Разбираемся в Приказе ФСТЭК России № 77. О новом порядке аттестации объектов информатизации

BIS Journal №4(43)/2021

28 декабря, 2021

Разбираемся в Приказе ФСТЭК России № 77. О новом порядке аттестации объектов информатизации

10 августа 2021 года был зарегистрирован Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». 

Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.

 

ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ

Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:

  • аттестат соответствия выдаётся бессрочно (ранее документ выдавался на 3 года);
  • каждые 2 года юридическое лицо обязано подтверждать факт проведённых периодических контролей аттестованных объектов информатизации;
  • сохраняются требования по проведению ежегодного периодического контроля;
  • ФСТЭК России ведётся реестр аттестованных объектов информатизации, в котором отражается статус аттестата соответствия;
  • органы по аттестации обязаны в пятидневный после подписания аттестатов соответствия срок высылать их копии во ФСТЭК России для формирования данного реестра; 
  • все аттестаты, выданные до 01.09.21, действуют согласно прежним нормам и имеют срок действия 3 года.

Мы проанализировали Приказ и думаем, что документ подразумевает усиление контроля со стороны ФСТЭК России по отношению как к аттестующим органам, так и к самим объектам информатизации».

 

Евгения Колодина: «Без сомнений, новые правила, которые введены в действие данным документом, в целом повлияют на рынок и позволят сократить количество недобросовестных аттестационных центров, которые предоставляют услуги низкого качества. 

Теперь регулятор может без дополнительной проверки приостановить действие выданного аттестата соответствия в случае выявления ошибок при выдаче аттестата или неподтверждения проведения необходимых контрольных испытаний».

 

ОБЛАСТЬ ПРИМЕНЕНИЯ

Алексей Велякин: «В пункте 3 Приказа указано, что его действие распространяется на проведение аттестационных мероприятий:

  • государственных и муниципальных информационных систем (в том числе информационных систем персональных данных);
  • информационных систем управления производством, используемых организациями оборонно-промышленного комплекса;
  • защищаемых помещений для ведения конфиденциальных переговоров;
  • при решении проведения аттестации для значимых объектов КИИ, информационных систем персональных данных, автоматизированных систем управления производственными и технологическими процессами на критически важных объектах».

 

ПОРЯДОК АТТЕСТАЦИИ

Алексей Велякин: «Согласно новому документу, процесс аттестации можно разделить на шесть этапов:

  1. Орган по аттестации назначает аттестационную комиссию.
  2. Владелец объекта информатизации предоставляет органу по аттестации всю необходимую документацию.
  3. Аттестационная комиссия изучает документы.
  4. Разрабатывается программа и методики аттестационных испытаний, согласовывается с владельцем объекта информатизации.
  5. Проводятся аттестационные испытания.
  6. По результатам испытаний выдаётся аттестат соответствия».

 

Евгения Колодина: «В данном приказе отмечено: аттестационные испытания могут завершаться без выдачи аттестата соответствия в том случае, если на объекте информатизации выявлены существенные недостатки в области защиты информации, которые невозможно устранить в рамках проведения аттестационных мероприятий. В такой ситуации выдаётся отрицательное заключение и работы прекращаются. Если владелец объекта информатизации не согласен с выданным заключением, он может направить претензию во ФСТЭК России. Далее регулятор рассматривает жалобу и делает вывод, легитимно ли решение органа по аттестации».

Алексей Велякин: «Стоит отметить: пакет документов, которые владельцу объекта информатизации необходимо предоставить для проведения аттестационных работ, соответствует уже бывшим в действии стандартам в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации” (утверждено председателем Гостехкомиссии России 25 ноября 1994 года) и “ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ, 2012”.

Перечень документов следующий:

  • технический паспорт;
  • акт классификации информационной системы;
  • организационно-распорядительная документация;
  • при наличии: модель угроз безопасности информации, техническое задание на создание ОИ, проектная документация, эксплуатационная документация, результаты анализа уязвимостей.

В этом ключе новый приказ ФСТЭК России №77 не отменяет действующие документы, скорее выступает дополнением».

 

ГЛАВНЫЕ НОВОВВЕДЕНИЯ

Алексей Велякин: «Мы отмечаем несколько принципиальных пунктов, которые могут оказать сильное влияние на рынок в целом.

Самое первое – аттестат соответствия теперь выдаётся на весь срок эксплуатации объекта информатизации. И если для государственных информационных систем эта норма не нова, то теперь новый документ вводит её и для защищаемых помещений.

Далее стоит обратить внимание на то, что во ФСТЭК России теперь ведётся реестр аттестованных объектов информатизации. В том числе в него вносятся сведения обо всех аттестованных объектах информатизации, которые попадают под действие данного Приказа, с указанием действующего статуса.

ФСТЭК России особое внимание уделяет контролю аттестованных объектов информатизации: теперь органы по аттестации отчитываются регулятору по каждому аттестованному ОИ в течение 5 рабочих дней. В свою очередь, владельцы объектов информатизации каждые два года обязаны направлять информацию о проведённых контролях эффективности. Это значит, что теперь ФСТЭК России получает данные по каждому аттестованному объекту информатизации и контролирует его.

Наконец, одно из самых главных изменений, продиктованных новым Приказом, заключается в том, что ФСТЭК России может приостанавливать и даже отменять действие аттестатов на основании экспертной проверки предоставленных документов или факта непредоставления необходимой документации.

Многие из эксплуатантов объектов информатизации являются лицензиатами ФСТЭК России по разным направлениям деятельности: монтаж или разработка средств защиты информации, аттестация, проведение контролей и так далее. Чтобы соответствовать требованиям положений по лицензированию, у таких организаций должны быть защищаемые помещения для ведения конфиденциальных переговоров.

Если компания-лицензиат не предоставляет данные или проводимая аттестация не соответствует требованиям регулятора, что приводит к приостановке аттестата соответствия, то ФСТЭК России, опираясь на актуальные данные из реестра, может санкционировать более тщательную и детальную проверку на соответствие лицензионным требованиям.

К тому же теперь каждые два года объект информатизации обязан направлять отчёт во ФСТЭК России об осуществлении периодического контроля».

 

ЧТО ПРЕДЛАГАЕТ ЦИБИТ?

Евгения Колодина: «ЦИБИТ внимательно следит за всеми нововведениями. Мы предлагаем только актуальные услуги, отвечающие запросам времени. Для удобства клиентов мы сформировали выгодное спецпредложение, учитывающее новые особенности в порядке организации и проведения аттестации объектов информатизации, продиктованные Приказом ФСТЭК России № 77.

Нами разработана многоступенчатая система скидок* в рамках комплексной услуги по сопровождению объектов информатизации, включающей все необходимые плановые мероприятия: аттестацию, ежегодные контроли эффективности, постоянную поддержку и консультирование. 

ЦИБИТ предлагает заключить долгосрочный договор с фиксированными ценами сразу на несколько лет, в рамках которого специалисты проведут аттестацию и будут каждый год проводить периодический контроль объекта информатизации по выгодной цене. Кроме того, в случае заключения такого договора каждый 4-й периодический контроль эксперты Департамента аттестационных работ ГК “ЦИБИТ” сделают бесплатно».

 

*Предложение действует до 31.12.2021.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
17.01.2025
Минцифры бьёт по телефонному мошенничеству офлайн-практиками
17.01.2025
2024 — год Жука. Сколько заработали «белые шляпы» на поиске брешей
17.01.2025
День знаний в январе. Скамеры проникли даже в сферу «Сферума»
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных