Аттестация ФСТЭК – комплекс проверочных мероприятий, целью которых является оценка соответствия объекта аттестации нормам информационной безопасности. Аттестации подвергаются автоматизированные системы (АС), автоматизированные рабочие места (АРМ), защищаемые или режимные помещения. Если объект отвечает требованиям, на него выдается аттестат соответствия. Однако, чтобы получить такой документ, надо тщательно подготовить объект для абсолютного соответствия нормам. Для этого важно знать, какими документами продиктованы правила и требования для аттестации.
Аттестация ФСТЭК: документы
Основополагающим документом, устанавливающим правила аттестации, является «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. Под объектами информатизации понимаются АС, АРМ и помещения. Поэтому ознакомиться с положением необходимо перед аттестацией любых объектов. Также нужно изучить Федеральный закон №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г.
При работе с конфиденциальными сведениями важно правильно определить, что относится к таким данным. В этом поможет разобраться Указ Президента РВ от 06.03.1997 «Об утверждении перечня сведений конфиденциального характера».
Защита персональных данных регламентируется Федеральным законом №152 «О персональных данных» от 27.07.2006 г.
Работа со сведениями, составляющими государственную тайну, регулируется другими нормативными документами. Так, важно ознакомиться с Законом РФ №5485-I «О государственной тайне» от 21.07.1993 г.
Аттестация помещения
Дальше уже следует изучать документы, которые относятся непосредственно к аттестуемому объекту. Например, требования к помещениям изложены в ряде нормативных документов:
- Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электро-акустических преобразований во вспомогательных технических средствах и системах от 08.11.2001 г.
- Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам от 08.11.2001 г.
- Временная методика оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации от 08.11.2001 г.
- Специальные требования и рекомендации по технической защите конфиденциальной информации от 02.03.2001 г.
Все эти документы являются ограниченными в распространении. Чтобы их получить, нужно отправить заявку в ФСТЭК. В заявке необходимо указать:
- организационно-правовую форму предприятия,
- юридический адрес,
- фактический адрес,
- банковские реквизиты,
- количество и названия необходимых документов.
Если указать неполные сведения, заявка не будет рассмотрена. Когда ФСТЭК принял обращение, он отправляет заявителю счет и договор.
Какие документы нужны для аттестации АС?
Аттестация АС происходит по требованиям других документов. Для каждого вида АС есть свои требования:
- Для ИСПДн такой документ – приказ ФСТЭК России №21 от 18.02.2013г.
- Для ГИС – приказ ФСТЭК №17 от 11.02.2013 г.
- Для АС обработки конфиденциальной информации – СТР-К и РД АС.
- Для АСУ ТП – приказ ФСТЭК №31 от 14.03.2014 г.
- Для ИСОП – приказ ФСТЭК №489 от 31.08.2010 г.
- Для КИИ – приказ ФСТЭК №235 от 21.12.2017 г. и приказ ФСТЭК №239 от 25.12.2017 г.
- Для АБС – Положение Банка России №382-П от 9.06.2012 г.
Важно понимать, что одна АС может проходить проверку по требованиям к разным типам АС. Поэтому подготовка к аттестации – сложный и запутанный процесс.
Аттестация автоматизированных рабочих мест идентична аттестации автоматизированных систем, поэтому регулируется теми же документами.
Какие документы выдаются в ходе аттестации?
Аттестация проводится по строгим правилам. В процессе заявитель получает от аттестующего органа несколько документов:
- Программа аттестационных испытаний. Разрабатывается перед процедурой и согласовывается с заявителем.
- Договор на аттестацию.
- Протоколы испытаний. Оформляются по факту проверок.
- Заключение. Оформляется после проверок и содержит список недочетов и рекомендации по их устранению.
- Аттестат соответствия. Выдается при отсутствии нарушений.
Какие документы разрабатываются для аттестации?
Разработка внутренних документов – этап подготовки, с которым многие не могут справиться без квалифицированной помощи. Потому что требования к документации содержатся в разных нормативных актах, многие из которых имеют гриф «секретно». Даже если у заявителя есть на руках все регулирующие бумаги, он не всегда может разобраться в размытых формулировках и требованиях.
В любом случае, будут требоваться:
- приказ о назначении ответственного за информационную безопасность,
- список защищаемых ресурсов,
- акт категорирования объекта,
- акт классификации АС,
- схема размещения объекта,
- список работников, имеющих доступ к объекту,
- список средств защиты,
- эксплуатационная документация.
Надо понимать, что это минимальный список необходимой документации. На деле он может оказаться в разы больше. Например, подготовка документов по защите персональных данных – одна из самых трудоемких. Для аттестации ИСПДн документы требуются в количестве 60 штук.
Поэтому подготовиться к аттестации ФСТЭК не так просто, как может показаться на первый взгляд. Центр безопасности информационных систем предлагает помощь профессионалов в разработке всех внутренних документов, подготовке к аттестации с последующей аттестацией.
