10 августа 2021 года был зарегистрирован Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.
ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ
Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:
Мы проанализировали Приказ и думаем, что документ подразумевает усиление контроля со стороны ФСТЭК России по отношению как к аттестующим органам, так и к самим объектам информатизации».
Евгения Колодина: «Без сомнений, новые правила, которые введены в действие данным документом, в целом повлияют на рынок и позволят сократить количество недобросовестных аттестационных центров, которые предоставляют услуги низкого качества.
Теперь регулятор может без дополнительной проверки приостановить действие выданного аттестата соответствия в случае выявления ошибок при выдаче аттестата или неподтверждения проведения необходимых контрольных испытаний».
ОБЛАСТЬ ПРИМЕНЕНИЯ
Алексей Велякин: «В пункте 3 Приказа указано, что его действие распространяется на проведение аттестационных мероприятий:
ПОРЯДОК АТТЕСТАЦИИ
Алексей Велякин: «Согласно новому документу, процесс аттестации можно разделить на шесть этапов:
Евгения Колодина: «В данном приказе отмечено: аттестационные испытания могут завершаться без выдачи аттестата соответствия в том случае, если на объекте информатизации выявлены существенные недостатки в области защиты информации, которые невозможно устранить в рамках проведения аттестационных мероприятий. В такой ситуации выдаётся отрицательное заключение и работы прекращаются. Если владелец объекта информатизации не согласен с выданным заключением, он может направить претензию во ФСТЭК России. Далее регулятор рассматривает жалобу и делает вывод, легитимно ли решение органа по аттестации».
Алексей Велякин: «Стоит отметить: пакет документов, которые владельцу объекта информатизации необходимо предоставить для проведения аттестационных работ, соответствует уже бывшим в действии стандартам в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации” (утверждено председателем Гостехкомиссии России 25 ноября 1994 года) и “ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ, 2012”.
Перечень документов следующий:
В этом ключе новый приказ ФСТЭК России №77 не отменяет действующие документы, скорее выступает дополнением».
ГЛАВНЫЕ НОВОВВЕДЕНИЯ
Алексей Велякин: «Мы отмечаем несколько принципиальных пунктов, которые могут оказать сильное влияние на рынок в целом.
Самое первое – аттестат соответствия теперь выдаётся на весь срок эксплуатации объекта информатизации. И если для государственных информационных систем эта норма не нова, то теперь новый документ вводит её и для защищаемых помещений.
Далее стоит обратить внимание на то, что во ФСТЭК России теперь ведётся реестр аттестованных объектов информатизации. В том числе в него вносятся сведения обо всех аттестованных объектах информатизации, которые попадают под действие данного Приказа, с указанием действующего статуса.
ФСТЭК России особое внимание уделяет контролю аттестованных объектов информатизации: теперь органы по аттестации отчитываются регулятору по каждому аттестованному ОИ в течение 5 рабочих дней. В свою очередь, владельцы объектов информатизации каждые два года обязаны направлять информацию о проведённых контролях эффективности. Это значит, что теперь ФСТЭК России получает данные по каждому аттестованному объекту информатизации и контролирует его.
Наконец, одно из самых главных изменений, продиктованных новым Приказом, заключается в том, что ФСТЭК России может приостанавливать и даже отменять действие аттестатов на основании экспертной проверки предоставленных документов или факта непредоставления необходимой документации.
Многие из эксплуатантов объектов информатизации являются лицензиатами ФСТЭК России по разным направлениям деятельности: монтаж или разработка средств защиты информации, аттестация, проведение контролей и так далее. Чтобы соответствовать требованиям положений по лицензированию, у таких организаций должны быть защищаемые помещения для ведения конфиденциальных переговоров.
Если компания-лицензиат не предоставляет данные или проводимая аттестация не соответствует требованиям регулятора, что приводит к приостановке аттестата соответствия, то ФСТЭК России, опираясь на актуальные данные из реестра, может санкционировать более тщательную и детальную проверку на соответствие лицензионным требованиям.
К тому же теперь каждые два года объект информатизации обязан направлять отчёт во ФСТЭК России об осуществлении периодического контроля».
ЧТО ПРЕДЛАГАЕТ ЦИБИТ?
Евгения Колодина: «ЦИБИТ внимательно следит за всеми нововведениями. Мы предлагаем только актуальные услуги, отвечающие запросам времени. Для удобства клиентов мы сформировали выгодное спецпредложение, учитывающее новые особенности в порядке организации и проведения аттестации объектов информатизации, продиктованные Приказом ФСТЭК России № 77.
Нами разработана многоступенчатая система скидок* в рамках комплексной услуги по сопровождению объектов информатизации, включающей все необходимые плановые мероприятия: аттестацию, ежегодные контроли эффективности, постоянную поддержку и консультирование.
ЦИБИТ предлагает заключить долгосрочный договор с фиксированными ценами сразу на несколько лет, в рамках которого специалисты проведут аттестацию и будут каждый год проводить периодический контроль объекта информатизации по выгодной цене. Кроме того, в случае заключения такого договора каждый 4-й периодический контроль эксперты Департамента аттестационных работ ГК “ЦИБИТ” сделают бесплатно».
*Предложение действует до 31.12.2021.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных