Аттестация автоматизированной системы управления в сфере образования (АСУ СО): регуляторные требования и руководство к действию

Внедрение цифровых технологий в образовательный процесс привело к тому, что современные школы, вузы и управленческие органы зависят от автоматизированных систем управления (АСУ). Эти системы обрабатывают персональные данные обучающихся и сотрудников, обеспечивают электронный документооборот, организуют дистанционное обучение и взаимодействуют с государственными информационными системами (например, ФРДО, «Моя школа», ГИС «Современная цифровая образовательная среда»).

В связи с этим к безопасности таких систем предъявляются строгие требования законодательства РФ. Ключевым мероприятием по подтверждению соответствия этим требованиям является аттестация объекта информатизации.

Данная статья призвана помочь руководителям образовательных организаций и ИТ-специалистам разобраться в нормативной базе и понять алгоритм действий при подготовке и проведении аттестации АСУ в сфере образования.

---

1. Нормативная база: на какие документы опираться

Требования к защите информации в образовательных системах не разрознены, а выстроены в единую иерархию. Основные документы, регулирующие эту сферу:

1. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»[ссылка].
   • Статья 16 закрепляет право на использование электронного обучения, но обязывает обеспечивать защиту сведений, составляющих государственную или иную охраняемую законом тайну.
   • Статья 98 описывает создание и ведение государственных информационных систем в сфере образования (федеральных и региональных), что накладывает обязательства по соблюдению требований ФСТЭК.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[ссылка].
   • Любая АСУ СО обрабатывает персональные данные (ПДн). Следовательно, она является информационной системой персональных данных (ИСПДн).
3. Постановление Правительства РФ от 01.11.2012 № 1119[ссылка].
   • Устанавливает требования к защите ПДн и 4 уровня защищенности в зависимости от типа данных и количества субъектов.
4. Приказ ФСТЭК России от 11.02.2013 № 17[ссылка].
   • «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Если ваша АСУ имеет статус государственной или муниципальной информационной системы (ГИС/МИС), этот документ является базовым.
5. Приказ ФСТЭК России от 18.02.2013 № 21[ссылка].
   • Устанавливает состав и содержание организационных и технических мер для защиты ПДн в ИСПДн.
6. Приказ ФСТЭК России от 29.04.2021 № 77[ссылка].
   • Утверждает Порядок организации и проведения работ по аттестации объектов информатизации. Это основной методический документ, описывающий процедуру аттестации.
7. Приказ ФСБ России от 10.07.2014 № 378[ссылка].
   • Регламентирует применение криптографических средств защиты информации (СКЗИ) при обработке ПДн.

Дополнительные методические документы ФСТЭК России:

• Методический документ «Меры защиты информации в государственных информационных системах»
• Профили защиты межсетевых экранов
• Профили защиты операционных систем типов Б и В
• Профили защиты средств антивирусной защиты
• Профили защиты систем обнаружения вторжений

---

2. Когда требуется аттестация?

Аттестация — это подтверждение того, что система защиты информации (СЗИ) соответствует требованиям регуляторов в условиях реальной эксплуатации.

Обязательная аттестация требуется в следующих случаях:

• Система имеет статус государственной или муниципальной информационной системы (ГИС/МИС). Согласно Приказу ФСТЭК № 17, аттестация таких систем обязательна перед вводом в эксплуатацию.
• Система относится к значимым объектам критической информационной инфраструктуры (КИИ) (Федеральный закон от 26.07.2017 № 187-ФЗ [ссылка]).
• Владелец системы (образовательная организация или орган власти) самостоятельно принял решение о проведении аттестации для подтверждения уровня защищенности (например, для ИСПДн 1-го или 2-го уровня защищенности, где это часто является лучшей практикой, хотя для 3-4 уровней может быть заменено декларацией соответствия, в зависимости от актуальных угроз).

Важно: Для большинства государственных и муниципальных АСУ в сфере образования аттестация является обязательным требованием перед началом обработки защищаемой информации.

---

3. Пошаговый алгоритм действий

Процесс аттестации регламентирован Приказом ФСТЭК России № 77. Ниже приведен практический план работ.

Этап 1. Подготовка и классификация

Прежде чем приглашать аттестаторов, необходимо привести документацию в порядок.

1. Классификация системы.
   • Для ГИС: Определите класс защищенности (1, 2 или 3) согласно Приложению № 1 к Приказу ФСТЭК № 17. Класс зависит от масштаба системы (федеральный, региональный, объектовый) и уровня значимости информации.
   • Для ИСПДн: Определите уровень защищенности ПДн (1–4) согласно Постановлению № 1119.
2. Разработка модели угроз.
   • Документ, описывающий, кто и как может попытаться нарушить безопасность системы. Должна быть актуальной и согласованной (для ГИС — согласование с ФСТЭК обязательно).
   • При разработке рекомендуется использовать:
     • «Базовая модель угроз безопасности персональных данных» (ФСТЭК, 2008)
     • «Методика определения актуальных угроз безопасности персональных данных» (ФСТЭК, 2008)
     • «Методика оценки угроз безопасности информации» (ФСТЭК, 2021)
     • Банк данных угроз ФСТЭК — для актуализации перечня угроз
3. Техническое задание (ТЗ).
   • Должно содержать требования к системе защиты информации (СЗИ) на основе выявленных угроз и класса/уровня защищенности.
4. Технический паспорт объекта информатизации.
   • Заполняется по форме из Приложения № 1 (для информационных систем) или № 2 (для защищаемых помещений) к Приказу ФСТЭК № 77. В нем описывается архитектура, состав средств вычислительной техники, СЗИ и линии связи.

Этап 2. Выбор аттестационного органа

Самостоятельно провести аттестацию и выдать аттестат организация не может (за исключением случаев, когда структурное подразделение органа власти имеет необходимые средства и компетенции, и уведомило ФСТЭК, но это редкость для обычных образовательных учреждений).

• Необходимо заключить договор с организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (с правом проведения аттестационных испытаний).
• Проверить наличие лицензии можно в реестре на сайте ФСТЭК России.
• Дополнительная информация: Федеральный закон «О лицензировании отдельных видов деятельности» № 99-ФЗ

Этап 3. Проведение аттестационных испытаний

Аттестатор (лицензиат) формирует комиссию из экспертов. Работы проводятся по утвержденной Программе и методикам аттестационных испытаний (ПМАИ).

Что проверяют эксперты:

1. Документальный контроль: Соответствие Технического паспорта, Акта классификации, Модели угроз и эксплуатационной документации требованиям.
2. Анализ уязвимостей: Проверка отсутствия известных уязвимостей в ПО и СЗИ (используются сканеры безопасности). Рекомендуется руководствоваться ГОСТ Р 56939-2024 «Защита информации. Порядок проведения работ по выявлению уязвимостей».
3. Функциональное тестирование: Проверка работоспособности средств защиты (антивирусы, средства разграничения доступа, межсетевые экраны).
4. Проверка организационных мер: Наличие приказов, инструкций для пользователей, журналов учета, наличие ответственных за ИБ.
5. Контроль защищенности от утечек по техническим каналам (если аттестуются защищаемые помещения для конфиденциальных переговоров).

Срок проведения работ: Устанавливается владельцем и аттестатором, но не может превышать 4 месяцев (п. 9 Приказа № 77).

Этап 4. Оформление результатов

По итогам испытаний Аттестационный орган оформляет пакет документов:

1. Заключение по результатам аттестационных испытаний. Содержит выводы о соответствии/несоответствии требованиям.
2. Протоколы испытаний (на тестирование функций безопасности и анализ уязвимостей).
3. Аттестат соответствия. Выдается, если недостатки устранены. Форма приведена в Приложении № 4 к Приказу № 77.

Аттестат подписывается руководителем аттестационного органа и заверяется печатью. Копия аттестата и технических документов направляется в территориальный орган ФСТЭК для внесения в реестр аттестованных объектов.

Этап 5. Эксплуатация и периодический контроль

Аттестат выдается на весь срок эксплуатации системы (п. 31 Приказа № 77). Однако это не означает, что после получения документа работу можно прекратить.

• Периодический контроль: Владелец обязан проводить контроль уровня защищенности. Протоколы контроля представляются в ФСТЭК не реже одного раза в два года (п. 32 Приказа № 77).
• Модернизация: Если меняется архитектура СЗИ, состав средств защиты или класс защищенности, требуется проведение повторной аттестации. Если изменения незначительны (замена на аналогичные средства), могут потребоваться дополнительные испытания, но действие аттестата не прекращается (п. 33 Приказа № 77).

---

4. Особенности для сферы образования

При построении системы защиты АСУ СО необходимо учитывать специфику отрасли:

1. Защита данных несовершеннолетних. Образовательные системы хранят данные детей. Это повышает требования к разграничению доступа и журналированию действий администраторов. Согласно Приказу № 21, для ИСПДн, содержащих данные несовершеннолетних, часто требуются более высокие уровни защиты.
2. Интеграция с федеральными системами. Согласно ст. 98 Закона «Об образовании», региональные и локальные системы должны взаимодействовать с федеральными (ФРДО, ФИС ФРДО, ГИС «Современная цифровая образовательная среда»). Это требует защиты каналов связи (использование VPN, СКЗИ согласно Приказу ФСБ № 378).
3. Дистанционное обучение. При реализации образовательных программ с применением электронного обучения (ст. 16 Закона «Об образовании») необходимо обеспечивать защиту информации независимо от места нахождения обучающихся. Это расширяет периметр защиты и требует контроля удаленных подключений.
4. Сетевая форма реализации программ. Если образовательная организация использует ресурсы других организаций (ст. 15 Закона «Об образовании»), в договоре должна быть четко прописана ответственность за защиту информации и разграничение зон ответственности.

Полезные ресурсы для операторов ПДн:

• Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)
• Официальный сайт Роскомнадзора

---

5. Типичные ошибки при аттестации

Анализ практики показывает, что чаще всего задержки возникают по следующим причинам:

• Несоответствие Технического паспорта реальности. Эксперты обнаруживают установленное ПО или оборудование, не указанное в паспорте. Все изменения должны фиксироваться в Таблице 2 Технического паспорта (Приложение № 1 к Приказу № 77).
• Устаревшая модель угроз. Угрозы безопасности меняются. Если модель угроз не актуализировалась несколько лет, ФСТЭК может не согласовать её, что блокирует аттестацию ГИС. Рекомендуется регулярно сверяться с Банком данных угроз ФСТЭК.
• Отсутствие организационных документов. Наличие средств защиты (антивируса, межсетевого экрана) недостаточно. Должны быть приказы о назначении ответственных, инструкции пользователей, журналы учета машинных носителей.
• Нелицензионное ПО. Использование нелицензионного программного обеспечения в системе, подлежащей аттестации, является нарушением и может привести к отказу в выдаче аттестата.
• Игнорирование периодического контроля. Непредставление протоколов контроля раз в два года является основанием для приостановления действия аттестата (п. 34 Приказа № 77).

Актуальные информационные сообщения ФСТЭК России:

• От 26 апреля 2024 г. № 240/24/1958
• От 23 июня 2021 г. № 240/24/3057

---

6. Заключение

Аттестация автоматизированной системы управления в сфере образования — это не разовое мероприятие, а непрерывный процесс обеспечения безопасности. Она требует от образовательной организации дисциплины в ведении документации, актуализации моделей угроз и регулярного контроля настроек средств защиты.

Соблюдение требований Приказов ФСТЭК № 17, № 21 и № 77 позволяет не только избежать штрафов со стороны регуляторов (Рособрнадзор, ФСТЭК, Роскомнадзор), но и гарантировать непрерывность образовательного процесса и сохранность конфиденциальных данных участников образовательных отношений.

Рекомендация: Начинать подготовку к аттестации следует заблаговременно, до ввода системы в промышленную эксплуатацию, закладывая требования по защите информации еще на этапе формирования технического задания на разработку или закупку АСУ СО.

---

Приложения: Дополнительные нормативные документы

• Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн»
• СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К)
• Руководящий документ «Показатели защищенности от НСД» (Гостехкомиссия РФ, 1992)