Аттестация АСУ ТП

Приказ ФСТЭК № 31 требование об обязательной аттестации АСУ ТП, в прямом смысле этого слова (термина «аттестация»), не предъявляет!

Как же так? Давайте разбираться

Во-первых, давайте расставим точки над «i» по термину «аттестация».
Дело в том, что одни понимают под термином «аттестация» подготовку (защиту) автоматизированной системы. Другие же понимают только «аттестационные испытания», т.е. тестирование автоматизированной системы и оформление аттестационных материалов.

В соответствии с нормативно-правовыми актами в области аттестации объектов информатизации под аттестацией понимается:
«… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России».

Таким образом, определение дает ясное понимание, что аттестация — это тестирование (проверка/контроль/испытания) объекта информатизации на соответствие конкретным требованиям, установленным нормативными документами ФСТЭК России. Для АСУ ТП такой документ – это приказ ФСТЭК № 31.

Во-вторых, если рассматривать термин «аттестация» правильно, т.е. только как работу по оценке соответствия (защищенности) автоматизированной системы, то, опираясь на пункт 12 приказа ФСТЭК № 31, мы понимаем, что аттестовать АСУ ТП в обязательном порядке не требуется, так как в составе этапов работ защиты информации в АСУ ТП аттестации нет:

«12. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия:
формирование требований к защите информации в автоматизированной системе управления;
разработка системы защиты автоматизированной системы управления;
внедрение системы защиты автоматизированной системы управления и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления;
обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления».

А если под «аттестацией» понимать процедуру подготовки (защиты) автоматизированной системы, как это понимают многие заказчики и даже лицензиаты ФСТЭК России, что совершенно неправильно, тогда да, можно считать, что аттестация АСУ ТП требуется!

Однако в соответствии с пунктом 15.8. приказа ФСТЭК № 31 аттестация АСУ ТП все же может проводиться, но по добровольному решению заказчика.

В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.

Как проводится аттестация?

Аттестация АСУ ТП проводится в соответствии с нормативной документацией в области аттестации объектов информатизации:

  1. «ПОЛОЖЕНИЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994
  2. «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012

Порядок аттестации в целом установлен следующий:

  • предварительное ознакомление с аттестуемым объектом информатизации;
  • разработка программы и методик аттестационных испытаний;
  • проведение аттестационных испытаний;
  • оформление, регистрация и выдача аттестата соответствия.

В ходе аттестационных испытаний разрабатываются следующие аттестационные документы:

  • программа и методики аттестационных испытаний;
  • протокол аттестационных испытаний;
  • заключение по результатам аттестационных испытаний;
  • аттестат соответствия (в случае положительного заключения).

Сколько стоит аттестация?

В первую очередь нужно определиться, о чем все же идет речь: об аттестации как о работе по оценке соответствия (защищенности) автоматизированной системы или о подготовке (защите) автоматизированной системы к аттестации (см. тезис о термине «аттестация» выше).

Если речь идет об аттестации как о работе по оценке соответствия (защищенности) автоматизированной системы, то стоимость будет существенно ниже, чем стоимость подготовки (защиты) автоматизированной системы. Потому что трудоемкость работ по подготовке АСУ ТП достаточно большая:

  • формирование требований к защите информации в автоматизированной системе управления;
  • разработка системы защиты автоматизированной системы управления;
  • внедрение системы защиты автоматизированной системы управления и ввод ее в действие.

И на каждом из этапов оформляется внушительный пакет обязательных документов.

Точную стоимость аттестации АСУ ТП можно посчитать только после детального ознакомления с аттестуемым объектом. Цена зависит от нескольких факторов:

  1. Количественные характеристики (количество объектов вычислительной техники, входящих в состав автоматизированной системы).
  2. Качественные характеристики (используемые технологии обработки информации, состав используемого программного обеспечения, языки программирования и др).
  3. Географическое (территориальное) распределение, т.е. имеет ли сегменты на территории России.
  4. Проводилась ли ранее аттестация автоматизированной системы.
Скачать коммерческое предложение на аттестацию АСУ ТП
СКАЧАТЬ PDF

Кто проводит аттестацию?

Аттестацию, в любом смысле этого слова (см. тезисы выше), имеют право проводить только лицензиаты ФСТЭК России (с пунктами «а», «б», «г» в лицензии), так как в соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» работы по защите информации, к которым относится и аттестация, подлежат обязательному лицензированию.

Осуществление указанной деятельности без лицензии является нарушением закона, что влечет за собой административную или уголовную ответственность (в зависимости от суммы сделки(сделок), проведенной лицензиатом), а также аннулирование результатов работ.

В лицензии у лицензиата ФСТЭК России, проводящего работы по аттестации, должны быть следующие пункты (лицензионные виды деятельности):

  • Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    • средствах и системах информатизации.
  • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
  • Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
    • средств и систем информатизации.

Требования к АСУ ТП

Требования к АСУ ТП устанавливаются приказом ФСТЭК России № 31.
Этот приказ можно посмотреть на официальном сайте ФСТЭК России в разделе:
Главная \ Техническая защита информации \ Обеспечение безопасности критической информационной инфраструктуры \ Приказы

Или по ссылке: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/288-prikazy/1702-prikaz-fstek-rossii-ot-14-marta-2014-g-n-32

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК