по реализации мер защиты информации при применении технологий контейнеризации в ГИС. Мы рекомендуем учитывать такие угрозы при подготовке к аттестации информационных систем: по нашему опыту в отсутствие сертифицированных средств защиты допускается закрывать их компенсирующими мерами.

Когда в отчете об инструментальном анализе могут быть уязвимости

В ряде случаев отчет об анализе уязвимостей аттестуемой системы может содержать уязвимости. Например, если организации удастся обосновать ложное срабатывание сканера, это будет считаться исключением. Подобные ситуации нередко встречаются: сканирование показывает, что на определенном порту находится уязвимая версия программного обеспечения, а администратор при проверке выясняет, что оно вовсе не установлено.

Также исключением будет считаться случай, когда владелец информационной системы сможет обосновать невозможность эксплуатации уязвимости. Например, представьте, что сканер обнаружил самоподписанный сертификат, при подмене которого условный злоумышленник может организовать атаку типа man-in-the-middle (MITM, «человек по середине») для перехвата передаваемых данных. При этом технология Public Key Infrastructure (PKI, инфраструктура открытых ключей), лежащая в основе цифровых сертификатов, никак не используется в процессе обработки информации в аттестуемой системе. В таком случае уязвимость может формально присутствовать в системе, но не способна навредить ни в теории, ни на практике.

---

Еще один, самый распространенный вариант, предполагает принятие компенсирующих мер. Это часто встречается в случаях, когда нет возможности установить патч безопасности или же его установка приводит к нарушению работоспособности системы. Здесь важно отметить, что компенсирующие меры следует оформлять официально, например, путем принятия соответствующего акта. Эксперты по аттестации проверяют достаточность и адекватность таких мер, после чего система может проходить дальнейшие этапы аттестационных испытаний с не устраненными уязвимостями.

Кроме того, исключением будет считаться и персональное указание ФСТЭК России. Так, недавно регулятор в явном виде запретил ряду органов госвласти устанавливать обновления безопасности на иностранные программные продукты в связи с введением санкций в отношении этих решений. Соответственно, если организация получила от регулятора письмо с таким требованием, она может предоставить результаты инструментального анализа проверяемой системы с не устраненными уязвимостями.

Три насущных вопроса о сертификатах соответствия

Часто владельцев информационных систем волнует вопрос, можно ли эксплуатировать средства защиты с истекшим сроком действия сертификата. Согласно приказу ФСТЭК России №55, этот параметр сегодня уже неактуален для новых средств защиты. Вместо этого с точки зрения аттестационных процедур необходимо обращать внимание на срок окончания технической поддержки. Найти эти данные можно в Государственном реестре средств защиты информации.

Другой вопрос особенно часто задают при аттестации центров обработки данных: можно ли эксплуатировать «старые» средства защиты с сертификатом без уровня доверия? Дело в том, что ранее сертификация проходила без оценки соответствующему уровню доверия. Однако с принятием приказа службы № 131 от 30 июля 2018 года (его уже заменил приказ № 76 от 2 июня 2020 года) введено требование проводить сертификацию на уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Как пояснили представители регулятора, эксплуатировать средства защиты с сертификатом без уровня доверия можно, если они были установлены на объекте информатизации до 1 января 2021 года. Соответственно, если у организации есть подтверждающие это условие документы, например, отгрузочные документы, договоры на поставку или акты установки средства защиты

---

, допускается использование таких средств защиты, а значит, и аттестация ГИС, в составе которых они установлены.

После того, как в марте этого года регулятор приостановил, а впоследствии прекратил действие более 50 сертификатов соответствия, для большинства владельцев информационных систем остро встал еще один вопрос: как действовать в новых условиях? На мой взгляд, существует три сценария, у которых есть как плюсы, так и минусы. Первый вариант применим, если действие сертификата не прекращено, а только приостановлено: в этом случае можно подождать возобновления действия сертификата. Тогда не придется тратить дополнительные временные или финансовые ресурсы, но нужно учитывать, что действие сертификата может быть приостановлено на срок только до 90 дней, а может и не возобновиться вовсе (что мы и наблюдали). При этом сценарии аттестаты соответствия считаются недействительными и формально эксплуатировать системы со статусом ГИС нельзя. Второй вариант – разработать компенсирующие меры, согласовать их с регулятором и, конечно, реализовать. Такой сценарий предусмотрен в приказе ФСТЭК России №77. Наконец, третий вариант – заменить все средства защиты с приостановленными или прекращёнными сертификатами на другие решения с действующими сертификатами.

Что важно учесть при подготовке акта классификации и технического паспорта

В нашей практике были случаи, когда у владельцев информационных систем возникали сложности с подготовкой акта классификации, поскольку для них было недостаточно информации, приведенной в типовой форме в приказе ФСТЭК России №77. Как пояснили представители регулятора, форма содержит минимально необходимый объем данных, и если есть такая потребность, то состав сведений можно расширить.

То же самое касается и технического паспорта, но в этой части есть ряд нюансов. Так, из его шаблона исключены неактуальные теперь данные. Например, в техническом паспорте больше не требуется указывать инвентарные (учетные, серийные) номера основных и вспомогательных технических средств и систем (ОТСС и ВТСС), а также номера лицензий ПО. На практике это означает, что заменить вышедший из строя сервер или увеличить его параметры (вычислительная мощность, объём памяти) можно будет без мероприятий по корректировке технического паспорта и дополнительной аттестации. Также теперь в техническом паспорте не требуется обязательно указывать границы контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны. Это говорит о том, что угроза утечки по побочным электромагнитным полям или наводкам больше не считается актуальной во всех случаях.

---

Еще одна особенность касается первичной аттестации информационных систем. Поскольку технический паспорт на систему оформляется впервые, в этом случае ряд полей в нем заполнить не удастся: это, например, реквизиты протоколов и заключения по итогам аттестационных испытаний и данные об аттестате соответствия. Здесь можно указать «отсутствует» или «испытания ранее не проводились» и дополнить недостающие сведения после получения аттестата соответствия.

Проверка реальных условий эксплуатации системы

Реальные условия эксплуатации и конфигурация аттестуемой системы должны быть идентичными зафиксированным в документации. На практике мы нередко сталкиваемся с обратным: например, в документах может быть ничего не сказано об удаленном доступе, а на объекте установлен модем с SIM-картой, с помощью которого администратор организовал себе удаленный доступ к системе. Приходится отключать такое устройство или, что встречается гораздо реже, корректировать модель угроз безопасности информации и проектные решения.

Проверки на объекте проходят по программе и методикам аттестационных испытаний (ПМИ). Этот документ, в отличие от протокола, заключения и аттестата, орган по аттестации должен согласовывать с владельцем информационной системы. Как и проектные решения, ПМИ может корректироваться в процессе испытаний. Это удобно, поскольку если выявляется какое-либо затруднение, проверку можно реализовать другим способом. В ходе аудита эксперты проверяют реализацию нейтрализации всех актуальных угроз безопасности. Мы рекомендуем сохранять журналы, записи интервью, скриншоты и записи сеансов работы с компонентами объекта информатизации во время проверки. Хотя в законодательстве нет такого требования, это может помочь разрешить спорные моменты.

Протокол, заключение и аттестат соответствия

После аттестационных испытаний орган по аттестации оформляет протокол и заключение. Владелец информационной системы не может влиять на содержимое этих документов, в том числе он их не визирует и не согласовывает. Согласно приказу ФСТЭК России №77, орган по аттестации должен направить протокол и заключение владельцу объекта информатизации в течение пяти рабочих дней после утверждения.

В случае положительного заключения организации также выдается аттестат соответствия требованиям о защите информации. Ранее аттестаты были бессрочными только для ГИС – такая норма была прописана в приказе ФСТЭК России №17. Для всех остальных типов объектов информатизации срок действия аттестата определялся соответствующим национальным стандартом и ограничивался периодом в три года. С принятием приказа ФСТЭК России №77 ограничения были отменены: в действующем порядке явно прописано, что аттестат выдается на весь срок эксплуатации для всех типов объектов информатизации.

---

Смотрите также файлы

• Инструменты и приспособления.docx

• Занятие 1 Обзор математических задач. Связь математики и электротехники Преподаватель Борис Фёдорович Кузнецов.pdf

• Международная охрана авторских прав.docx

• .docx

• Сценарий вечера знакомств В ожидании чудес.docx