Аттестация соответствия требованиям безопасности информации
Проблема защиты информации — одна из главных на повестке дня в современном мире. У нас в стране есть законы, которые определили порядок оценки объектов на предмет защищенности информации, которой они располагают. Расскажу, кто и как проводит проверку.
Что такое аттестация соответствия требованиям безопасности информации
Это единая организационно-техническая процедура, по итогу проведения которой установлено, что объект информатизации (ОИ) соответствует/не соответствует требованиям Закона о защите информации.
Объект информатизации — это:
- комплекс информационных ресурсов, средств и систем обработки информации, которые используют в соответствии с заданными методами поиска, сбора, хранения, обработки, распространения информации;
- средства их обеспечения, помещений или объектов (зданий, технических средств), в которых средства и системы установлены (п. 3.1 ГОСТ Р 51275-2006, п. 2 ст. 2 ФЗ № 149-ФЗ от 27.07.2006).
Если говорить простыми словами, то объект информатизации — это оборудование (в т.ч. компьютер) с установленным на ним программным обеспечением, с помощью которого обрабатываются те или иные данные ограниченного доступа, и помещения, в которых всё это находится.
По итогу мероприятия выдадут аттестат установленной формы о том, что в отношении объекта информатизации соблюдены требования по защите информации (п. 22 Приказа ФСТЭК России № 77 от 29.04.2021). Срок действия документа равен периоду эксплуатации ОИ.
Бесплатно скачать бланк или образец этого документа в КонсультантПлюс! Скачать бесплатно
Объекты аттестации соответствия требованиям безопасности информации
Проверку защищенности данных проводят на одних ОИ в силу закона, на других — по решению их владельца.
В силу закона проверяют:
- информационные системы (в т.ч. персональные данные) — государственные и муниципальные;
- информационные системы (ИС), которые используют оборонные предприятия;
- помещения для секретных переговоров.
По решению хозяина проверяют:
- значимые объекты критической информационной инфраструктуры РФ. Этот статус присваивают в порядке, который установлен ФЗ № 187-ФЗ от 26.07.2017;
- ИС персданных, которые не относятся к государственным и муниципальным системам. В моей ресурсоснабжающей компании, которая обрабатывает личные сведения работников в масштабах субъекта РФ, проводилась год назад такая аттестация. Прошли ее успешно;
- автоматизированные системы управления производственными и технологическими процессами на критически важных и потенциально опасных объектах, на тех, которые угрожают жизни и здоровью людей, опасны для природы.
Кто проводит аттестацию соответствия требованиям безопасности информации
Процедуру реализуют:
- органы госвласти, субъекта РФ, МСУ в отношении своих объектов информатизации. Аттестацию проводят работники, которые отвечают за защиту данных. До начала мероприятия извещают федслужбу по техническому и экспортному контролю (ФСТЭК). Ресурсы, которые для этого нужны, указаны в п. 6 приказа № 77 от 29.04.2021;
- компании, которые владеют объектами информатизации или эксплуатируют их, те, кто заключил соглашение на их создание. Для аттестации привлекают компанию с лицензией на проведение работ по техзащите конфиденциальной информации. Лицензию выдает ФСТЭК.
Как проходит аттестация соответствия требованиям безопасности информации
Мероприятие организуют на стадии создания, модернизации или эксплуатации объекта информатизации. Ее длительность составляет не более четырех месяцев. В этот период:
- изучают документы (их перечень указан в п. 11 приказа № 77 от 29.04.2021);
- проводят аттестационные испытания (программу и методику испытаний предварительно согласуют с владельцем объекта). После их завершения составят заключение, а в ряде случаев и протоколы. Эти документы утвердят и направят заинтересованному лицу в течение 5 рабочих дней.
Если при испытаниях обнаружены недостатки:
- устранимые, их исправляют в период аттестации. Заключение готовят повторно. В нем прописывают о допустимости выдачи аттестата соответствия;
- неустранимые в период мероприятия. В этом случае аттестацию завершат без выдачи документа о соответствии.
Заинтересованное лицо, при несогласии с выводами и заключениями, подает в ФСТЭК возражения. На это есть пять дней со дня получения оспариваемых документов. ФСТЭК в срок до 10 календарных дней изучит возражения. Последствия такие:
- направит в орган по аттестации извещение об устранении недостатков (если доводы жалобы подтвердились) и выдачи документа о соответствии;
- откажет в получении документа о соответствии (если возражения необоснованны).
Часто задаваемые вопросы по теме «Аттестация объектов информатизации»
-
Что такое проверка соответствия требованиям безопасности информации?
Это процедура, когда выясняют, что объект информатизации соответствует требованиям по защите информации.
-
Что проверяют на предмет соблюдения требованиям безопасности информации?
Информационные системы (в т.ч. персональные данные. и те, что используют оборонные предприятия), помещения для конфиденциальных переговоров, иные объекты по решению собственника.
-
Кто проводит аттестацию объектов информатизации?
Орган по аттестации на основании лицензии, работники госорганов, органов МСУ в отношении своих объектов при наличии соответствующих ресурсов.
-
В какой срок проведут мероприятия по соответствию объектов информатизации?
В течение четырех месяцев.