Аттестация ФСТЭК – ООО “ЦБИС”

Что такое аттестация?

Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:

• программа и методики аттестационных испытаний,
• протокол аттестационных испытаний,
• заключение аттестационных испытаний,
• аттестат соответствия (выдается в случае положительного заключения).

А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:

В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи.

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываютсянесколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188).

Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Виды сертификатов

Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:

• корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
• персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

Как правильно? давайте разбираться

Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.

Для того, чтобы разобраться, давайте определимся, что же такое аттестация?

1. В соответствии с пунктом 1.4. «ПОЛОЖЕНИЯ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994 под аттестацией понимается: «… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России» (далее — положение по аттестации).
2. В соответствии с пунктом 3.6 «ГОСТ РО 0043-003-2021 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2021: определение в целом идентично пункту 1.4. положения по аттестации (см. выше).

Данное определение точки над «i» не расставляет.Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.

Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие».

Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.

Какие требования по безопасности к информационным системам?

Требования по безопасности зависят в первую очередь от типа объекта.Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.

Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:

Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.

Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:

• «в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
• в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
• в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса;
• в информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей».

Корпоративные сертификаты

Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области.

Кроме этого, в реестре зарегистрированных систем добровольной оценки соответствия, ведение которого осуществляет Росстандарт, значатся еще несколько десятков комплексов критериев, которые применяются компаниями для подтверждения своей ответственной позиции в этом вопросе.

Кто выдает аттестат?

Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3.

Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов,  имеет закрытый характер (ГОСТ РО 0043-003-2021 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.

Кто и как контролирует аттестованные объекты?

ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.

В соответствии с нормативно-правовыми актами ФСТЭК России:

1. Лицензиат ФСТЭК России обязан проводить ежегодный контроль аттестованных им объектов.
2. По результатам ежегодного контроля оформляются протоколы и заключение о соответствии аттестованного объекта информатизации требованиям по безопасности информации.
3. В случае, если защищенность объекта информатизации подтверждается, то в аттестат соответствия вносится запись о проведении ежегодного контроля с положительным результатом и возможности продолжить обработку защищаемой информации на объекте информатизации.
4. В случае отрицательного результата ежегодного контроля аттестат аннулируется (отзывается).

Можно ли вносить изменения в аттестованную систему?

Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2021 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2021 г.

Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2021 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.

Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.

Обязательная аттестация автоматизированных информационных систем требуется для получения лицензии фстэк или фсб.

*В остальных случаях аттестация является добровольной.

Ответственность за аттестованный объект информатизации

Ответственность за аттестованный объект обоюдно несут два субъекта:

1. Владелец объекта, осуществляющий использование и обслуживание объекта. Владелец обязан обеспечить неизменность условий функционирования аттестованного объекта и технологии обработки защищаемой информации.
2. Лицензиат ФСТЭК России, проводивший аттестацию объекта и затем проводящий ежегодный контроль объекта. Лицензиат ФСТЭК России несет ответственность за защищенность объекта в случае выполнения заказчиком своих обязанностей (см пункт 1).

Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.

Оценочные критерии и требования по iso 27001

Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:

• продуманная политика IT-безопасности;
• структурированная программа управления IT-безопасностью в организации;
• гарантия защищенности информации при необходимости обеспечения доступа к ней третьих лиц;
• предотвращение потерь, повреждений, хищения информации и ее компрометации;
• обеспечение безопасного функционирования инструментов обработки информации;
• минимизация рисков появления сбоев в работе комплекса;
• поддержание безопасности каналов обмена информацией;
• внедрение эффективных методов обнаружения несанкционированной активности;
• организация системы контроля доступа к информации;
• обеспечение безопасности системных файлов.

Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:

1. Состав и условия размещения технических средств и систем.

Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б. Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.

2. Состав программного обеспечения обработки защищаемой информации и условия ее обработки.

Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких».

В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).

3. Состав продукции, используемой в целях защиты информации, параметры установки и настройки.

Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.

Персональные сертификаты

Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

• CISSP — безопасность IT-продуктов;
• ISSAP — архитектура безопасности;
• ISSEP — инженерия в IT-безопасности;
• ISSMP — управление продуктами в области безопасности;
• CISM — информационная безопасность;
• другие сертификаты.

Порядок выдачи аттестата (как выдается аттестат)

При аттестации конфиденциальных объектов:

1. Лицензиат ФСТЭК России проводит работы по аттестации и выдает заказчику аттестат соответствия  (в случае положительного заключения о соответствии объекта требованиям безопасности информации).
2. Лицензиат ФСТЭК России сам регистрирует выданный аттестат в реестре выданных аттестатов.
3. Лицензиат ФСТЭК России периодически отчитывается во ФСТЭК России о проведенных работах по аттестации и выданных аттестатах, в том числе при плановых проверках лицензиата уполномоченным органом (ФСТЭК России).

При аттестации секретных объектов:

1. Лицензиат ФСТЭК России с аттестатом аккредитации органа по аттестации (далее — орган по аттестации) проводит работы по аттестации и направляет отчетные документы по аттестации на экспертизу во ФСТЭК России.
2. В случае положительного прохождения экспертизы отчетных документов во ФСТЭК России лицензиат ФСТЭК выдает заказчику аттестации аттестат соответствия.
3. Орган по аттестации сам регистрирует выданный аттестат в реестре выданных аттестатов.

Преимущества внедрения стандарта iso 27001 для предприятия

Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:

• конфиденциальность — предотвращение несанкционированного использования информации, которое способно навредить компании;
• целостность — достижение необходимой степени полноты и корректности информации, а также соответствия способов ее обработки поставленным задачам;
• доступность — обеспечение бесперебойного доступа к информации для авторизованных пользователей.

Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.

Обратите внимание!

Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.

Процедура сертификации на соответствие требованиям iso 27001

Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

Сертификация it-систем и лицензирование

Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется.

В соответствии с положениями федерального закона от 6 октября 1999 г. N184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2021 года № 99-ФЗ. Он включает следующие позиции:

• создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
• техническое обслуживание таких продуктов;
• создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
• деятельность по защите конфиденциальной информации при помощи технических средств.

Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

Система управления информационной безопасностью

Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов.

Срок действия аттестата

В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:

А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.

Стоимость

Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы.

Стоимость аттестации

Стоимость аттестации прямо зависит от:

Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.

Типы аттестуемых объектов информатизации

Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:

1. Защищаемые помещения (помещения для ведения конфиденциальных переговоров);
2. Автоматизированные системы (компьютерные системы).

Чем отличается аттестация от декларации соответствия?

Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».

В частности, это указано в НПА:

Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.

Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.

Итого мы имеем:Аттестация:

1. Оценку соответствия (защищенности) проводит только внешний аудитор – лицензиат ФСТЭК России с пунктом в лицензии «аттестация».
2. Процедура аттестации законодательно закреплена.
3. Регулятор в области аттестации – ФСТЭК России, и поэтому доверие к аттестованному объекту максимально возможное.

Декларация соответствия:

1. Декларирует защищенность объекта сам заказчик (владелец объекта).
2. Процедура декларации соответствия неизвестна (непонятна), так как законодательно не закреплена.
3. Доверия к декларации соответствия у регуляторов (ФСБ, ФСТЭК, Роскомнадзор) нет, и поэтому спрос при плановых и внеплановых проверках максимальный (так, как будто работы по защите информации вообще не проводились).

Этапы

Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
4. Оформление сертификационной документации.
5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Документы по итогам сертификации

Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии.

Выводы:

При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия». Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Если вы не знаете, что именно нужно в вашем случае — переаттестация или внесение изменений в текущую документацию, описывайте ситуацию в комментариях, мы постараемся разобрать ее онлайн или в следующей статье.

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»