Требования к аттестации хостинга

С 01.09.2024 вступают изменения в ФЗ №149 (ч.5 ст. 16 ) согласно которым хостинг провайдеры должны подать заявление в Минцифру на включение в перечень провайдеров хостинга предоставляющих вычислительные мощности для государственных и муниципальных предприятий.

Для этого необходимо пройти аттестацию согласно Приказу Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 

В частности, необходимость аттестации четко предписывает Постановление правительства № 1144 от 24.08.2024, в котором говориться, что к заявлению о включении прилагаются следующие документы и сведения:

«об аттестате соответствия информационной системы, содержащем информацию о классификации информационной системы и полученном в соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации«.

 

Требования Минцифры к аттестации хостинга

Для включения сведений о провайдере хостинга в перечень необходимо подать в Минцифру России заявление о включении своей организации в упомянутый Перечень, с приложением следующих документов:

  1. Документы, подтверждающие соблюдение требований пункта 3 части 2 1-2 статьи 13 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации:

«обеспечивает реализацию требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений. Указанные требования устанавливаются федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации»

  1. Документы, подтверждающие соблюдение требований части 5 статьи 16 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации.

Требования это:

Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Приказ ФСБ России от 24 октября 2022 г. N 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»

 

Требования ФСБ к СКЗИ хостинга

Согласно доработанного проекта приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (подготовлен от 02.06.2024) «Об утверждении требований о защите информации при предоставлении вычислительных мощностей для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети Интернет...» хостинг провайдер обязан использовать сертифицированные средства криптографической защиты информации (СКЗИ), класс которых определяется моделью угроз безопасности, согласованной с ФСБ.

 

Аттестат для хостинг провайдера

Согласно требованиям Минцифры к заявлению о включении в реестр хостинг провайдеров необходимо приложить документ, подтверждающий реализацию требований по защите информации.

Таким документом является аттестат ФСТЭК России, подтверждающий соответствие:

 

Порядок аттестации хостинга?

Порядок подготовки и аттестации хостинг провайдера установлен самим 17 приказом ФСТЭК и включает следующие этапы:

  • формирование требований к защите информации;
  • разработка системы защиты информации;
  • внедрение системы защиты информации (сертифицированных средств защиты);
  • аттестационные испытания.

Далее, после аттестации системы также необходимо:

  • обеспечение защиты информации в ходе эксплуатации аттестованной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной системы.

 

Какой аттестат требуется для хостинга?

Хостинг провайдер должен иметь аттестат хотябы по 3 классу (уровню) защищенности, в соответствии с требованиями следующих нормативных документов:

Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности.

 

Документы для аттестации хостинг провайдера?

Чтобы аттестовать хостинг — сначала нужно провести подготовку аттестуемых объектов (согласно 17 приказу ФСТЭК):

1. Провести предпроектной обследование, по результатам которого оформляются:

  • Отчет об обследовании
  • Решение о необходимости создания системы защиты информации (СЗИ)
  • Модель угроз и нарушителя безопасности (ФСТЭК)
  • Акт классификации и установления уровня защищенности ИС

2. Провести техническое проектирование, по результатам которого оформляются:

Технический проект в составе:

  1. Пояснительная записка
  2. Спецификация СЗИ
  3. Ведомость технического проекта
  4. Структурная схема комплекса средств СЗИ
  5. Описание комплекса средств СЗИ

Эксплуатационная документация в составе:

  1. Ведомость эксплуатационных документов
  2. Руководство администратора
  3. Руководство пользователя
  4. Инструкция по эксплуатации СЗИ

3. Внедрение системы защиты информации:

Установка и настройка средств защиты информации (СрЗИ), по результатам которой оформляются:

  • Акт установки и  настройки СрЗИ

Разработка проектов организационно-распорядительной документации (ОРД):

  • Проекты ОРД, необходимые в соответствии с требованиями безопасности

5. Аттестация по требованиям безопасности информации:

  1. Программа и методики аттестационных испытаний
  2. Протоколы аттестационных испытаний
  3. Заключение по результатам аттестационных испытаний
  4. Аттестат соответствия

 

Средства защиты для аттестации хостинга?

Согласно 17 приказу ФСТЭК, чтобы аттестовать хостинг по 3 классу (уровню) защищенности, как минимум необходимы следующие СЗИ:

  • средство защиты от НСД;
  • средство антивирусной защиты (АВЗ);
  • средство анализа уязвимостей (АНЗ);
  • средства межсетевого экранирования (МЭ);
  • средства защиты виртуализации (для гипервизоров);
  • средство криптографической защиты информации (СКЗИ).

Только тогда можно будет пройти аттестацию хостинга.

Также указано: данный набор средств минимально необходим, но в отдельных случаях может быть дополнен в соответствии с принятыми моделями угроз и нарушителя безопасности информации, а также по решению владельца хостинга.

 

Контроль аттестации хостинга?

Периодический контроль аттестованного хостинга устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.

Это справедливо для систем 2 и 3 классов.

Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Узнать сколько будет стоить аттестация применительно к вам можно по телефону: 8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

Срок аттестации хостинга?

Вообще срок аттестации не один день и занимает достаточно продолжительное время.

Вот типовые сроки:

  • Обследование и формирование требований к системе — около 1 нед.
  • Проектирование системы защиты — около 1 нед.
  • Закупка и внедрение средств защиты — около 1 нед.
  • Аттестационные испытания — около 1 нед.

 

Почему так много?

 

Сроки во много зависят от:

  1. Скорости предоставления исходных данных
  2. Сроков согласования отчетных документов
  3. Качества коммуникации
  4. Сроки закупки средств защиты занимают от 2 до 4 недель

Стоимость аттестации хостинга?

Цена прямо зависит от масштаба информационной системы.

Для одного сервера это одна цена, а для пула серверов — другая.

Поэтому лишь приведем типовую стоимость для одного сервера (физический или виртуальный):

Услуги — около 300 тыс.

Средства защиты — от 20 тыс.

Итого: 320 тыс «под ключ».

 

Скачать коммерческое предложение на аттестацию хостинга
СКАЧАТЬ PDF

 

Услуги (аттестация хостинга)?

Согласно законодательства (99-ФЗ «О лицензировании отдельных видов деятельности» и ПП 79) услуги по защите информации являются лицензируемым видом деятельности.

Поэтому подрядчик, осуществляющий работы по аттестации хостинга должен иметь лицензию ФСТЭК на техническую защиту информации.

А также нужно учесть, что для видов работ «аттестация» также необходимы лицензионные пункты в лицензии ФСТЭК:

  • аттестация (пункт «г»)
  • контроль от утечек по тех каналам (пункт «а»)

 

 

Как выглядит аттестат для хостинга?

Вот так:

Аттестация ГИС ЭП