Аттестация объекта информатизации предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации
Полная версия Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 “Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну” представлена в нашей библиотеке.
Аттестация объектов информатизации
Чтобы в полном объеме оценить масштабы происходящих изменений согласно 77 приказ ФСТЭК давайте на несколько минут вернемся на несколько лет назад и вспомним такие документы как:
- «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено Гостехкомиссией России 25 ноября 1994 г.);
- Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282. ДСП
- ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. ДСП
- ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. ДСП
Первое, на что необходимо обратить внимание – год принятия данных документов. Безусловно, «раньше было лучше», но окружающий нас мир не стоит на месте, развиваются технологии, системы, механизмы защиты.
Второе – это гриф ДСП. Если Вам по каким-то причинам потребовалось изучить данные документы, и вы умеете обеспечивать их сохранность, то быстро прочитать их у Вас не получится. Их не покупают на маркетплейсах и интернет-магазинах, а заказывают в специализированных организациях. Сроки составляют несколько месяцев.
Третье – это используемый подход к порядку аттестации объектов информатизации. Позиция ряда компаний заключалась в следующем. Есть потребность в данной услуге, результатом работы является несколько документов, регулятор проверяет данную работу очень выборочно и для значимых для государства систем, а следовательно, можно делать «проще, дешевле, быстрее». Ну Вы поняли.
77 Приказ ФСТЭК для нашей молодой команды по меркам бизнеса в области информационной безопасности появился очень вовремя. Он сводит на нет бумажную аттестацию, которой ранее занимались около 75% рынка и дает возможность коллективам, нацеленным на работу и результаты набрать компетенций и увеличить количество персонала, дав рабочие места и мотивацию для людей.
Пора провести анализ документа 77 приказ фстэк 2021 и указать на разделы, на которые стоит обратить внимание.
Кто может
Одновременно все просто и все очень сложно.
С точки зрения исполнителя появляется проект по аттестации объектов информатизации, который состоит из множества задач, назначаются исполнители в виде экспертов и председателя и далее внутренняя кухня команды.
А вот с точки зрения Заказчика говориться о том, что данные мероприятия могут инициировать органы и компании, которым на праве собственности или другом основании принадлежат те самые системы и помещения, а также компаниями, заключившими договора на создание тех самых систем, или лицами, осуществляющими эксплуатацию объектов информатизации
Аттестация объектов информатизации +по требованиям безопасности
- государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных (ГИС, МИС, а также ГИС и МИС, в которых обрабатываются ПДн);
- информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением (ИС в ОПК и АС станков с ЧПУ);
- помещений, предназначенных для ведения конфиденциальных переговоров (защищаемые помещения или ЗП).
Стоит сделать оговорку на то, что Порядок организации и проведения работ по аттестации защищаемых помещений касается помещений, планируемых для выполнения требований и условий, необходимых для лицензирования деятельности по технической защите конфиденциальной информации.
Давайте поговорим про добровольную аттестацию, которую выполняли по требованиям по требованиям ГОСТ РО 0043-003-2012. Данный документ необходимо применять, если установлено требование по проведению оценки соответствия систем защиты информации объектов требованиям по защите информации в форме аттестации, а именно для:
- значимых объектов критической информационной инфраструктуры Российской Федерации (ЗОКИИ согласно приказу ФСТЭК № 239);
- информационных систем персональных данных (ИСПДн согласно приказу ФСТЭК № 21);
- автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП согласно приказу ФСТЭК № 31).
Казалось бы, все просто, смотрим входит ли система, подлежащая аттестации по требованиям безопасности, в данные списки и если нет, то проводим аттестацию как ранее.
Ну, не совсем так. Если написать письмо в регулятор и спросить требуется ли проводить аттестацию по требованиям безопасности для чего-то не входящего в данный список – Вы получите ответ, что необходимо делать по-новому.
Организация работ по аттестации объектов информатизации
В процессе аттестационных мероприятий объектов информатизации определены следующие роли:
- владелец ОИ;
- орган по аттестации;
- аттестационная комиссия;
- ФСТЭК России.
Аттестационные мероприятия могут проводить Компании, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России, а также владельцы объектов, которые фактически выполняют требования к лицензиатам и проинформировали ФСТЭК России о принятом решении.
Возможность, которую предоставили владельцам достаточно интересная, время подскажет сколько организаций захотят ею воспользоваться. На наш взгляд должно быть разделение работ на создание и модернизацию самой системы, системы обеспечения информационной безопасности и сами аттестационные мероприятия и это учтено:
- определен минимальный состав аттестационной комиссии органа по аттестации:
- руководитель комиссии
- два компетентных эксперта.
- появилось прямое требование о дистанцировании, изоляции членов комиссии от влияния владельца аттестуемого ОИ.
- срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.
Проведение работ по аттестации объектов информатизации
Далее проще с точки зрения документации, но не реальности жизни, которая сформировалась годами.
Проведение работ можно разделить на стадии:
- Сбор и анализ информации об объекте информатизации.
Владелец объекта предоставляет бумажные иди электронные версии следующих документов:
- технический паспорт
- акт классификации
- модель угроз безопасности информации
- техническое задание на создание (развитие, модернизацию)
- проектную документацию
- эксплуатационную документацию
- организационно-распорядительные документы
- отчет по результатам анализа уязвимостей
- Разработка Программы и методики аттестационных испытаний объекта информатизации
На данном этапе исполнитель разрабатывает документ Программа и методики аттестационных испытаний объекта информатизации, согласует его с Заказчиком и утверждает.
Основное отличие, на которое следует обратить внимание, заключается в перечислении актуальных угроз безопасности информации. Ранее давать ссылку на Модель угроз или на сами угрозы не требовалось.
Ранее аттестационные мероприятия выполнялись параллельно с разработкой всей документации и внедрением средств защиты информации. Теперь необходимо сначала выполнить весь объем работ по созданию\модернизации и внедрению системы или средств защиты информации, а потом только приступать к аттестации.
Безусловно, на бумаге звучит отлично и правильно, но реальности последних лет наших тендеров такова, что требуют от исполнителя умения распараллеливать процессы работ и тесного общения команд, чтобы проводить обследование, параллельно разрабатывать рекомендации по настройке средств защиты и документировать результаты проектирования по результатам внедрения. Прошу прощения за каламбур, но именно так выполняются работы.
Стоит также отметить, что из рассмотрения выпала оценка эффективности защиты (защищенности) информации от утечки по техническим каналам. Теперь данное мероприятие актуально только для защищаемых помещений, а значит сократился рынок использования генераторов шума, но мы не расстраиваемся и будем периодически включать наш.
- Аттестационные испытания объектов информатизации
На данном этапе исполнителем проводятся все перечисленные оценки и проверки, описанные в разделе.
Стоит отдельно отметить, что по результатам аттестационных испытаний Лицензиат оформляет заключение по результатам аттестационных испытаний объекта информатизации. Данное Заключение подписывает руководитель и эксперты.
После выполнения данных мероприятий оформляются протоколы аттестационных испытаний объекта информатизации. Процедура утверждения протоколов – аналогична Заключению.
В течении 5 дней после утверждения данных документов Лицензиат должен направить аттестационную документацию Заказчику работ.
Дальше пойдет речь о работах, которые никто и никогда не оценивал раньше, а следовательно, ресурсов на их реализацию у Лицензиата попросту нет или они будут вести проект в убыток. Если в ходе работ были выявлены недостатки, то Заказчик может их устранить, а лицензиату повторно нужно проверить качество их устранения. Представьте территориально-распределенную систему с сотней или больше объектов. Вы их объехали и выявили недостатки, обсудили с Заказчиком способы их устранения и потом повторно проверили правильно ли их устранили.
В пункте 24 закрепили возможность за заказчиком работ обжалования решения Лицензиата. На это отведено 5 рабочих дней.
Взаимодействие с регулятором
Самый интересный раздел в данном документе посвящен контролю ФСТЭК России за приводящимися аттестациями по всей России. Наверное, было бы уместно создать ГИС Аттестация объектов информатизации и предоставить в нее доступ лицензиатам для возможности ввода данных, но мы не ищем легких путей, поэтому отставим чай в сторону и смотрим.
Лицензиат в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
- а) аттестата соответствия объекта информатизации;
- б) технического паспорта на объект информатизации;
- в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
- г) программы и методик аттестационных испытаний объекта информатизации;
- д) заключения и протоколов.
Документы Технический паспорт информационной (автоматизированной) системы, АКТ классификации информационной (автоматизированной) системы лицензиат должен передать те, которые получил на этапе Сбор и анализ информации об объекте информатизации.
Полученные сведения работники ФСТЭК России вносят в реестр аттестованных объектов информатизации.
Казалось бы, все просто нужно взять результаты работ и в электронном виде передать. Правда жизни на данный момент такова, что мы сканируем получившиеся документы, записываем на флешку или CD, делаем ряд сопроводительных писем, идем на почту и направляем письмо. Вот они безопасные коммуникации современного мира.
Регулятор также планирует выполнять контрольные мероприятия за обеспечением безопасного функционирования аттестованных объектов. С этой целью после внесения в реестр аттестованных ОИ специалисты выполняют экспертно-документальную оценку документов, представленных Лицензиатом.
Заявляется, что аттестат соответствия объектов информатизации будет выдаваться на весь срок эксплуатации, но периодический контроль аттестованных систем должен проводиться не реже 1 раза в два года. Полученные материалы по результатам периодического контроля направляются владельцем во ФСТЭК России самостоятельно.
