Требования к аттестации хостинга
С 01.09.2024 вступают изменения в ФЗ №149 (ч.5 ст. 16 ) согласно которым хостинг провайдеры должны подать заявление в Минцифру на включение в перечень провайдеров хостинга предоставляющих вычислительные мощности для государственных и муниципальных предприятий.
Для этого необходимо пройти аттестацию согласно Приказу Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
В частности, необходимость аттестации четко предписывает Постановление правительства № 1144 от 24.08.2024, в котором говориться, что к заявлению о включении прилагаются следующие документы и сведения:
«об аттестате соответствия информационной системы, содержащем информацию о классификации информационной системы и полученном в соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации«.
Требования Минцифры к аттестации хостинга
Для включения сведений о провайдере хостинга в перечень необходимо подать в Минцифру России заявление о включении своей организации в упомянутый Перечень, с приложением следующих документов:
- Документы, подтверждающие соблюдение требований пункта 3 части 2 1-2 статьи 13 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации:
«обеспечивает реализацию требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений. Указанные требования устанавливаются федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации»
- Документы, подтверждающие соблюдение требований части 5 статьи 16 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации.
Требования это:
Требования ФСБ к СКЗИ хостинга
Согласно доработанного проекта приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (подготовлен от 02.06.2024) «Об утверждении требований о защите информации при предоставлении вычислительных мощностей для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети Интернет...» хостинг провайдер обязан использовать сертифицированные средства криптографической защиты информации (СКЗИ), класс которых определяется моделью угроз безопасности, согласованной с ФСБ.
Аттестат для хостинг провайдера
Согласно требованиям Минцифры к заявлению о включении в реестр хостинг провайдеров необходимо приложить документ, подтверждающий реализацию требований по защите информации.
Таким документом является аттестат ФСТЭК России, подтверждающий соответствие:
Порядок аттестации хостинга?
Порядок подготовки и аттестации хостинг провайдера установлен самим 17 приказом ФСТЭК и включает следующие этапы:
- формирование требований к защите информации;
- разработка системы защиты информации;
- внедрение системы защиты информации (сертифицированных средств защиты);
- аттестационные испытания.
Далее, после аттестации системы также необходимо:
- обеспечение защиты информации в ходе эксплуатации аттестованной системы;
- обеспечение защиты информации при выводе из эксплуатации аттестованной системы.
Какой аттестат требуется для хостинга?
Хостинг провайдер должен иметь аттестат хотябы по 3 классу (уровню) защищенности, в соответствии с требованиями следующих нормативных документов:
- Приказ ФСТЭК России от 11 февраля 2013г. No 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСБ России от 24 октября 2022 г. N 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»
Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам третьего класса защищенности.
Документы для аттестации хостинг провайдера?
Чтобы аттестовать хостинг — сначала нужно провести подготовку аттестуемых объектов (согласно 17 приказу ФСТЭК):
1. Провести предпроектной обследование, по результатам которого оформляются:
- Отчет об обследовании
- Решение о необходимости создания системы защиты информации (СЗИ)
- Модель угроз и нарушителя безопасности (ФСТЭК)
- Акт классификации и установления уровня защищенности ИС
2. Провести техническое проектирование, по результатам которого оформляются:
Технический проект в составе:
- Пояснительная записка
- Спецификация СЗИ
- Ведомость технического проекта
- Структурная схема комплекса средств СЗИ
- Описание комплекса средств СЗИ
Эксплуатационная документация в составе:
- Ведомость эксплуатационных документов
- Руководство администратора
- Руководство пользователя
- Инструкция по эксплуатации СЗИ
3. Внедрение системы защиты информации:
Установка и настройка средств защиты информации (СрЗИ), по результатам которой оформляются:
- Акт установки и настройки СрЗИ
Разработка проектов организационно-распорядительной документации (ОРД):
- Проекты ОРД, необходимые в соответствии с требованиями безопасности
5. Аттестация по требованиям безопасности информации:
- Программа и методики аттестационных испытаний
- Протоколы аттестационных испытаний
- Заключение по результатам аттестационных испытаний
- Аттестат соответствия
Средства защиты для аттестации хостинга?
Согласно 17 приказу ФСТЭК, чтобы аттестовать хостинг по 3 классу (уровню) защищенности, как минимум необходимы следующие СЗИ:
- средство защиты от НСД;
- средство антивирусной защиты (АВЗ);
- средство анализа уязвимостей (АНЗ);
- средства межсетевого экранирования (МЭ);
- средства защиты виртуализации (для гипервизоров);
- средство криптографической защиты информации (СКЗИ).
Только тогда можно будет пройти аттестацию хостинга.
Также указано: данный набор средств минимально необходим, но в отдельных случаях может быть дополнен в соответствии с принятыми моделями угроз и нарушителя безопасности информации, а также по решению владельца хостинга.
Контроль аттестации хостинга?
Периодический контроль аттестованного хостинга устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.
Это справедливо для систем 2 и 3 классов.
Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Узнать сколько будет стоить аттестация применительно к вам можно по телефону: 8(800)-550-44-71 ЗАКАЗАТЬ ЗВОНОК
Срок аттестации хостинга?
Вообще срок аттестации не один день и занимает достаточно продолжительное время.
Вот типовые сроки:
- Обследование и формирование требований к системе — около 1 нед.
- Проектирование системы защиты — около 1 нед.
- Закупка и внедрение средств защиты — около 1 нед.
- Аттестационные испытания — около 1 нед.
Почему так много?
Сроки во много зависят от:
- Скорости предоставления исходных данных
- Сроков согласования отчетных документов
- Качества коммуникации
- Сроки закупки средств защиты занимают от 2 до 4 недель
Стоимость аттестации хостинга?
Цена прямо зависит от масштаба информационной системы.
Для одного сервера это одна цена, а для пула серверов — другая.
Поэтому лишь приведем типовую стоимость для одного сервера (физический или виртуальный):
Услуги — около 300 тыс.
Средства защиты — от 20 тыс.
Итого: 320 тыс «под ключ».
Услуги (аттестация хостинга)?
Согласно законодательства (99-ФЗ «О лицензировании отдельных видов деятельности» и ПП 79) услуги по защите информации являются лицензируемым видом деятельности.
Поэтому подрядчик, осуществляющий работы по аттестации хостинга должен иметь лицензию ФСТЭК на техническую защиту информации.
А также нужно учесть, что для видов работ «аттестация» также необходимы лицензионные пункты в лицензии ФСТЭК:
- аттестация (пункт «г»)
- контроль от утечек по тех каналам (пункт «а»)
Как выглядит аттестат для хостинга?
Вот так: