Для чего нужна аттестация объектов информатизации
Для чего нужна аттестация объектов информатизации
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 29 апреля 2021 года N 240/24/2087
Об утверждении порядка аттестации объектов информатизации и особенностях его реализации
Порядок аттестации предназначен для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений, организаций, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также для организаций, выполняющих работы по аттестации объектов информатизации на основании лицензии на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации), выданной ФСТЭК России.
Указанный документ определяет состав и содержание работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также требования к форме разрабатываемых при проведении таких работ документов и применяется с 1 июня 2021 г.
В связи с вступлением в силу Порядка аттестации с 1 июня 2021 г. при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, не применяются следующие документы:
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
Порядком аттестации установлено, что аттестационные испытания объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, проводятся организациями, имеющими лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации). Наличие аттестата аккредитации органа по аттестации для проведения указанных работ с 1 июня 2021 г. не требуется. Аккредитация органов по аттестации ФСТЭК России проводиться не будет. Перечень организаций, имеющих право выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, будет размещен на официальном сайте ФСТЭК России.
С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия будет приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.
Аттестация ФСТЭК России: мифы и реальность
Что такое аттестация?
Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:
А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:
В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».
Как правильно? Давайте разбираться
Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.
Для того, чтобы разобраться, давайте определимся, что же такое аттестация?
Данное определение точки над «i» не расставляет.
Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.
Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте:
«13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.
Типы аттестуемых объектов информатизации
Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:
Виды аттестации
Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:
По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.
По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.
По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.
По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.
По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.
По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.
По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.
Для кого аттестация является обязательной?
Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:
Является ли аттестация обязательной для коммерческих организаций?
Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:
Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:
Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.
Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.
Срок действия аттестата
В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:
А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.
Переаттестация (повторная аттестация)
Переаттестацией считается процедура повторной аттестации ранее аттестованного объекта.
Переаттестация, как правило, проводится прямо к окончанию действия аттестата, но может быть проведена и существенно раньше окончания срока его действия, например, по причинам внесения изменений в систему защиты информационной системы.
На практике переаттестацией считается и процедура повторной аттестации объекта информатизации, срок действия аттестата которого закончился. Так делается потому, что все же объект информатизации ранее был аттестован, и оценка его защищенности уже проводилась.
Для переаттестации объекта информатизации собственник (владелец) автоматизированной системы обращается к тому же лицензиату ФСТЭК России, который ранее проводил аттестацию объекта информатизации, или к иному лицензиату, что также допустимо.
Переаттестация, как правило, проводится по причине внесения изменений в аттестованный объект информатизации. Такими изменениями являются:
Можно ли вносить изменения в аттестованную систему?
Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.
Какие изменения могут влиять на защищенность?
В первую очередь это:
В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.
Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.
Кто выдает аттестат?
Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3. ГОСТ РО 0043-003-2012 также должен быть аттестат аккредитации органа по аттестации (далее — ОА) объектов информатизации.
Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов, имеет закрытый характер (ГОСТ РО 0043-003-2012 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.
Порядок выдачи аттестата (как выдается аттестат)
При аттестации конфиденциальных объектов:
При аттестации секретных объектов:
Кто регулятор (законодательный орган) по аттестации?
Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Официальный сайт ведомства – fstec.ru
Адрес ведомства: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела по технической защите информации: 8 (499) 263-27-75
Кто и как контролирует аттестованные объекты?
ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.
В соответствии с нормативно-правовыми актами ФСТЭК России:
Чем отличается аттестация от декларации соответствия?
Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».
В частности, это указано в НПА:
Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.
Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.
Итого мы имеем:
Аттестация:
Стоимость аттестации
Стоимость аттестации прямо зависит от:
Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.
За что может быть отобран (отозван) аттестат?
Достаточно одной из перечисленных причин:
При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.
Ответственность за аттестованный объект информатизации
Ответственность за аттестованный объект обоюдно несут два субъекта:
Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.
Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?
В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.
Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.
Какие требования по безопасности к информационным системам?
Требования по безопасности зависят в первую очередь от типа объекта.
Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.
Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:
Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.
Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:
Обязателен ли ежегодный контроль аттестованного объекта информатизации?
В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.
Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.
Новый порядок аттестации объектов информатизации: разбираем положения свежего документа от ФСТЭК России
Новый Порядок организации и проведения работ по аттестации объектов информатизации будет способствовать обеспечению реальной безопасности ИС.
Андрей Семенов, заместитель руководителя отдела compliance и аттестации Дирекции по интеграции компании «Ростелеком-Солар»
10 августа Министерство юстиции РФ утвердило новый приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». Как ясно из названия, он определяет порядок работ по аттестации объектов информатизации, а также требования к процессам, форме и содержанию документов, разрабатываемых при организации и проведении этих работ. Кроме основного нововведения – реестровой модели ведения аттестатов соответствия, данный документ содержит ряд интересных или неоднозначных положений, которые мы хотим подсветить в нашем обзоре. Разберем интересные моменты по порядку.
1. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну
Формально изменились требования, на соответствие которым проводятся аттестационные испытания – если раньше это была аттестация на соответствие «требованиям безопасности информации», то теперь стало «требованиям о защите информации».
2. Порядок применяется для аттестации объектов информатизации с 1 сентября 2021 года.
Все работы по аттестации, которые будут выполняться начиная с этой даты, должны проходить в соответствии с новым Порядком. Важно, что это касается даже тех работ, которые будут проводиться в рамках уже ранее заключенных контрактов.
3. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
4. Аттестация объектов информатизации на соответствие требованиям о защите информации (далее – аттестация) осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).
Здесь стоит обратить внимание на то, что аттестовывать объекты информатизации теперь имеют право и эксплуатирующие их организации – их в явном виде включили в состав владельцев объектов информатизации.
5. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний).
С одной стороны, положение очевидное. Но на практике нам приходилось сталкиваться с ситуацией, когда заказчик заявлял о необходимости аттестационных мероприятий для информационных систем, выведенных из эксплуатации. Теперь явно названы этапы жизненного цикла ИС, на которых эти испытания требуются.
6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками), ответственными за защиту информации.
Это нововведение позволяет перечисленным выше органам власти при выполнении ряда условий самостоятельно аттестовывать свои объекты информатизации без наличия лицензии ФСТЭК России на ТЗКИ. Вероятно, это обусловлено необходимостью выполнения положений Постановления Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Оно запрещает ввод систем в эксплуатацию без действующего аттестата соответствия.
7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
Появился четкий ответ на вопрос о минимальном количестве участников аттестационной комиссии – не менее трех.
8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.
Отметим, что под органом по аттестации Порядок подразумевает « организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям о защите информации)». Следовательно, под это определение не подпадают органы власти, решившие самостоятельно аттестовывать свои объекты информатизации.
Еще один важный вопрос пока остается открытым. Он касается критериев определения независимости экспертов органа по аттестации от владельца объекта информатизации: может ли теперь коммерческая организация аттестовывать свои объекты информатизации и объекты информатизации головной компании? Раньше это было явно разрешено при условии, что «аттестатор» не проектировал и не внедрял СОИБ аттестуемого объекта информатизации.
9. Для проведения работ по аттестации владелец объекта информатизации в качестве исходных данных представляет в орган по аттестации копии ряда документов, включая «документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
Новый документ однозначно определил ответственного за предоставление результатов инструментального сканирования. Это не орган по аттестации, проводящий испытания, а именно владелец аттестуемого объекта информатизации.
10. По решению владельца объекта информатизации указанные в настоящем пункте копии документов представляются в орган по аттестации в виде электронных документов.
Раньше орган по аттестации, как правило, принимал только бумажные варианты утвержденных документов (с подписью и печатью организации). Теперь же допустимо предоставлять их в электронном виде. Пока остался открытым вопрос о форме их заверения: требуется ли она и если да, то в каком виде? Будет ли достаточно пересылки с авторизованного почтового ящика или понадобится электронная подпись того или иного вида?
11. Аттестационные испытания включают следующие мероприятия и работы:
б) проверку наличия и согласования с ФСТЭК России … модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации или частного технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).
Тут Порядок ужесточает имеющиеся ранее требования – необходимо будет согласовать с регулятором оба документа сразу. В Постановлении Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» есть требование в обязательном порядке согласовывать или модель угроз безопасности информации, или техническое задание: «Техническое задание на создание системы и (или) модель угроз безопасности информации согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации». Постановление Правительства имеет больший приоритет, чем приказ ФОИВ. Поэтому ждем пояснений регулятора.
12. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.
Определен крайний срок, в течение которого необходимо выслать аттестационную документацию владельцу объекта информатизации.
13. По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации на объект информатизации.
В ряде случаев в номенклатуре аттестационных документов в явном виде появляется дополнительный. Как он будет называться – заключение № 2, повторное заключение?
14. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия в ФСТЭК России.
В документе ничего не говорится о возможности «претензионной работы» между владельцем объекта информатизации и органом по аттестации – возможно только обращение владельца объекта информатизации в ФСТЭК России. Явного запрета на урегулирование споров между владельцем объекта информатизации и органом по аттестации нет. Но, учитывая, что у владельца объекта информатизации имеется всего пять дней, чтобы обратиться к регулятору в случае неуспешных переговоров с органом по аттестации, вряд ли вообще получится их провести.
15. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов.
При осуществлении «арбитражной» работы регулятор не предусмотрел «пауз» на длительные праздничные дни (например, новогодние или майские праздники) и оперирует календарными, а не рабочими днями – это не может не радовать.
16. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
а) аттестата соответствия объекта информатизации;
б) технического паспорта на объект информатизации;
в) акта классификации системы (сети), акта категорирования значимого объекта;
г) программы и методик аттестационных испытаний объекта информатизации;
В договорах и ПМИ нужно аккуратно подходить к определению даты подписания аттестата соответствия. Особенно если есть необходимость иметь запас по времени на обработку, утверждение и отправку документации при наличии бюрократических многоэтапных, требующих различных согласований процедур внутри органа по аттестации.
Напомним, что максимальная длительность работ по аттестации согласно положениям рассматриваемого Порядка не может превышать четырех месяцев.
17. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.
Самое важное новшество: вводится реестровая (централизованная) система учета выданных аттестатов соответствия на ИС. Будет очень хорошо, если этот реестр (выписка из реестра) станет общедоступным, чтобы была возможность проверить наличие и действительность аттестатов соответствия в отношении интересующих объектов информатизации.
18. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.
Регулятор не только требует предоставлять документы по аттестованной ИС, но и будет анализировать их на предмет корректности. Очевидно, что это вызвано желанием ФСТЭК России улучшить качество проводимых органами по аттестации испытаний, что не может не радовать.
19. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.
Согласно новому Порядку это касается всех типов объектов информатизации – ГИС, ИСПДн, КИИ, АСУ ТП, ЗП, ИСОП. Раньше бессрочный аттестат соответствия был только у ГИС на основании приказа ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Срок действия аттестатов соответствия других типов объектов информатизации регламентировал ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения», и он составлял не более трех лет.
20. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года предоставляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
Проводить контроль уровня защиты на аттестованном объекте информатизации будет нужно не реже чем раз в два года. Раньше это требовалось делать ежегодно согласно ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
21. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания.
В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация…
В явном виде определены критерии, при выполнении которых проводятся дополнительные аттестационные испытания или повторная аттестация. Остается открытым вопрос: требуется ли при проведении повторной аттестации изменять номер и дату выдачи первоначального аттестата соответствия?
22. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае…
Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае…
Регулятор забрал себе полномочия по приостановлению и прекращению действия аттестата соответствия. Раньше они были у органа по аттестации согласно ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения». Хотя в явном виде запрет на приостановление и прекращение действия аттестата соответствия органом по аттестации в Порядке отсутствует, допустимо ли это и каков будет порядок – вопрос пока открытый.
23. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.
Появилась новая возможность – выдача дубликата аттестата соответствия. Из интересного: орган по аттестации не имеет права выдать его копию. По крайней мере, в новом Порядке о таком варианте ничего не говорится. Нужно учитывать, что согласно нормам делопроизводства при выдаче копии документа сохраняются номер и дата выдачи оригинального документа, а вот дубликат документа должен иметь новые реквизиты. Найдет ли этот момент отражение в реестре аттестатов ФСТЭК России – вопрос открытый.
24. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.
Еще один из центральных моментов нового Порядка: орган по аттестации будет обязан ежегодно информировать ФСТЭК о проведенных аттестациях. Раньше такой обязанности у него не было (мы не говорим сейчас про аттестационные мероприятия в области государственной тайны). Теперь недобросовестные органы по аттестации не смогут из небытия предъявить аттестаты соответствия на якобы ранее аттестованные ИС. Вероятно, эта норма введена ФСТЭК России, чтобы повысить качество проводимых аттестаций и обеспечить исполнение Постановления Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» в той части, которая касается аттестации.
25. Из Приложения № 1 исключена необходимость указания в техническом паспорте границ контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны, а также инвентарных (учетных, серийных) номеров ОТСС и ВТСС, номера лицензий ПО.
Это положение позволяет заменять СВТ на однотипные и обновлять лицензии на ПО без корректировки технического паспорта. Такая норма соотносится с бессрочным сроком действия аттестата соответствия и выполнением необходимых процедур на всех этапах жизненного цикла ИС.
Это нововведение говорит о том, что ФСТЭК не настаивает на обязательном выполнении требований о защите ИС, не обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, от ПЭМИН, что раньше и обуславливало необходимость отображать границы контролируемых зон и проводные линии.
В качестве ретроспективной информации: документ с названием «Технический паспорт» в российских ГОСТах отсутствует, а вот форму и содержание документа с названием «Паспорт» определяет ГОСТ 34.201-89 «Виды, комплектность и обозначения документов при создании автоматизированных систем».
26. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, вводит фиксированный формат номера аттестата соответствия.
Нераскрытой остается неопределенность с – должен он в обязательном порядке быть сквозным (00001, 00002, 00003) или допускается произвольное, но неповторяемое назначение номеров (00024, 01121, 00001)?
27. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, при эксплуатации аттестованного объекта информатизации не допускает проводить обработку информации в случае обнаружения инцидента безопасности.
Пока не очень понятно, как реализовать это на практике – например, если инцидентом является компрометация пароля в ИС непрерывного цикла или даже просто попытка его подбора. Также это положение противоречит принципу PDCA и бессрочности аттестатов соответствия.
Будем надеяться, что данное Приложение определяет всего лишь форму (как и указано на его титуле), а не строгое указание по содержанию и данный момент возможно будет исключить из перечня ограничений на эксплуатацию ИС.
Новый Порядок организации и проведения работ по аттестации объектов информатизации, на наш взгляд, будет способствовать обеспечению реальной безопасности ИС. Но при этом в документе есть ряд нераскрытых моментов, а также положений, которые невыполнимы в реальных условиях эксплуатации.
При внесении изменений в нормативные правовые акты мы часто видим в заключении об оценке фактического воздействия НПА, что нововведения «не несут дополнительных финансовых затрат». Это не всегда соответствует действительности. В данном случае можно утверждать, что новые положения предложенного Порядка действительно не несут значительных дополнительных затрат по сравнению с ранее имеющимися требованиями.
Главное, чтобы последующие редакции документа учитывали и исправляли недостатки предыдущих, а сам он использовался как инструмент упорядочивания и улучшения ситуации с аттестацией объектов информатизации, а не наказания и запугивания.
В качестве бонуса расскажем, при каких условиях новый Порядок позволит эксплуатировать ГИС даже без аттестата соответствия (пусть и не на постоянной основе).
Существует три случая, при которых возможно запретить (временно или постоянно) эксплуатацию ГИС:
1) вновь созданная ГИС не введена в промышленную эксплуатацию (не проведены успешные аттестационные испытания);
2) действие аттестата соответствия приостановлено;
3) действие аттестата соответствия прекращено.
Первый вариант не рассматриваем – он очевиден и вопросов не вызывает.
А далее, как говорят фокусники, следите за руками.
Пункт 42 гласит: «В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено».
То есть на этапе прекращения действия аттестата соответствия требование о прекращении эксплуатации объекта информатизации не распространяется на случай, если ранее действие аттестата соответствия было приостановлено.
А есть ли варианты, при которых можно прийти к вышеописанному состоянию – действие аттестата соответствия было приостановлено – и при этом ГИС находилась бы в эксплуатации на законных основаниях? Давайте посмотрим.
В пункте 37 говорится, что в случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации».
Если на этапе приостановления действия аттестата соответствия ГИС согласовать с ФСТЭК России и принять меры, исключающие возможность возникновения угроз безопасности информации, то даже последующее прекращение действия аттестата соответствия формально не потребует прекращения ее дальнейшей эксплуатации.
Можно предположить, что озвученная возможность связана с необходимостью в ряде случаев продолжать эксплуатацию критичных ИС (например, ИС непрерывного цикла, обеспечивающих критичные функции, или социально значимых систем), даже если в них в определенный момент не соблюдаются все требования безопасности информации.
Не стоит также упускать из виду, что согласно положениям данного Порядка «действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней».
Осталось получить практику согласования с ФСТЭК России мер, исключающих возможность возникновения угроз безопасности информации, их условия и ограничения. Вполне возможно, что реализовать эти меры будет сложнее, чем «переаттестоваться» заново и лайфхак окажется сугубо теоретическим.