Фстэк 77 приказ информационное сообщение

Обновлено: 07.05.2024

Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

Право подписания бухгалтерской (финансовой) отчетности иным лицом

Применение ККТ застройщиком

Определен порядок проведения обязательных медосмотров работников, занятых на работах по добыче (переработке) угля (горючих сланцев)

Определена номенклатура должностей педагогических работников

Ключевая ставка Банка России повышена до 20%

Сократились сроки проведения отдельных этапов открытых конкурсов в электронной форме (электронных конкурсов)

Отменена обязанность заказчиков составлять конкурсную документацию при проведении открытых конкурсов в электронной форме (электронных конкурсов)

Об отражении в расчете 6-НДФЛ зарплаты за декабрь 2021 года, выплаченной 10.01.2022

3 дня демо доступа бесплатно Получить демо доступ на 3 дня

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

от 29 апреля 2021 года N 77

2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.

Директор Федеральной службы
по техническому и
экспортному контролю
В.Селин

в Министерстве юстиции

10 августа 2021 года,

регистрационный N 64589

УТВЕРЖДЕН
приказом ФСТЭК России
от 29 апреля 2021 года N 77

Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

I. Общие положения

1. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее - требования по защите информации), а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.

2. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее - владельцы объектов информатизации).

3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее - аттестация) следующих объектов информатизации:

государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;

информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;

помещений, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения).

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:

значимых объектов критической информационной инфраструктуры Российской Федерации;

информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);

автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

4. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.

II. Организация работ по аттестации объектов информатизации

5. Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (далее - орган по аттестации).

6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:

а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее - информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);

б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2020, N 35, ст.5554), национальных стандартов в области технической защиты информации;

в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее - эксперты органа по аттестации).

8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.

Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации в соответствии с пунктом 11 настоящего Порядка, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.

Выводы экспертов органа по аттестации по результатам проведенных аттестационных испытаний не должны противоречить требованиями по технической защите информации.

9. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.

10. Информация об объекте информатизации, полученная органом по аттестации в ходе аттестации объекта информатизации, подлежит защите в соответствии с частью 4 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448, 2014, N 30, ст.4243).

III. Проведение работ по аттестации объектов информатизации

11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:

а) технический паспорт на объект информатизации по форме согласно приложениям N 1, 2 к настоящему Порядку;

б) акт классификации информационной (автоматизированной) системы по форме согласно приложению N 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее - акт категорирования значимого объекта);

в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);

г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);

д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);

е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;

ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее - документы по защите информации владельца объекта информатизации);

з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.

12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.

13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:

а) общие положения;

б) программа аттестационных испытаний объекта информатизации;

в) методики аттестационных испытаний объекта информатизации.

13.1. Раздел, касающийся общих положений, должен включать следующие сведения:

а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;

б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;

в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;

г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.

Разбираемся в Приказе ФСТЭК России № 77. О новом порядке аттестации объектов информатизации

Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.

ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ

Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:

• аттестат соответствия выдаётся бессрочно (ранее документ выдавался на 3 года);
• каждые 2 года юридическое лицо обязано подтверждать факт проведённых периодических контролей аттестованных объектов информатизации;
• сохраняются требования по проведению ежегодного периодического контроля;
• ФСТЭК России ведётся реестр аттестованных объектов информатизации, в котором отражается статус аттестата соответствия;
• органы по аттестации обязаны в пятидневный после подписания аттестатов соответствия срок высылать их копии во ФСТЭК России для формирования данного реестра;
• все аттестаты, выданные до 01.09.21, действуют согласно прежним нормам и имеют срок действия 3 года.

Евгения Колодина: «Без сомнений, новые правила, которые введены в действие данным документом, в целом повлияют на рынок и позволят сократить количество недобросовестных аттестационных центров, которые предоставляют услуги низкого качества.

ОБЛАСТЬ ПРИМЕНЕНИЯ

Алексей Велякин: «В пункте 3 Приказа указано, что его действие распространяется на проведение аттестационных мероприятий:

ПОРЯДОК АТТЕСТАЦИИ

Алексей Велякин: «Согласно новому документу, процесс аттестации можно разделить на шесть этапов:

Алексей Велякин: «Стоит отметить: пакет документов, которые владельцу объекта информатизации необходимо предоставить для проведения аттестационных работ, соответствует уже бывшим в действии стандартам в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации” (утверждено председателем Гостехкомиссии России 25 ноября 1994 года) и “ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ, 2012”.

Перечень документов следующий:

• технический паспорт;
• акт классификации информационной системы;
• организационно-распорядительная документация;
• при наличии: модель угроз безопасности информации, техническое задание на создание ОИ, проектная документация, эксплуатационная документация, результаты анализа уязвимостей.

ГЛАВНЫЕ НОВОВВЕДЕНИЯ

Алексей Велякин: «Мы отмечаем несколько принципиальных пунктов, которые могут оказать сильное влияние на рынок в целом.

Самое первое – аттестат соответствия теперь выдаётся на весь срок эксплуатации объекта информатизации. И если для государственных информационных систем эта норма не нова, то теперь новый документ вводит её и для защищаемых помещений.

Далее стоит обратить внимание на то, что во ФСТЭК России теперь ведётся реестр аттестованных объектов информатизации. В том числе в него вносятся сведения обо всех аттестованных объектах информатизации, которые попадают под действие данного Приказа, с указанием действующего статуса.

ФСТЭК России особое внимание уделяет контролю аттестованных объектов информатизации: теперь органы по аттестации отчитываются регулятору по каждому аттестованному ОИ в течение 5 рабочих дней. В свою очередь, владельцы объектов информатизации каждые два года обязаны направлять информацию о проведённых контролях эффективности. Это значит, что теперь ФСТЭК России получает данные по каждому аттестованному объекту информатизации и контролирует его.

Наконец, одно из самых главных изменений, продиктованных новым Приказом, заключается в том, что ФСТЭК России может приостанавливать и даже отменять действие аттестатов на основании экспертной проверки предоставленных документов или факта непредоставления необходимой документации.

Многие из эксплуатантов объектов информатизации являются лицензиатами ФСТЭК России по разным направлениям деятельности: монтаж или разработка средств защиты информации, аттестация, проведение контролей и так далее. Чтобы соответствовать требованиям положений по лицензированию, у таких организаций должны быть защищаемые помещения для ведения конфиденциальных переговоров.

Если компания-лицензиат не предоставляет данные или проводимая аттестация не соответствует требованиям регулятора, что приводит к приостановке аттестата соответствия, то ФСТЭК России, опираясь на актуальные данные из реестра, может санкционировать более тщательную и детальную проверку на соответствие лицензионным требованиям.

ЧТО ПРЕДЛАГАЕТ ЦИБИТ?

Евгения Колодина: «ЦИБИТ внимательно следит за всеми нововведениями. Мы предлагаем только актуальные услуги, отвечающие запросам времени. Для удобства клиентов мы сформировали выгодное спецпредложение, учитывающее новые особенности в порядке организации и проведения аттестации объектов информатизации, продиктованные Приказом ФСТЭК России № 77.

Нами разработана многоступенчатая система скидок* в рамках комплексной услуги по сопровождению объектов информатизации, включающей все необходимые плановые мероприятия: аттестацию, ежегодные контроли эффективности, постоянную поддержку и консультирование.

До настоящего времени вопросы проведения работ по подтверждению соответствия объектов информатизации, обрабатывающих информацию конфиденциального характера, требованиям безопасности информации в форме аттестации регламентировались следующими документами:

СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации (далее – ЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации. Некоторые ставят под сомнение юридический статус данного документа, т.к. он не проходил регистрацию в Минюсте России, однако лицензиаты ФСТЭК России руководствуются его требованиями безоговорочно.

Указанные ГОСТы регламентируют составление программы и методик проведения аттестационных испытаний, а также проведение аттестации ОИ и контроля за их эксплуатацией.

Расширение нормативной базы в области защиты информации, содержащейся в государственных информационных системах, информационных системах персональных данных, автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, её открытости для широкой общественности, развитие сферы информационных технологий привело к потере актуальности многих положений указанных выше документов.

29 апреля 2021 г. Приказом ФСТЭК России №77 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну (далее – Приказ № 77, Порядок), который вступил в силу с 1 сентября 2021 г.

Приказ № 77 определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.

Порядок распространяется на аттестацию на соответствие требованиям по ЗИ следующих объектов информатизации:

• государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных (ГИС и МИС);
• информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением (АСУ ТП и АС ЧПУ в рамках ОПК);
• помещений, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения) (ЗП) (Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79). Указанная ссылка говорит о том, что действие настоящего Порядка распространяется на защищаемые помещения, планируемые для выполнения требований и условий, необходимых для лицензирования деятельности по технической защите конфиденциальной информации. Этот факт, по-видимому, будет необходимо указывать в отчетных документах, как основание для выдачи аттестата соответствия на весь срок эксплуатации ЗП.

Также действие Приказа № 77 распространяется на ряд объектов информатизации, добровольная аттестация которых проводилась по требованиям ГОСТ РО 0043-003-2012, а именно Порядок применяется также для аттестации следующих ОИ, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по ЗИ в форме аттестации:

• значимых объектов критической информационной инфраструктуры РФ (ЗОКИИ);
• информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных) (ИСПДн);
• автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП).

Добровольная аттестация может осуществляться для установления соответствия системы защиты информации ОИ требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем ОИ.

Подтверждение соответствия объекта информатизации требованиям безопасности информации (в форме аттестационных испытаний) осуществляется специализированными организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России (далее – орган по аттестации).

Далее будет более подробно рассмотрено содержание основных положений Приказа № 77.

1. Чтобы исключить некорректное проведение аттестационных испытаний включено требование о том, что для проведения аттестационных испытаний назначается комиссия, в состав которой не должны входить эксперты, участвовавшие в разработке и (или) внедрении системы защиты информации объекта информатизации (п. 8). Подобное требование можно увидеть в п. 17 Приказа № 17.

2. В п. 9 Порядка введены ограничения на время проведения аттестационных испытаний: срок проведения работ по аттестации ОИ устанавливается владельцем ОИ по согласованию с органом по аттестации, но не может превышать четырех месяцев.

В Приказе определен четкий порядок выполнения различных этапов работ по подготовке и проведению аттестационных испытаний.

3. Для проведения работ по аттестации владелец ОИ представляет в орган по аттестации следующие документы или их копии (п. 11):

а) технический паспорт на ОИ;

б) акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;

в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации[1]);

г) техническое задание на создание (развитие, модернизацию) ОИ и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации ОИ;

д) проектную документацию на систему защиты информации ОИ (в случае ее разработки в ходе создания ОИ);

е) эксплуатационную документацию на систему защиты информации ОИ и применяемые средства защиты информации;

ж) организационно-распорядительные документы по защите информации владельца ОИ, регламентирующие защиту информации в ходе эксплуатации ОИ, в том числе план мероприятий по защите информации на ОИ, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией ОИ, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца ОИ);

з) документы, содержащие результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации ОИ (в случае проведения анализа и испытаний в ходе создания ОИ[2]).

Вместо бумажных копий по решению владельца ОИ указанные в настоящем пункте документы (их копии) могут быть представлены в орган по аттестации в виде электронных документов.

4. На основе анализа указанных в п. 11 документов и предварительного ознакомления с ОИ в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний (далее – ПиМ) (п. 12).

В ПиМ в том числе должны быть указаны угрозы безопасности информации, актуальные для ОИ, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации. Ранее этого не требовалось.

Т.е. ПиМ может быть разработана органом по аттестации только после выполнения комплекса работ по созданию и внедрению системы защиты информации ОИ и утверждения Заказчиком комплекта документов, указанных в п.11 Порядка.

ПиМ согласовывается с владельцем ОИ и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.

Несмотря на то, что при моделировании угроз рассматриваются в том числе и технические каналы утечки информации, в соответствии с п. 15 к) оценка эффективности защиты (защищенности) информации от утечки по техническим каналам проводится только для защищаемых помещений. Косвенно можно предположить, что для информационных систем средства активной защиты (генераторы шума) применяться не должны.

Для того чтобы подчеркнуть необходимость соблюдения порядка проведения работ по аттестации и исключить выдачу органами по аттестации комплекта документов в конце проведения работ без необходимого предварительного этапа согласования ПиМ, в заключении по результатам аттестационных испытаний ОИ в том числе должна содержаться дата утверждения ПиМ ОИ.

5. В соответствии с п. 20 заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу ОИ.

Также ФСТЭК России берет на себя функции контроля качества выполняемых лицензиатами работ по аттестации объектов информатизации. Для этого орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов (п. 27):

а) аттестата соответствия ОИ;

б) технического паспорта на ОИ;

в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;

д) заключения и протоколов.

Копии технического паспорта на ОИ, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем ОИ в орган по аттестации.

6. В связи с важностью указанных в Приказе № 77 объектов информатизации, ФСТЭК России как регулятор будет осуществлять контроль за обеспечением их безопасного функционирования. С этой целью в соответствии с п. 29 Порядка ФСТЭК России (территориальный орган ФСТЭК России) после внесения в реестр аттестованных ОИ проводит экспертно-документальную оценку документов, представленных органом по аттестации.

7. Аттестат соответствия выдается на весь срок эксплуатации ОИ (п. 31). Ранее данная норма применялась для ГИС, а для ЗП срок выдачи ограничивался максимально тремя годами.

8. В Приказе № 77 особо подчеркивается, что именно владелец аттестованного ОИ обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации… и проведения периодического контроля уровня защиты информации на аттестованном ОИ, результаты которого оформляются протоколами и отражаются в техническом паспорте на ОИ.

Именно владелец ОИ должен регулярно отчитываться перед ФСТЭК России о соответствии защиты объекта требованиям безопасности. Протоколы контроля защиты информации на аттестованном ОИ не реже одного раза в два года представляются владельцем ОИ в ФСТЭК России (территориальный орган ФСТЭК России).

Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия.

• исключены программные, программно-технические средства и средства защиты информации;
• дополнительно включены аналогичные средства или заменены на аналогичные средства;
• повторная аттестация проводится в случае развития (модернизации) ОИ, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) ОИ и (или) к изменению архитектуры системы защиты информации ОИ в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения ОИ и его компонентов.

10. Приказ № 77 определяет порядок выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате. В частности, согласно п. 44 в случае утраты аттестата соответствия владелец ОИ вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия. (Ранее процедура выдачи дубликата в нормативно-методических документах не определялась).

Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).

11. До ввода в действие Приказа № 77 существовало небольшое количество нормативно-методических документов ФСТЭК России, в которых были приведены формы разрабатываемых нормативно-методических документов. В основном это СТР - К, где приведены формы акта классификации и технических паспортов на ОИ.

В приложении к утвержденному Порядку приведены новые формы технических паспортов, акта классификации и аттестата соответствия.

В заключение хотелось бы отметить, что утвержденный Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, в настоящее время играет роль основополагающего документа в области подготовки и проведения аттестации указанных ОИ. Он определяет:

• необходимый порядок работ;
• требования к проводимым испытаниям;
• перечень и состав разрабатываемой документации;
• процедуру выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате;
• действия владельца ОИ.

Несмотря на объемный перечень рассмотренных в Порядке вопросов, на наш взгляд, осталось несколько неосвещенных моментов:

1) Статус документа ГОСТ РО 0043-003-2012 и возможность проводить по нему аттестацию типовых автоматизированных рабочих мест (локальных информационных систем) и распространять результаты аттестации на указанные однотипные объекты.

[1] Не разрабатывается для ЗП.

[2] Необходимость определена для ГИС и ЗОКИИ и АСУ ТП (приказы ФСТЭК России: №17 от 11.02.2013 г., №239 от 25.12.2017 г. и №31 от 14.03.2014 г. соответственно).

Было - "Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России сделан вывод о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации и в орган по аттестации."

Стало - "Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации для устранения недостатков, выявленных органом по аттестации.

Забыли пронумеровать п.32, сразу п.33 идет.

1. Порядок аттестации установлен впервые, вступает в силу 01.09.2021. Изменения в ранее действующие НПА по аттестации не внесены, они продолжают действовать. Хотя от ГОСТ мы все дальше и дальше.

3. Появилась возможность органа власти проводить аттестацию собственными силами, при наличии подготовленного подразделения ИБ в своей структуре (не в подведомственном учреждении). И только в отношении собственных ГИС.

4. Установлен максимальный срок проведения работ по аттестации ГИС – не более 4 месяцев. Необходимо учитывать при составлении календарного плана контрактов с лицензиатами ТЗКИ.

5. Введена форма акта классификации ГИС. Необходимо учесть в работе комиссии по классификации. С 1 сентября 2021 года все акты классификации ГИС должны оформляться по утвержденной форме.

6. Подрядчик по аттестации (аттестационный орган) в течении 5 рабочих дней направляет в ФСТЭК пакет документов по каждой аттестованной ГИС + ежегодно отчет за прошедший год. ФСТЭК проводит анализ документов и может приостановить выданный аттестат до устранения недостатков. Сделать это может ФСТЭК в любой момент, никаких ограничений по срокам в Порядке не указано.

7. Аттестат выдается бессрочно.

8. Оператор ГИС раз в два года направляет в ФСТЭК протоколы контроля защиты информации на аттестованной ГИС. Субъектам КИИ стоит учесть этот пункт, если решат подтверждать соответствие ЗОКИИ требованиям 235/239 приказа в форме аттестации.

9. Если замечания ФСТЭК к ГИС не устранены в течении 90 дней (действие аттестата приостановлено), то аттестат отзывается и аннулируется.

Орган по аттестации передает в ФСТЭК копию акта категорирования ОКИИ и у ФСТЭК появляется возможность сравнить дату на акте категорирования и исходящий реквизиты сведений о категорировании, направленные ранее субъектом КИИ. Обращайте внимание на соответствие реквизитов документов!

11. Запрещено проводить обработку информации в ГИС, в случае обнаружения инцидента безопасности.

Неопределенности в Порядке:

1. Непонятный акт классификации ИС/АС. По наполнению он соответствует только классификации ГИС. Не учитываются ГИС с ПДН, просто ИСПДн. Место ему в приложение к 17 приказу, а не в порядке аттестации.

2. Непонятно как теперь быть оператору ГИС. Есть подрядчики по госконтрактам на создание ГИС и на аттестацию. Аттестат бессрочный, замечания от ФСТЭК может прилететь и через год и через два, тоже бессрочно. Как принимать работы по контракту? Какой срок гарантийных исправлений по замечаниям ФСТЭК прописывать?

3. В приказе об утверждении Порядка нет указаний по переходному периоду. Получается, что даже уже действующие контракты по аттестации должны будут пересмотрены на предмет соответствия новому Порядку? Логично предположить, что все аттестационные испытания после 1 сентября 2021 должны быть по новому Порядку.

5. Аттестация лицензиатом ТЗКИ собственных ИС теперь под запретом? Явно она разрешена в Порядке только органам власти. Как трактовать требование о независимости аттестационного органа от владельца ИС?

* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Читайте также:

  
• Сообщение о хореографах красноярского края
  
• Сообщение современной масс медиа
  
• Сообщение о противоправных действиях
  
• Сообщение о российском обществе 21 века
  
• Сообщение на тему запорожские казаки