Разбираемся в Приказе ФСТЭК России № 77. О новом порядке аттестации объектов информатизации

BIS Journal №4(43)/2021

28 декабря, 2021

Разбираемся в Приказе ФСТЭК России № 77. О новом порядке аттестации объектов информатизации

10 августа 2021 года был зарегистрирован Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». 

Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.

 

ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ

Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:

  • аттестат соответствия выдаётся бессрочно (ранее документ выдавался на 3 года);
  • каждые 2 года юридическое лицо обязано подтверждать факт проведённых периодических контролей аттестованных объектов информатизации;
  • сохраняются требования по проведению ежегодного периодического контроля;
  • ФСТЭК России ведётся реестр аттестованных объектов информатизации, в котором отражается статус аттестата соответствия;
  • органы по аттестации обязаны в пятидневный после подписания аттестатов соответствия срок высылать их копии во ФСТЭК России для формирования данного реестра; 
  • все аттестаты, выданные до 01.09.21, действуют согласно прежним нормам и имеют срок действия 3 года.

Мы проанализировали Приказ и думаем, что документ подразумевает усиление контроля со стороны ФСТЭК России по отношению как к аттестующим органам, так и к самим объектам информатизации».

 

Евгения Колодина: «Без сомнений, новые правила, которые введены в действие данным документом, в целом повлияют на рынок и позволят сократить количество недобросовестных аттестационных центров, которые предоставляют услуги низкого качества. 

Теперь регулятор может без дополнительной проверки приостановить действие выданного аттестата соответствия в случае выявления ошибок при выдаче аттестата или неподтверждения проведения необходимых контрольных испытаний».

 

ОБЛАСТЬ ПРИМЕНЕНИЯ

Алексей Велякин: «В пункте 3 Приказа указано, что его действие распространяется на проведение аттестационных мероприятий:

  • государственных и муниципальных информационных систем (в том числе информационных систем персональных данных);
  • информационных систем управления производством, используемых организациями оборонно-промышленного комплекса;
  • защищаемых помещений для ведения конфиденциальных переговоров;
  • при решении проведения аттестации для значимых объектов КИИ, информационных систем персональных данных, автоматизированных систем управления производственными и технологическими процессами на критически важных объектах».

 

ПОРЯДОК АТТЕСТАЦИИ

Алексей Велякин: «Согласно новому документу, процесс аттестации можно разделить на шесть этапов:

  1. Орган по аттестации назначает аттестационную комиссию.
  2. Владелец объекта информатизации предоставляет органу по аттестации всю необходимую документацию.
  3. Аттестационная комиссия изучает документы.
  4. Разрабатывается программа и методики аттестационных испытаний, согласовывается с владельцем объекта информатизации.
  5. Проводятся аттестационные испытания.
  6. По результатам испытаний выдаётся аттестат соответствия».

 

Евгения Колодина: «В данном приказе отмечено: аттестационные испытания могут завершаться без выдачи аттестата соответствия в том случае, если на объекте информатизации выявлены существенные недостатки в области защиты информации, которые невозможно устранить в рамках проведения аттестационных мероприятий. В такой ситуации выдаётся отрицательное заключение и работы прекращаются. Если владелец объекта информатизации не согласен с выданным заключением, он может направить претензию во ФСТЭК России. Далее регулятор рассматривает жалобу и делает вывод, легитимно ли решение органа по аттестации».

Алексей Велякин: «Стоит отметить: пакет документов, которые владельцу объекта информатизации необходимо предоставить для проведения аттестационных работ, соответствует уже бывшим в действии стандартам в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации” (утверждено председателем Гостехкомиссии России 25 ноября 1994 года) и “ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ, 2012”.

Перечень документов следующий:

  • технический паспорт;
  • акт классификации информационной системы;
  • организационно-распорядительная документация;
  • при наличии: модель угроз безопасности информации, техническое задание на создание ОИ, проектная документация, эксплуатационная документация, результаты анализа уязвимостей.

В этом ключе новый приказ ФСТЭК России №77 не отменяет действующие документы, скорее выступает дополнением».

 

ГЛАВНЫЕ НОВОВВЕДЕНИЯ

Алексей Велякин: «Мы отмечаем несколько принципиальных пунктов, которые могут оказать сильное влияние на рынок в целом.

Самое первое – аттестат соответствия теперь выдаётся на весь срок эксплуатации объекта информатизации. И если для государственных информационных систем эта норма не нова, то теперь новый документ вводит её и для защищаемых помещений.

Далее стоит обратить внимание на то, что во ФСТЭК России теперь ведётся реестр аттестованных объектов информатизации. В том числе в него вносятся сведения обо всех аттестованных объектах информатизации, которые попадают под действие данного Приказа, с указанием действующего статуса.

ФСТЭК России особое внимание уделяет контролю аттестованных объектов информатизации: теперь органы по аттестации отчитываются регулятору по каждому аттестованному ОИ в течение 5 рабочих дней. В свою очередь, владельцы объектов информатизации каждые два года обязаны направлять информацию о проведённых контролях эффективности. Это значит, что теперь ФСТЭК России получает данные по каждому аттестованному объекту информатизации и контролирует его.

Наконец, одно из самых главных изменений, продиктованных новым Приказом, заключается в том, что ФСТЭК России может приостанавливать и даже отменять действие аттестатов на основании экспертной проверки предоставленных документов или факта непредоставления необходимой документации.

Многие из эксплуатантов объектов информатизации являются лицензиатами ФСТЭК России по разным направлениям деятельности: монтаж или разработка средств защиты информации, аттестация, проведение контролей и так далее. Чтобы соответствовать требованиям положений по лицензированию, у таких организаций должны быть защищаемые помещения для ведения конфиденциальных переговоров.

Если компания-лицензиат не предоставляет данные или проводимая аттестация не соответствует требованиям регулятора, что приводит к приостановке аттестата соответствия, то ФСТЭК России, опираясь на актуальные данные из реестра, может санкционировать более тщательную и детальную проверку на соответствие лицензионным требованиям.

К тому же теперь каждые два года объект информатизации обязан направлять отчёт во ФСТЭК России об осуществлении периодического контроля».

 

ЧТО ПРЕДЛАГАЕТ ЦИБИТ?

Евгения Колодина: «ЦИБИТ внимательно следит за всеми нововведениями. Мы предлагаем только актуальные услуги, отвечающие запросам времени. Для удобства клиентов мы сформировали выгодное спецпредложение, учитывающее новые особенности в порядке организации и проведения аттестации объектов информатизации, продиктованные Приказом ФСТЭК России № 77.

Нами разработана многоступенчатая система скидок* в рамках комплексной услуги по сопровождению объектов информатизации, включающей все необходимые плановые мероприятия: аттестацию, ежегодные контроли эффективности, постоянную поддержку и консультирование. 

ЦИБИТ предлагает заключить долгосрочный договор с фиксированными ценами сразу на несколько лет, в рамках которого специалисты проведут аттестацию и будут каждый год проводить периодический контроль объекта информатизации по выгодной цене. Кроме того, в случае заключения такого договора каждый 4-й периодический контроль эксперты Департамента аттестационных работ ГК “ЦИБИТ” сделают бесплатно».

 

*Предложение действует до 31.12.2021.

Смотрите также