Введение
Внедрение и эксплуатация информационных систем (ИС), взаимодействующих с защищенными сегментами сетей, такими как комплекс «ViPNet-Гринатом», требует строгого соблюдения законодательства Российской Федерации в области защиты информации. Ключевым этапом легализации обработки информации ограниченного доступа является аттестация объекта информатизации.
Данная статья систематизирует нормативные требования и предлагает практическое руководство по организации процесса аттестации.
1. Нормативная база: иерархия документов
Процесс аттестации и требования к защите информации регулируются многоуровневой системой нормативных правовых актов:
1.1. Федеральные законы (базовый уровень)
| Документ | Ссылка | Значение для аттестации |
|---|---|---|
| Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | consultant.ru | Определяет правовые основы защиты информации, полномочия регуляторов |
| Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» | consultant.ru | Устанавливает требования к обработке ПДн, включая необходимость аттестации ИСПДн |
| Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» | consultant.ru | Регулирует защиту значимых объектов КИИ |
1.2. Постановления Правительства РФ
| Документ | Ссылка | Значение |
|---|---|---|
| Постановление от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» | consultant.ru | Определяет уровни защищенности ПДн (УЗ-1–УЗ-4) |
| Постановление от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» | fstec.ru | Регулирует деятельность органов по аттестации |
| Постановление от 06.07.2015 № 676 «Требования к порядку создания, развития, ввода в эксплуатацию ГИС» | garant.ru | Устанавливает обязательность согласования модели угроз с ФСТЭК для ГИС |
1.3. Приказы ФСТЭК России (ключевые для аттестации)
| Документ | Ссылка | Назначение |
|---|---|---|
| Приказ от 29.04.2021 № 77 «Порядок организации и проведения работ по аттестации объектов информатизации» | fstec.ru | Основной процессуальный документ: формы документов, этапы аттестации, требования к органам по аттестации |
| Приказ от 11.02.2013 № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | fstec.ru | Базовые требования к защите информации в ГИС, классы защищенности (К1–К3) |
| Приказ от 18.02.2013 № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных» | fstec.ru | Базовые наборы мер для уровней защищенности ПДн |
| Приказ от 25.12.2017 № 239 «Требования по обеспечению безопасности значимых объектов КИИ» | fstec.ru | Для систем, отнесенных к КИИ |
1.4. Методические документы ФСТЭК России
| Документ | Ссылка | Применение |
|---|---|---|
| «Меры защиты информации в государственных информационных системах» (утв. 11.02.2014) | fstec.ru | Детализация мер защиты из Приказа № 17, правила выбора и реализации |
| «Методика оценки угроз безопасности информации» (утв. 05.02.2021) | normativ.kontur.ru | Алгоритм выявления и анализа угроз для модели угроз |
| «Базовая модель угроз безопасности персональных данных» (утв. 15.02.2008) | fstec.ru | Исходные данные для разработки модели угроз ИСПДн |
| «Методика определения актуальных угроз безопасности ПДн» (утв. 14.02.2008) | fstec.ru | Порядок адаптации базовой модели угроз под конкретную ИС |
1.5. Отраслевые и корпоративные документы
| Документ | Ссылка | Значение |
|---|---|---|
| Порядок процесса «Организация и обслуживание защищённой сети комплекса «ViPNet-Гринатом» | crypto.rosatom.ru | Корпоративные требования АО «Гринатом» к подключению, кроссертификации, учету СКЗИ |
| ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» | cntd.ru | Стандарты проектирования защищенных систем |
| СТР-К «Специальные требования и рекомендации по технической защите конфиденциальной информации» | wikisec.ru | Требования по защите от утечки по техническим каналам |
1.6. Инструменты регулятора
- Банк данных угроз ФСТЭК России (БДУ): bdu.fstec.ru — обязательный источник при разработке модели угроз.
- Реестр сертифицированных СЗИ: fstec.ru — проверка статуса средств защиты.
- Реестр аттестованных объектов: fstec.ru — публикация сведений об аттестованных системах.
2. Что подлежит аттестации в контексте «ViPNet-Гринатом»?
Согласно п. 3 Приказа ФСТЭК России № 77, аттестации подлежат:
✓ Государственные и муниципальные информационные системы (в т.ч. ИСПДн)
✓ Информационные системы управления производством ОПК
✓ Значимые объекты КИИ (по решению владельца)
✓ ИСПДн (по решению владельца)
✓ Автоматизированные системы управления на опасных объектахВажно: Сеть «ViPNet-Гринатом» (сеть № 11296) является инфраструктурой. Аттестуется не сама сеть, а ваша информационная система, которая размещается или взаимодействует с этой сетью. Если ИС функционирует на базе ЦОД, инфраструктура ЦОД также должна быть аттестована (п. 17.6 Приказа № 17).
3. Пошаговый алгоритм аттестации
Этап 1. Классификация системы
Для ГИС (Приказ № 17, Приложение № 1)
Класс защищенности (К1–К3) определяется по формуле:
К = [Уровень значимости информации; Масштаб системы]| Уровень значимости (УЗ) | Федеральный масштаб | Региональный масштаб | Объектовый масштаб |
|---|---|---|---|
| УЗ-1 (высокий ущерб) | К1 | К1 | К1 |
| УЗ-2 (средний ущерб) | К1 | К2 | К2 |
| УЗ-3 (низкий ущерб) | К2 | К3 | К3 |
Источник: Приложение № 1 к Приказу ФСТЭК России № 17
Для ИСПДн (Постановление № 1119 + Приказ № 21)
Уровень защищенности (УЗ-1–УЗ-4) зависит от:
- Категории ПДн (специальные, биометрические, общедоступные, иные)
- Объема субъектов ПДн
- Типа актуальных угроз (1–4 типы)
Нюанс: Если в ГИС обрабатываются ПДн, применяется более строгий из двух требований (п. 27 Приказа № 17).
Этап 2. Разработка модели угроз
- Используйте Базовую модель угроз ПДн (2008) или БДУ ФСТЭК как исходные данные.
- Примените Методику определения актуальных угроз ПДн (2008) или Методику оценки угроз (2021) для адаптации.
- Учитывайте структурно-функциональные характеристики ИС и специфику взаимодействия с «ViPNet-Гринатом» (шифрование, межсетевое взаимодействие).
- Согласуйте модель угроз с ФСТЭК (для ГИС — обязательно по Постановлению № 676).
Этап 3. Выбор и реализация мер защиты
Базовые наборы мер
- Для ГИС: Приложение № 2 к Приказу № 17 + Методический документ (2014).
- Для ПДн: Приложение к Приказу № 21.
Адаптация мер (п. 21 Приказа № 17, раздел 2 Методического документа)
1. Определить базовый набор по классу защищенности
2. Исключить меры, не применимые к вашей архитектуре (например, виртуализация, если не используется)
3. Добавить меры для нейтрализации всех актуальных угроз из модели
4. Дополнить мерами из иных НПА (например, отраслевые требования Росатома)Специфика «ViPNet-Гринатом»
Согласно Порядку процесса:
- СКЗИ: Использование ViPNet Client/Coordinator требует лицензий ФСБ и соблюдения ПКЗ-2005 (Приказ ФСБ № 66).
- Кроссертификация: Обязательное соглашение об установлении межсетевого взаимодействия (Приложение № 7 к Порядку).
- Учет ключевой информации: Ведение журналов учета СКЗИ (Приложение № 4 к Порядку).
- Ролевая модель: Назначение ответственных (Руководитель ООКИ, Администратор сети ViPNet, АБ ОКЗ).
Этап 4. Подготовка документов для аттестации (п. 11 Приказа № 77)
| Документ | Форма/источник | Примечание |
|---|---|---|
| Технический паспорт объекта информатизации | Приложение № 1 или № 2 к Приказу № 77 | Заполняется владельцем |
| Акт классификации ИС | Приложение № 3 к Приказу № 77 | Утверждается руководителем |
| Модель угроз безопасности информации | Разрабатывается по Методике ФСТЭК | Для ГИС — согласуется с ФСТЭК |
| ТЗ на создание СЗИ | ГОСТ 34.602, ГОСТ Р 51583 | Включает класс защищенности |
| Проектная и эксплуатационная документация | ГОСТ 34.201, ГОСТ Р 51624 | Описание архитектуры СЗИ |
| Организационно-распорядительные документы | Разрабатываются оператором | Политики, инструкции, приказы |
| Результаты анализа уязвимостей и приемочных испытаний | По методикам ФСТЭК | Подтверждение отсутствия критических уязвимостей |
Этап 5. Проведение аттестационных испытаний
- Выбор органа по аттестации: Организация с лицензией ФСТЭК на аттестационные испытания (Реестр лицензиатов).
- Программа и методики испытаний: Разрабатываются органом по аттестации, согласуются с владельцем (п. 12–14 Приказа № 77).
- Методы испытаний (п. 17.2 Приказа № 77):
- Экспертно-документальный контроль
- Анализ уязвимостей (сканирование, тестирование)
- Функциональное тестирование СЗИ
- Проверка организационных мер
- Результаты: Заключение, протоколы испытаний, Аттестат соответствия (форма — Приложение № 4 к Приказу № 77).
Этап 6. Эксплуатация и периодический контроль
- Срок действия аттестата: Бессрочно (п. 31 Приказа № 77).
- Периодический контроль: Не реже 1 раза в 2 года (для К1 — 1 раз в год), протоколы направляются в ФСТЭК (п. 32).
- Модернизация: При изменении архитектуры СЗИ — дополнительные испытания; при повышении класса защищенности — повторная аттестация (п. 33).
4. Взаимодействие требований ФСТЭК и правил «ViPNet-Гринатом»
| Требование | Регулятор / Документ | Комментарий |
|---|---|---|
| Класс/Уровень защиты | ФСТЭК (Приказы № 17, № 21) | Обязательное требование закона |
| Меры защиты (СЗИ) | ФСТЭК (Приказ № 21, Методич. документ 2014) | Базовый набор мер должен быть реализован |
| Аттестация системы | ФСТЭК (Приказ № 77) | Подтверждение соответствия требованиям ФСТЭК |
| Подключение к сети | АО «Гринатом» (Порядок процесса) | Требование для получения доступа к инфраструктуре ViPNet |
| Использование СКЗИ | ФСБ России (Лицензии, Приказ № 66, ПКЗ-2005) | ViPNet является СКЗИ, требует лицензирования деятельности и учета |
| Межсетевое взаимодействие | АО «Гринатом» / ФСТЭК | Требует соглашения между сторонами и совместимости СЗИ |
| Защита от утечки по ТК | Гостехкомиссия России (СТР-К) | При обработке информации в помещениях для конфиденциальных переговоров |
Алгоритм подключения к «ViPNet-Гринатом»:
- Определить класс защищенности ИС по требованиям ФСТЭК.
- Внедрить меры защиты и пройти аттестацию во внешнем органе по аттестации (получить Аттестат ФСТЭК).
- Подготовить документы для АО «Гринатом» (Заявление на подключение, Таблица связей, Соглашение о межсетевом взаимодействии).
- Обеспечить наличие лицензированных СКЗИ и назначенных приказом ответственных лиц (согласно внутреннему Порядку процесса).
- Провести кроссертификацию сетей (обмен ключами).
5. Типичные ошибки и рекомендации
- Отсутствие Акта классификации
Без этого документа невозможно выбрать правильный набор мер защиты. Акт должен быть утвержден владельцем информации и соответствовать Приложению № 3 к Приказу № 77. - Некорректная модель угроз
Модель должна учитывать:
- Актуальные угрозы из БДУ ФСТЭК
- Специфику сетевого взаимодействия через «ViPNet-Гринатом»
- Использование СКЗИ (отдельный класс угроз)
Рекомендация: Использовать Методику оценки угроз (2021).
- Игнорирование периодического контроля
Непредставление протоколов контроля в ФСТЭК ведет к приостановке действия аттестата (п. 34 Приказа № 77).
Рекомендация: Включить контроль в план мероприятий по защите информации. - Размытые зоны ответственности при использовании ЦОД
Четко разграничьте в договоре: кто отвечает за физическую защиту, обновление ПО виртуализации, мониторинг. Это должно быть отражено в Техническом паспорте (п. 2.3 формы Технического паспорта, Приложение № 1 к Приказу № 77). - Нарушение правил учета СКЗИ
Внутренний порядок «ViPNet-Гринатом» требует строгого учета ключевой информации. Нарушение может привести к отключению от сети даже при наличии аттестата ФСТЭК.
Рекомендация: Назначить приказом ответственного за учет СКЗИ, вести журналы по форме Приложения № 4 к Порядку процесса. - Неучет требований к СЗИ при выборе средств защиты
Для каждого класса защищенности установлены минимальные классы и уровни доверия СЗИ (п. 26 Приказа № 17, п. 12 Приказа № 21).
Рекомендация: Проверять статус сертификации в Реестре ФСТЭК и Реестре ФСБ.
6. Контрольный чек-лист перед подачей документов на аттестацию
- [ ] Определен класс защищенности / уровень защищенности ПДн
- [ ] Утвержден Акт классификации (форма — Приложение № 3 к Приказу № 77)
- [ ] Разработана и (при необходимости) согласована с ФСТЭК модель угроз
- [ ] Выбран и адаптирован базовый набор мер защиты
- [ ] Внедрены организационные и технические меры (в т.ч. СКЗИ с учетом требований ФСБ)
- [ ] Подготовлен комплект документов по п. 11 Приказа № 77
- [ ] Проведен анализ уязвимостей и приемочные испытания СЗИ
- [ ] Назначены ответственные лица, разработаны организационно-распорядительные документы
- [ ] Согласованы документы с АО «Гринатом» для подключения к «ViPNet-Гринатом»
- [ ] Выбран орган по аттестации с действующей лицензией ФСТЭК
Заключение
Аттестация информационной системы для работы в среде «ViPNet-Гринатом» — это двухуровневый процесс:
- Государственный уровень: Выполнение требований ФСТЭК России (классификация, внедрение мер, аттестационные испытания, получение Аттестата).
- Корпоративный уровень: Выполнение требований владельца сети (АО «Гринатом»), включая настройку СКЗИ, подписание соглашений о межсетевом взаимодействии, соблюдение регламентов обмена ключами.
Только комплексное соблюдение обоих наборов требований гарантирует легитимную и безопасную эксплуатацию информационной системы.
Статья подготовлена на основе анализа нормативных документов, действующих на момент публикации. Не является официальным разъяснением регуляторов. При принятии решений рекомендуется консультироваться с уполномоченными органами и лицензированными специалистами.