Образец аттестата содержит фразу о том, что в случае обнаружения инцидента безопасности проводить обработку информации в аттестованной информационной системе не допускается. По нашему опыту это не укладывается в реалии жизненного цикла объектов информатизации. Если следовать приведенной фразе буквально, это означает, что даже в случае обнаружения попытки подбора пароля к информационной системе, а это тоже считается инцидентом, организация обязана прекратить эксплуатацию в том числе социально-значимого объекта информатизации. Мы исключаем этот момент из ограничительных условий в выдаваемых аттестатах, и в нашей практике замечаний от регулятора по этому вопросу не возникало.

Сроки выдачи аттестата владельцу информационной системы в приказе ФСТЭК России №77 явно не определены. Мы в своей практике руководствуемся требованием, согласно которому орган по аттестации должен предоставить аттестат и прочие документы по итогам проведенных работ регулятору в течение пяти рабочих дней после подписания аттестата.

Также с принятием приказа ФСТЭК России №77 у владельцев информационных систем появилась возможность получить дубликат аттестата. Правда, пока остается открытым вопрос о том, должен ли дубликат содержать новые дату и номер документа: при таком сценарии это будет фактически означать получение нового аттестата с новыми реквизитами.

Кроме того, упомянутый выше приказ регулятора внес изменения в систему нумерации (идентификации) аттестата. Если ранее орган по аттестации мог вести нумерацию произвольно в соответствии со своим корпоративным стандартом, то теперь нумерация стала фиксированной. В частности, она включает три группы цифр: номер лицензии органа по аттестации на деятельность по ТЗКИ, порядковый номер и год выдачи аттестата.

Отправка документов во ФСТЭК России

Имеются и другие особенности предоставления документов по итогам аттестации регулятору. В частности, мы считаем, что владелец информационной системы должен предоставить органу по аттестации разрешение на передачу его документов – акта классификации и технического паспорта – и чувствительных сведений о нем (содержатся в ПМИ, протоколе, заключении) третьей стороне, то есть ФСТЭК России. Мы рекомендуем прописывать разрешение на передачу документов в ведомство в явном виде в договорах по аттестации.

Многие владельцы информационных систем, выбирающие аттестацию добровольно, задаются вопросом: нужно ли им направлять регулятору какие-либо документы по итогам выполнения этой процедуры? Как нам пояснили во ФСТЭК России, при аттестации на добровольной основе делать это необязательно. О том же говорит и информационное сообщение от 11 апреля 2022 года № 240/24/1950. Если организация пришлет документы, ФСТЭК России учтет их в реестре, в противном случае нарушением это считаться не будет. Сам реестр предназначен исключительно для служебного пользования службы, и его данные не планируется делать общедоступными.

---

Форматы предоставляемых регулятору документов строго не зафиксированы (doc, docx, pdf и другие). Мы рекомендуем направлять сопроводительное письмо в бумажном виде с приложением электронного носителя файлов в неизменяемом и читаемом на различных рабочих станциях формате: pdf, png или jpeg. Это поможет избежать сложностей из-за возможных искажений документов, обусловленных различиями в версиях программного обеспечения, используемого при формировании документов органом по аттестации и при их изучении представителями регулятора.

Что происходит после аттестации

Важно помнить, что владелец ГИС после оформления аттестата соответствия должен ввести систему в эксплуатацию. Часто на практике об этом формальном шаге забывают.

После аттестации на владельца информационной системы ложится значительная нагрузка по реализации функций и процедур, связанных с обеспечением безопасности информации, поскольку срок функционирования системы может достигать нескольких десятилетий. Действующее законодательство требует выполнять на постоянной основе различные процедуры по защите информации: это, например, патч-менеджмент, мониторинг инцидентов, управление изменениями и другие.

Владельцам каждого аттестуемого объекта информатизации необходимо проводить контрольные мероприятия не реже одного раза в два года и сообщать об их результатах во ФСТЭК России. Для систем ГИС первого класса, согласно приказу ФСТЭК России №17, такой контроль должен проводиться ежегодно.

Как правило, после получения аттестата информационная система развивается и модернизируется. В зависимости от связанных с этим изменений могут понадобиться дополнительные аттестационные испытания или повторная аттестация – об этом говорится в приказе ФСТЭК России №77. Если произошли несущественные изменения, например, поменялись параметры настройки решений, потребуется провести дополнительные аттестационные испытания. Если же изменения были серьезными, например, изменилась архитектура или структура системы защиты, либо поменялись состав и места расположения информационной системы, придется провести повторную аттестацию. В этом случае, как нам пояснили представители регулятора, орган по аттестации может оставить прежний номер аттестата и дату его выдачи. Сохранение реквизитов аттестата может быть актуально в случаях, когда они упоминаются в аттестатах других объектов информатизации. Например, если нужно повторно аттестовать центр обработки данных, в котором находятся другие аттестованные информационные системы.

---

Смотрите также файлы

• Инструменты и приспособления.docx

• Занятие 1 Обзор математических задач. Связь математики и электротехники Преподаватель Борис Фёдорович Кузнецов.pdf

• Международная охрана авторских прав.docx

• .docx

• Сценарий вечера знакомств В ожидании чудес.docx