Аттестация объектов информатизации¶
- Содержание
- Аттестация объектов информатизации
- Введение
- Нормативная база аттестации
- Кто проводит аттестацию
- Объекты, подлежащие обязательной аттестации
- Порядок проведения аттестации
- Типичные несоответствия, выявляемые при аттестации
- Сквозной пример: аттестация ИСПДн кадровой службы
- Аттестация vs самооценка vs аудит
- Что дальше
- Список литературы и нормативных актов
Введение¶
К этой лекции мы построили полную систему защиты объекта информатизации: определили объект и активы, разработали модель угроз и нарушителя, реализовали технические и организационные меры. Возникает вопрос: как подтвердить, что всё это действительно работает и соответствует требованиям регуляторов?
Ответ — аттестация объекта информатизации: официальная процедура проверки соответствия системы защиты установленным требованиям, завершающаяся выдачей аттестата соответствия.
Без аттестата организация не вправе обрабатывать информацию ограниченного доступа в государственных информационных системах и значимых объектах КИИ. Для ИСПДн аттестация не обязательна, но является наиболее убедительным способом подтвердить выполнение требований Приказа №21 при проверке Роскомнадзора.
Аттестация объекта информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа (аттестата соответствия) подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
(ГОСТ Р 57580.2-2018)
Нормативная база аттестации¶
| Документ | Содержание |
|---|---|
| Приказ ФСТЭК №17 (до 01.03.2026) / Приказ №117 (с 01.03.2026) | Аттестация ГИС — обязательное требование; порядок определяется ФСТЭК |
| Приказ ФСТЭК №239 | Аттестация значимых объектов КИИ — обязательное требование |
| Приказ ФСТЭК №77 от 29.03.2019 | Порядок проведения аттестации; требования к испытательным лабораториям |
| ГОСТ Р 57580.2-2018 | Методика оценки соответствия для финансовых организаций (используется как методический ориентир) |
| Положение об аттестации (1995, Гостехкомиссия) | Базовый документ; частично действует для систем, не охватываемых новыми приказами |
Ключевое изменение 2025–2026 годов: Приказ ФСТЭК №117 от 11.04.2025, вступивший в силу 01.03.2026, ввёл обновлённый порядок аттестации ГИС. Основные изменения: новая классификация (К1–К3 вместо 1К–3К), обновлённый базовый набор мер, скорректированные требования к испытательным лабораториям. При работе с ГИС необходимо руководствоваться именно Приказом №117.
Кто проводит аттестацию¶
Аттестацию проводят органы по аттестации — организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с правом проведения аттестации.
| Участник | Роль |
|---|---|
| Орган по аттестации | Организация с лицензией ФСТЭК; проводит испытания и выдаёт аттестат |
| Испытательная лаборатория | Может совмещаться с органом по аттестации; проводит технические испытания |
| Заявитель (оператор) | Организация — владелец объекта информатизации; предоставляет объект и документацию |
| ФСТЭК России | Регулятор; ведёт реестр выданных аттестатов; проводит проверки |
Важно: оператор не может самостоятельно аттестовать собственный объект. Аттестация всегда проводится независимым органом. Это принципиальное отличие от самооценки (самодекларирования), которое применяется, например, для ИСПДн при выборе оператором мер самостоятельно без привлечения лицензиата.
Объекты, подлежащие обязательной аттестации¶
| Тип объекта | Основание | Срок действия аттестата |
|---|---|---|
| ГИС класса К1, К2, К3 | Приказ ФСТЭК №117 | 3 года |
| Значимые объекты КИИ (категории 1, 2, 3) | Приказ ФСТЭК №239 | 3 года |
| Объекты, обрабатывающие гостайну | Закон РФ «О государственной тайне» | 5 лет |
| ИСПДн (добровольно) | Приказ ФСТЭК №21 | 3 года (по аналогии) |
Порядок проведения аттестации¶
Аттестация проводится в соответствии с Приказом ФСТЭК №77 и включает несколько последовательных этапов.
Этап 1. Подготовка к аттестации¶
Со стороны оператора:
- Разработка и утверждение полного комплекта организационно-распорядительной документации (Лекция 10).
- Разработка и утверждение модели угроз (Лекция 5).
- Реализация всех требуемых технических мер защиты (Лекции 6–9).
- Подготовка технического паспорта объекта информатизации (Лекция 1).
- Подготовка проектной документации на систему защиты (технического задания, технического проекта).
Со стороны органа по аттестации:
- Заключение договора с заявителем.
- Изучение представленной документации.
- Составление программы и методики испытаний.
Этап 2. Аттестационные испытания¶
Испытания — центральный этап аттестации. Орган по аттестации проверяет соответствие объекта требованиям нормативных документов по трём направлениям.
2.1. Анализ документации.
Проверяется наличие и качество:- Модели угроз и модели нарушителя.
- Технического паспорта.
- Организационно-распорядительной документации (политики, регламенты, инструкции).
- Документации на СЗИ (сертификаты соответствия ФСТЭК, формуляры).
- Актов классификации информационной системы.
2.2. Анализ технических мер защиты.
Проверяется:- Соответствие применённых СЗИ требованиям по классу (уровню доверия).
- Правильность настройки СЗИ (конфигурационный анализ).
- Реализация всех мер из базового набора для данного класса защищённости.
Испытатели проверяют каждую меру из Приказа №21/117/239: реализована ли она, корректно ли настроена, подтверждена ли документально.
2.3. Инструментальный контроль (испытания на проникновение).
Практическая проверка эффективности мер защиты:
- Сканирование уязвимостей с помощью сертифицированных сканеров (XSpider, MaxPatrol, Сканер-ВС).
- Тестирование механизмов аутентификации и разграничения доступа.
- Проверка корректности настройки межсетевых экранов и IDS.
- Анализ защищённости каналов передачи данных.
- Проверка функционирования средств регистрации и аудита.
Важное ограничение: инструментальный контроль при аттестации — это не полноценный пентест. Это проверка соответствия конкретным требованиям, а не поиск всех возможных уязвимостей. Для глубокой проверки защищённости рекомендуется отдельное тестирование на проникновение до аттестации — чтобы устранить уязвимости до прихода аттестационной комиссии. Подробнее о пентестах — в Лекции 5 курса аудита.
Этап 3. Оформление результатов¶
По итогам испытаний орган по аттестации оформляет:
| Документ | Содержание |
|---|---|
| Протоколы испытаний | Результаты каждого вида испытаний с описанием методики и выводами |
| Заключение по результатам аттестации | Общий вывод о соответствии / несоответствии объекта требованиям |
| Аттестат соответствия | Официальный документ о соответствии; содержит перечень требований, дату, срок действия |
| Техническое задание на устранение недостатков | При выявлении несоответствий — перечень замечаний и сроки устранения |
Этап 4. Выдача аттестата¶
Аттестат соответствия выдаётся на срок до 3 лет при условии, что в ходе испытаний не выявлено несоответствий, или выявленные несоответствия устранены.
Аттестат содержит:- Наименование и адрес объекта.
- Класс (уровень) защищённости.
- Перечень нормативных документов, требованиям которых соответствует объект.
- Срок действия.
- Подпись руководителя органа по аттестации.
Аттестат регистрируется в реестре ФСТЭК России.
Этап 5. Периодический контроль¶
Наличие аттестата не означает, что объект защищён на весь срок его действия. Приказ №77 обязывает оператора:
- Уведомлять орган по аттестации о существенных изменениях состава объекта.
- Проводить периодический (как правило, ежегодный) контроль соответствия.
- Инициировать повторную аттестацию при существенных изменениях или истечении срока аттестата.
Основания для досрочного прекращения действия аттестата:
- Существенное изменение состава объекта (новое ПО, изменение архитектуры сети).
- Выявление критической уязвимости в применяемых СЗИ.
- Инцидент ИБ, свидетельствующий о компрометации системы защиты.
- Отзыв сертификата соответствия на применяемое СЗИ.
Типичные несоответствия, выявляемые при аттестации¶
По практике аттестационных испытаний наиболее часто выявляются следующие несоответствия:
В части документации:- Устаревшая или не утверждённая модель угроз.
- Отсутствие матрицы разграничения доступа.
- Технический паспорт не соответствует реальному составу объекта.
- Инструкции не доведены до персонала под роспись.
- Применение несертифицированных СЗИ или СЗИ с истёкшим сертификатом.
- Несоответствие класса МЭ требуемому (например, МЭ 4-го класса вместо 2-го).
- Несоответствие класса СКЗИ уровню нарушителя.
- Отключённые или некорректно настроенные механизмы аудита.
- Пароли, не соответствующие требованиям политики.
- Администратор безопасности совмещает функции системного администратора.
- Учётные записи уволенных сотрудников не заблокированы.
- Журналы аудита хранятся менее установленного срока.
- Персонал не прошёл обучение по ИБ.
Сквозной пример: аттестация ИСПДн кадровой службы¶
Вернёмся к нашему сквозному примеру и определим, что необходимо для успешного прохождения аттестации.
Исходные данные:- Объект: ИСПДн кадровой службы, УЗ3 (определено в Лекции 1).
- Актуальные нарушители: Н1–Н2 (Лекция 4).
- Требуемые СКЗИ: класс КС1–КС3 (Лекция 7).
- Требуемый МЭ: Тип А, класс 3 (Лекция 8).
Чек-лист готовности к аттестации:
| Область | Требование | Статус в примере |
|---|---|---|
| Документация | Модель угроз утверждена | ✓ Разработана в Лекции 5 |
| Документация | Технический паспорт актуален | ✓ Составлен в Лекции 1 |
| Документация | Политика ИБ и ОРД утверждены | ✓ Разработаны в Лекции 10 |
| Документация | Матрица разграничения доступа | ✓ Составлена в Лекции 10 |
| Технические меры | МЭ сертифицирован ФСТЭК, класс ≥ 3 | ✓ UserGate, Лекция 8 |
| Технические меры | СЗИ от НСД сертифицировано | ✓ Secret Net Studio, Лекция 6 |
| Технические меры | СКЗИ сертифицировано ФСБ, класс КС1 | ✓ КриптоПро CSP, Лекция 7 |
| Технические меры | Аудит событий настроен и ведётся | ✓ MaxPatrol SIEM, Лекция 6 |
| Технические меры | Контроль съёмных носителей | ✓ DeviceLock DLP, Лекция 9 |
| Организационные меры | Персонал обучен, инструктажи проведены | ✓ Лекция 10 |
| Организационные меры | Учётные записи уволенных заблокированы | ✓ Процедура увольнения, Лекция 10 |
| Физическая защита | СКУД на серверную, видеонаблюдение | ✓ Лекция 9 |
Аттестация vs самооценка vs аудит¶
Важно понимать различие между тремя подходами к оценке соответствия:
| Параметр | Аттестация | Самооценка | Аудит ИБ |
|---|---|---|---|
| Кто проводит | Независимый орган (лицензиат ФСТЭК) | Оператор самостоятельно | Независимая организация (лицензиат или нет) |
| Юридический статус результата | Официальный документ (аттестат) | Внутренний документ | Отчёт (юридической силы нет) |
| Обязательность | Обязательна для ГИС, КИИ | Допустима для ИСПДн | Добровольно |
| Глубина проверки | По требованиям ФСТЭК | По усмотрению оператора | По согласованной методике |
| Стоимость | Высокая | Минимальная | Средняя |
| Применимость | Подтверждение соответствия регуляторным требованиям | Внутренняя проверка готовности | Выявление уязвимостей и несоответствий |
Рекомендуемый подход: аудит ИБ → устранение выявленных несоответствий → аттестация. Проведение аудита до аттестации позволяет выявить и устранить проблемы «в щадящем режиме» — без юридических последствий несоответствия. Подробнее об аудите ИБ — в курсе «Аудит ИБ».
Что дальше¶
- Следующая тема: 12. Комплексная система защиты: проектирование и оценка эффективности — итоговая лекция, объединяющая все компоненты курса
- Связь с аудитом: 13. Требования ФСТЭК и 15. Практика аудита — аудит как инструмент подготовки к аттестации
- Связь с менеджментом: 6. Создание СУИБ — СУИБ и аттестация: два разных режима подтверждения соответствия
Список литературы и нормативных актов¶
- Приказ ФСТЭК России №77 от 29.03.2019 — порядок проведения аттестации объектов информатизации
- Приказ ФСТЭК России №117 от 11.04.2025 — требования к защите ГИС; порядок аттестации с 01.03.2026
- Приказ ФСТЭК России №239 от 25.12.2017 — аттестация значимых объектов КИИ
- Приказ ФСТЭК России №21 от 18.02.2013 — меры защиты ИСПДн; аттестация как форма подтверждения соответствия
- Положение по аттестации объектов информатизации (Гостехкомиссия, 1995) — базовый документ, действует в части, не противоречащей новым НПА
- ГОСТ Р 57580.2-2018 — методология оценки соответствия для финансовых организаций; применяется как методический ориентир
- 149-ФЗ «Об информации, информационных технологиях и о защите информации» — ст. 16: требования к защите информации в ГИС
- 187-ФЗ «О безопасности КИИ» — ст. 9: обязанности субъектов КИИ, включая аттестацию значимых объектов
Обновлено С. Антошкин около 6 часа назад · 1 изменени(я, ий)