Что такое аттестация автоматизированной системы?

Кто-то, говоря об аттестации, имеет в виду аттестационные испытания, а кто-то подразумевает комплексную подготовку АС и ее оценку соответствия, т.е. комплекс работ: защита и аттестация.
Кто прав? Давайте разбираться.

Первое
По «Положению по аттестации объектов информатизации» (пункт 1.4) под аттестацией понимается оценка соответствия АС требованиям безопасности информации, т.е. под аттестацией понимается проверка ее защищенности.

Второе
Для того чтобы аттестовать АС, ее нужно защитить. С этим не поспоришь.
Следовательно, перед этапом аттестации (аттестационных испытаний) необходимо выполнить подготовку АС, т.е. напичкать ее средствами защиты информации.
Для этого в соответствии с нормативно-методическими документами ФСТЭК России (СТР-К и(или) 17 приказ ФСТЭК России) методология (порядок) подготовки АС следующая:

Многие путают понятия, подразумевая под аттестацией подготовку и аттестацию АС.

Что же такое аттестация? Давайте разбираться

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается:

«… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России»

Т.е. тут явно говорится о том, что под аттестацией понимается оценка соответствия автоматизированной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Пунктом 1.8. положения по аттестации установлен порядок аттестации, при изучении которого однозначно становится ясно, что аттестация это не «подготовка» (защита) автоматизированной системы, а исключительно тестирование (контроль/испытания) ее защищенности!

Этот же тезис подтверждает пункт № 13 приказа ФСТЭК № 17, который устанавливает порядок аттестации государственных информационных систем, и аттестация в нем стоит на четвертом месте:

  • «формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие».

Итого: аттестация это исключительно процедура оценки соответствия (оценки защищенности), но ни в коем случае не подготовки к аттестации. Следовательно, договорные работы по подготовке автоматизированной системы и ее аттестации нужно четко разделять.

Как проводится аттестация автоматизированных систем?

На практике понятие «аттестация» понимается совершенно по-разному:

Как правильно? Давайте разбираться

В первую очередь давайте зададим себе вопрос: а кто придумал процедуру аттестации, т.е. какой уполномоченный федеральный орган установил правила аттестации? Правильно – ФСТЭК России. Соответственно, для установления правды давайте обратимся к нормативной документации ФСТЭК России, а именно:

  1. В соответствии с пунктом 1.4. «ПОЛОЖЕНИЯ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994 под аттестацией понимается: «… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России» (далее Положение по аттестации).
  2. В соответствии с пунктом 3.6 «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012:
    определение в целом идентично пункту 1.4. положения по аттестации (см. выше).

Т.е. по факту аттестация — это оценка соответствия требованиям безопасности информации. А сами требования к автоматизированным системам устанавливает ФСТЭК России. Соответственно, чтобы понять, как конкретно аттестуется та или иная информационная система, нужно смотреть требования ФСТЭК к заданному типу автоматизированной системы.

В соответствии с положением по аттестации процедура аттестации осуществляется в следующем порядке:
«3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

Как конкретно проводится аттестация?

По факту осуществляется проверка реализации мер защиты информации (требований к функциям защиты информации), т.е. проверяется, выполняются ли требования к подсистемам защиты информации (имеются ил они и реализованы ли они в полном объеме).
На выходе оформляются определенные отчетные документы:

  • программа и методики аттестационных испытаний,
  • протокол аттестационных испытаний,
  • заключение аттестационных испытаний,
  • аттестат соответствия (выдается в случае положительного заключения).

Итого: при аттестации проверяется соответствие системы защиты информации в составе автоматизированной системы требованиям конкретного нормативного документа ФСТЭК. Ни больше ни меньше.

По каким требованиям проводится аттестация автоматизированных систем?

Требования в первую очередь определяются типом автоматизированной системы. Но также нужно понимать, что одна и та же автоматизированная система может быть аттестована по нескольким требованиям одновременно.

На текущий момент существуют следующие типы автоматизированных систем и, соответственно, требований к ним:

Также существуют общие положения (общие требования) по аттестации объектов информатизации, установленные следующими нормативными документами:

  1. «ПОЛОЖЕНИЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994.
  2. «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012 (имеет гриф «ДСП», т.е. ограниченного распространения).

Кто регулятор в области аттестации автоматизированных систем?

Регулятором в области аттестации автоматизированных систем является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Кто имеет право проводить аттестацию автоматизированных систем?

Аттестацию автоматизированных систем имеют право проводить только лицензиаты ФСТЭК России с пунктами «а», «б» и «г» в лицензии. Указанные пункты позволяют проводить аттестационные испытания автоматизированных систем. У лицензиатов с указанными пунктами должно иметься соответствующее контрольно-измерительное оборудование и средства контроля защищенности информации в соответствии с перечнем, установленным ФСТЭК России.

Формулировки в лицензии должны выглядеть так:

  • Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    • средствах и системах информатизации.
  • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
  • Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
    • средств и систем информатизации.

Требования к лицензиатам ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

При аттестации автоматизированных систем, предназначенных для обработки конфиденциальной информации (классы 1Г, 2Б по РД АС, а также по требованиям защиты персональных данных: 1УЗ, 2УЗ, 3УЗ, 4УЗ и по требованиям защиты государственных информационных систем: 1КЗ, 2КЗ, 3КЗ), органу по аттестации достаточно иметь только лицензию ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ).

А вот при аттестации автоматизированных систем, предназначенных для обработки сведений, составляющих государственную тайну, органу по аттестации в дополнение к лицензии ФСТЭК на ТЗКИ также необходимо иметь аттестат аккредитации органа по аттестации.

Сколько стоит аттестация автоматизированных систем?

Стоимость аттестации в первую очередь зависит от ее масштаба. Например, аттестовать автоматизированную систему, состоящую из 1 автономного автоматизированного места (без подключения к интернету), и проводить аттестацию автоматизированной системы федерального масштаба, состоящей из 3000 рабочих мест и 10 серверов со средой виртуализации, – это разные вещи.

Следующие критерии также влияют на определение стоимости аттестации:

  1. Требованиям, по которым необходимо аттестовать (см. выше, по каким требованиям аттестуются автоматизированные системы).
  2. Географическая (территориальная) распределенность.
  3. Проводились ли ранее работы по аттестации.
  4. Требуется только аттестация (тестирование защищенности) или в том числе подготовка (защита) автоматизированной системы.

Только поняв указанные параметры автоматизированной системы, можно сформировать точную смету проведения работ.

Если крупными мазками, то стоимость аттестации автоматизированной системы, состоящей из 1 (одного) компьютера, на рынке составляет 85 т.р., а стоимость аттестации 1000 рабочих станций – 10 т.р. за рабочую станцию.

Скачать коммерческое предложение на аттестацию АС
СКАЧАТЬ PDF

Лайфхак

Провести подготовку автоматизированной системы собственник (владелец/оператор) автоматизированной системы может самостоятельно – без привлечения лицензиата ФСТЭК России на договорной основе. Однако, так как оценку соответствия (аттестацию) автоматизированной системы будет проводить какой-то определенный лицензиат ФСТЭК России, то, конечно же, проще и выгоднее поручить подготовку ему: это обеспечит скорейший положительный результат.

Но есть нюансы:

  1. Пункт 17 приказа ФСТЭК № 17 гласит: «проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается».
  2. Собственник (владелец/оператор) автоматизированной системы должен проводить подготовку именно своей автоматизированной системы, создаваемой за свои средства, а также обрабатываемая защищаемая информация должна относиться строго к собственнику автоматизированной системы. Например, если оператором автоматизированной системы является управляющая компания какой-то группы компаний, то для проведения подготовки автоматизированной системы собственными силами необходимо иметь лицензию ФСТЭК на техническую защиту конфиденциальной информации.
Как понять по каким требованиям нужно аттестовать автоматизированную систему именно вам?
ЗАКАЗАТЬ ЗВОНОК