0

Аттестация соответствия требованиям безопасности информации

Охрана труда Обучение и переподготовка

Проблема защиты информации — одна из главных на повестке дня в современном мире. У нас в стране есть законы, которые определили порядок оценки объектов на предмет защищенности информации, которой они располагают. Расскажу, кто и как проводит проверку.

Что такое аттестация соответствия требованиям безопасности информации

Это единая организационно-техническая процедура, по итогу проведения которой установлено, что объект информатизации (ОИ) соответствует/не соответствует требованиям Закона о защите информации.

ВАЖНО!

Объект информатизации — это:

  • комплекс информационных ресурсов, средств и систем обработки информации, которые используют в соответствии с заданными методами поиска, сбора, хранения, обработки, распространения информации;
  • средства их обеспечения, помещений или объектов (зданий, технических средств), в которых средства и системы установлены (п. 3.1 ГОСТ Р 51275-2006, п. 2 ст. 2 ФЗ № 149-ФЗ от 27.07.2006).

Если говорить простыми словами, то объект информатизации — это оборудование (в т.ч. компьютер) с установленным на ним программным обеспечением, с помощью которого обрабатываются те или иные данные ограниченного доступа, и помещения, в которых всё это находится.

Вас может заинтересовать: как вести секретное делопроизводство

По итогу мероприятия выдадут аттестат установленной формы о том, что в отношении объекта информатизации соблюдены требования по защите информации (п. 22 Приказа ФСТЭК России № 77 от 29.04.2021). Срок действия документа равен периоду эксплуатации ОИ.

Бесплатно скачать бланк или образец этого документа в КонсультантПлюс! Скачать бесплатно

Объекты аттестации соответствия требованиям безопасности информации

Проверку защищенности данных проводят на одних ОИ в силу закона, на других — по решению их владельца.

В силу закона проверяют:

  • информационные системы (в т.ч. персональные данные) — государственные и муниципальные;
  • информационные системы (ИС), которые используют оборонные предприятия;
  • помещения для секретных переговоров.

По решению хозяина проверяют:

  • значимые объекты критической информационной инфраструктуры РФ. Этот статус присваивают в порядке, который установлен ФЗ № 187-ФЗ от 26.07.2017;
  • ИС персданных, которые не относятся к государственным и муниципальным системам. В моей ресурсоснабжающей компании, которая обрабатывает личные сведения работников в масштабах субъекта РФ, проводилась год назад такая аттестация. Прошли ее успешно;
  • автоматизированные системы управления производственными и технологическими процессами на критически важных и потенциально опасных объектах, на тех, которые угрожают жизни и здоровью людей, опасны для природы.

Кто проводит аттестацию соответствия требованиям безопасности информации

Процедуру реализуют:

  • органы госвласти, субъекта РФ, МСУ в отношении своих объектов информатизации. Аттестацию проводят работники, которые отвечают за защиту данных. До начала мероприятия извещают федслужбу по техническому и экспортному контролю (ФСТЭК). Ресурсы, которые для этого нужны, указаны в п. 6 приказа № 77 от 29.04.2021;
  • компании, которые владеют объектами информатизации или эксплуатируют их, те, кто заключил соглашение на их создание. Для аттестации привлекают компанию с лицензией на проведение работ по техзащите конфиденциальной информации. Лицензию выдает ФСТЭК.

Как проходит аттестация соответствия требованиям безопасности информации

Мероприятие организуют на стадии создания, модернизации или эксплуатации объекта информатизации. Ее длительность составляет не более четырех месяцев. В этот период:

  • изучают документы (их перечень указан в п. 11 приказа № 77 от 29.04.2021);
  • проводят аттестационные испытания (программу и методику испытаний предварительно согласуют с владельцем объекта). После их завершения составят заключение, а в ряде случаев и протоколы. Эти документы утвердят и направят заинтересованному лицу в течение 5 рабочих дней.

Если при испытаниях обнаружены недостатки:

  • устранимые, их исправляют в период аттестации. Заключение готовят повторно. В нем прописывают о допустимости выдачи аттестата соответствия;
  • неустранимые в период мероприятия. В этом случае аттестацию завершат без выдачи документа о соответствии.

Заинтересованное лицо, при несогласии с выводами и заключениями, подает в ФСТЭК возражения. На это есть пять дней со дня получения оспариваемых документов. ФСТЭК в срок до 10 календарных дней изучит возражения. Последствия такие:

  • направит в орган по аттестации извещение об устранении недостатков (если доводы жалобы подтвердились) и выдачи документа о соответствии;
  • откажет в получении документа о соответствии (если возражения необоснованны).

Часто задаваемые вопросы по теме «Аттестация объектов информатизации»

Комментарии
  • 2024-11-27 14:39:51
    ФСТЭК России (или территориальный орган) в течение 3 рабочих дней со дня получения от органа по аттестации информации и документов вносит сведения об аттестованном объекте информатизации в реестр, который уполномочена вести.
Князева Жанна
Автор: Юрист Князева Жанна

Практикующий юрист с 2006 года. Работала в сфере банкротства, корпоративного права, пищевого производства. С 2018 г. ведущий юрисконсульт ресурсоснабжающей организации.

27 Публикаций
313 Дней на портале
57 Комментариев
Климашевская Алена
Автор месяца Климашевская Алена
Похожие статьи

Для осмотра и защиты объектов транспортной инфраструктуры необходимы подготовленные сотрудники. Чтобы проверить соответствие персонала установленному уровню, каждому работнику необходимо пройти обязательную аттестацию.

Читать дальше

По закону каждый работодатель обязан обеспечить обучение своих сотрудников в области охраны труда. Для этого существует установленный порядок, который необходимо соблюдать. Некоторых сотрудников необходимо направить в специализированный учебный центр, в то время как других можно обучить непосредственно на предприятии. Разбираемся, у кого есть обязанность обучаться ОТ и что делать, если сотрудник это обучение не прошел.

Читать дальше

Ситуации в жизни складываются разные, и работодатель должен быть готов к оказанию первой помощи работникам, в том числе подготовить медпост с необходимыми медицинскими изделиями и инструкцией. Разбираемся, как правильно оказать первую медицинскую помощь пострадавшему.

Читать дальше
Вам может быть интересно

Вопросы кадровому совету

Обсудить в соцсетях

+36804
Елизавета Климентова
Елизавета Климентова
Елизавета Климентова
18:09
Так в 2017 могли бы поставить что в районе состоит на учете, зачем в 17 году ставить печать что поставлен на учет в 13 году в администрации???
Елизавета Климентова
Елизавета Климентова
Елизавета Климентова
18:10
Ммм вот еще мнение.. Значит нет единого норматива.. Каждый вк сам строит свои порядки
Эля Гатиятуллина
Эля Гатиятуллина
Эля Гатиятуллина
18:16
Хотеть он может много чего? А чем он это обосновывает? У вас отделения? В одном отделении одна старшая. Он хочет чтобы они были заменяемы или как? Не понимаю его логики
Анна Федотова
Анна Федотова
Анна Федотова
18:19
5дневка
Юлия Бережная
Юлия Бережная
Юлия Бережная
19:43
Спасибо большое, да я статью прочитала и отчёт отправила
Присоединиться к беседе