В условиях современного информационного обмена защита конфиденциальной информации становится критически важной задачей для организаций любого профиля. Одним из ключевых элементов системы защиты информации (СЗИ) является обеспечение безопасности помещений, где ведутся конфиденциальные переговоры или обрабатываются сведения ограниченного доступа. Процедура подтверждения соответствия таких помещений установленным требованиям называется аттестацией.
Данная статья призвана разъяснить регуляторные требования к аттестации защищаемых помещений (ЗП) на основе действующих нормативных правовых актов и методических документов ФСТЭК России, а также предложить пошаговый алгоритм действий для организаций.
1. НОРМАТИВНО-ПРАВОВАЯ БАЗА
Процесс аттестации регулируется комплексом документов. Важно различать информацию, составляющую государственную тайну, и конфиденциальную информацию (коммерческая тайна, служебная тайна, персональные данные и т.д.), так как требования к ним отличаются.
На основе предоставленных документов, основу регулирования для конфиденциальной информации составляют:
1.1. Федеральные законы
| Документ | Ссылка | Значение для аттестации ЗП |
|---|---|---|
| Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» | КонсультантПлюс | Определяет режим коммерческой тайны, меры по охране конфиденциальности, права и обязанности обладателя информации |
| Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | КонсультантПлюс | Устанавливает общие принципы защиты информации, требования к защите в информационных системах |
| Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» | КонсультантПлюс | Регулирует защиту персональных данных, что актуально для ЗП, где обрабатываются ПДн |
| Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» | КонсультантПлюс | Определяет лицензирование деятельности по технической защите конфиденциальной информации |
1.2. Постановления Правительства РФ
| Документ | Ссылка | Значение для аттестации ЗП |
|---|---|---|
| Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» | ФСТЭК России | Ключевой документ: прямо включает работы по аттестации защищаемых помещений в перечень лицензируемых видов деятельности |
| Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | КонсультантПлюс | Устанавливает уровни защищённости ПДн, что влияет на требования к ЗП при обработке ПДн |
1.3. Приказы и методические документы ФСТЭК России
| Документ | Ссылка | Значение для аттестации ЗП |
|---|---|---|
| СТР-К «Специальные требования и рекомендации по технической защите конфиденциальной информации» (утв. Гостехкомиссией России 30.08.2002) | WikiSec | Основной методический документ: устанавливает технические требования к защите ЗП, формы аттестатов, порядок организации работ |
| Положение по аттестации объектов информатизации по требованиям безопасности информации (Решение Гостехкомиссии России от 25.11.1994) | CNTD | Определяет общие принципы аттестации, организационную структуру, форму «Аттестата соответствия». Примечание: не применяется для объектов с гостайной с 01.06.2021 в связи с вступлением в силу Приказа ФСТЭК России № 110 |
| Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | ФСТЭК России | Содержит требования к защите информации в ГИС, применимые к ЗП, где размещены такие системы |
| Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных» | ФСТЭК России | Устанавливает меры защиты ПДн, включая организационные и технические требования к помещениям |
| Приказ ФСТЭК России от 28.09.2020 № 110 «Об утверждении Порядка аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну» | — | Регулирует аттестацию объектов с гостайной; для конфиденциальной информации применяются иные документы |
1.4. Методики и модели угроз
| Документ | Ссылка | Значение для аттестации ЗП |
|---|---|---|
| «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 15.02.2008) | ФСТЭК России | Используется для выявления актуальных угроз при проектировании защиты ЗП |
| «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008) | ФСТЭК России | Позволяет определить конкретные угрозы для ЗП и выбрать адекватные меры защиты |
| Банк данных угроз безопасности информации ФСТЭК России | bdu.fstec.ru | Справочный ресурс для анализа угроз при проектировании СЗИ помещения |
1.5. Стандарты и руководящие документы
| Документ | Ссылка | Значение для аттестации ЗП |
|---|---|---|
| ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения» | CNTD | Регулирует этапы создания защищённых систем, включая предпроектное обследование и аттестацию |
| РД Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от НСД к информации» (30.03.1992) | ФСТЭК России | Используется при классификации АС и определении требований к защите в ЗП |
2. ЧТО ТАКОЕ ЗАЩИЩАЕМОЕ ПОМЕЩЕНИЕ (ЗП) И ЗАЧЕМ НУЖНА АТТЕСТАЦИЯ
Согласно СТР-К (п. 1.12), защищаемые помещения — это помещения (служебные кабинеты, актовые залы, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, переговоров).
Аттестация — это комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям нормативно-технических документов по безопасности информации, утверждённых ФСТЭК России (Положение по аттестации, п. 1.4).
Цели аттестации:
- Официальное подтверждение эффективности комплекса мер защиты.
- Получение права на обработку информации с определённым уровнем конфиденциальности в данном помещении.
- Соблюдение лицензионных требований (Постановление Правительства РФ № 79, п. 4).
3. КТО ИМЕЕТ ПРАВО ПРОВОДИТЬ АТТЕСТАЦИЮ
Согласно Постановлению Правительства РФ № 79, деятельность по технической защите конфиденциальной информации подлежит лицензированию ФСТЭК России.
В пункт 4 данного Постановления прямо включены:
«работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации… защищаемых помещений».
Вывод: Организация не может провести аттестацию своими силами (за исключением внутренних проверок). Для получения официального «Аттестата соответствия» необходимо привлекать организацию, имеющую действующую лицензию ФСТЭК России на соответствующий вид деятельности.
Лицензиат должен соответствовать строгим требованиям:
- Наличие в штате квалифицированных специалистов (руководитель работ и инженерно-технические работники с профильным образованием и стажем).
- Наличие помещений и оборудования для проведения испытаний (измерительные приборы, прошедшие поверку, сертифицированные средства защиты).
- Наличие необходимой технической и методической документации.
4. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ К ЗАЩИЩАЕМОМУ ПОМЕЩЕНИЮ (НА ОСНОВЕ СТР-К)
До начала аттестации помещение должно быть подготовлено в соответствии с требованиями СТР-К (Раздел 4). Основные направления защиты включают:
4.1. Физическое расположение и конструкция
- ЗП должны размещаться в пределах контролируемой зоны (КЗ) (СТР-К, п. 1.16).
- Не рекомендуется располагать ЗП на первых этажах или в помещениях, смежных с организациями посторонних учреждений.
- Ограждающие конструкции (стены, полы, потолки) должны обеспечивать необходимую звукоизоляцию.
- Окна должны быть оборудованы шторами или жалюзи для исключения визуального съёма информации.
- Дверные проёмы рекомендуется оборудовать тамбурами с двойными дверями и уплотнительными прокладками.
4.2. Инженерные системы и оборудование
- Связь: Запрещено использование радиотелефонов, мобильных телефонов во время конфиденциальных мероприятий. Стационарные телефоны должны быть защищены от утечки за счёт электроакустического преобразования (СТР-К, п. 4.2.6–4.2.7).
- Системы вещания: Ввод радиотрансляции должен осуществляться через буферный усилитель в пределах КЗ (СТР-К, п. 4.2.8).
- Сигнализация: Системы пожарной и охранной сигнализации должны строиться по проводной схеме (СТР-К, п. 4.2.10).
- Часы: Электрочасы, линии которых выходят за пределы КЗ, должны быть защищены или исключены (СТР-К, п. 4.2.9).
- Кондиционирование и вентиляция: Выходы вентиляционных каналов должны быть оборудованы шумопоглотителями (СТР-К, п. 4.2.11).
4.3. Организационные меры
- Документальное определение перечня ЗП и лиц, ответственных за их эксплуатацию (СТР-К, п. 4.2.1).
- Составление технического паспорта на ЗП (форма приведена в Приложении № 4 к СТР-К).
- Режим доступа: двери должны запираться в нерабочее время, ключи выдаваться под отчёт.
- Запрет на проведение ремонтных работ без согласования со службой безопасности.
5. ПОШАГОВЫЙ АЛГОРИТМ АТТЕСТАЦИИ
Процесс аттестации можно разделить на несколько этапов, основанных на общих положениях по аттестации и требованиях СТР-К.
Этап 1. Предпроектное обследование и классификация
- Определение перечня сведений конфиденциального характера, которые будут обрабатываться в помещении.
- Определение угроз безопасности информации и модели нарушителя с использованием Базовой модели угроз и Банка данных угроз ФСТЭК.
- Классификация автоматизированных систем (если они есть в помещении) по уровню защищённости от НСД (на основе РД Гостехкомиссии).
- Разработка аналитического обоснования необходимости создания СЗИ (СТР-К, п. 3.8–3.9).
Этап 2. Проектирование и внедрение мер защиты
- Разработка проекта защиты помещения (звукоизоляция, установка средств защиты информации — СЗИ).
- Закупка и монтаж сертифицированных средств защиты (СЗИ от утечки по акустическому каналу, защищённые телефоны, фильтры питания и т.д.).
- Разработка организационно-распорядительной документации (инструкции, приказы, перечни сведений).
Этап 3. Выбор лицензиата
- Проверка наличия у подрядчика действующей лицензии ФСТЭК России на вид работ: «работы и услуги по аттестационным испытаниям и аттестации… защищаемых помещений» (Постановление № 79, п. 4).
- Проверка срока действия лицензии и отсутствия приостановления её действия.
Этап 4. Проведение аттестационных испытаний
Лицензиат проводит комплексную проверку объекта в реальных условиях эксплуатации:
- Анализ документации.
- Проверка организационных мер (опрос персонала, проверка журналов).
- Инструментальный контроль защищённости (проверка звукоизоляции, поиск закладных устройств, контроль побочных электромагнитных излучений и наводок).
- Оформление протоколов испытаний.
Этап 5. Оформление Аттестата соответствия
При положительных результатах испытаний оформляется «Аттестат соответствия» (форма приведена в Приложении № 3 к СТР-К и Приложении 2 к Положению по аттестации).
В Аттестате указываются:
- Наименование помещения и его адрес.
- Срок действия Аттестата (обычно не более 3 лет, при условии неизменности условий функционирования).
- Разрешённый уровень конфиденциальности обрабатываемой информации.
- Перечень характеристик, об изменениях которых требуется извещать орган по аттестации.
Этап 6. Периодический контроль
Согласно СТР-К (п. 3.24), в учреждении должен проводиться периодический контроль состояния защиты информации не реже одного раза в год. Контроль осуществляется службой безопасности организации. В случае изменения условий эксплуатации или состава оборудования может потребоваться внеплановая аттестация.
6. ТИПИЧНЫЕ ОШИБКИ И РИСКИ
- Отсутствие лицензии у подрядчика. Привлечение организации без лицензии ФСТЭК делает Аттестат недействительным с точки зрения регулятора.
- Игнорирование технических каналов утечки. Часто организации защищают только документы, забывая об акустическом канале (разговоры) и канале ПЭМИН (излучение от техники).
- Несоответствие оборудования. Использование средств защиты информации (СЗИ), не имеющих сертификата ФСТЭК или предписания на эксплуатацию.
- Формальный подход к документации. Наличие Аттестата не освобождает от ведения журналов, инструктажа персонала и реального соблюдения режима безопасности.
- Пропуск сроков периодического контроля. Отсутствие ежегодных проверок может привести к аннулированию режима защиты при выявлении нарушений.
7. ПОЛУЧЕНИЕ НОРМАТИВНОЙ ДОКУМЕНТАЦИИ
Для правильной подготовки к аттестации организации необходимо иметь доступ к актуальным нормативным документам (СТР-К, руководящие документы).
Согласно «Порядку обеспечения… документами ФСТЭК России», организации могут запрашивать необходимые документы в территориальных органах ФСТЭК.
- Документы, не содержащие гостайну, могут размещаться на официальном сайте fstec.ru.
- Документы ограниченного доступа запрашиваются посредством письменной заявки с обоснованием необходимости (лицензия, договоры и т.д.).
- Оплата документов производится согласно выставленным счетам (для коммерческих организаций) или бесплатно (для государственных органов на федеральном финансировании).
8. ДОПОЛНИТЕЛЬНЫЕ РЕСУРСЫ
| Ресурс | Ссылка | Назначение |
|---|---|---|
| Официальный сайт ФСТЭК России | fstec.ru | Публикация нормативных актов, информационных сообщений, реестров лицензиатов |
| Банк данных угроз безопасности информации | bdu.fstec.ru | Анализ актуальных угроз при проектировании СЗИ |
| Реестр операторов, обрабатывающих персональные данные (Роскомнадзор) | pd.rkn.gov.ru | Проверка статуса оператора ПДн при аттестации ЗП с обработкой ПДн |
| Информационные сообщения ФСТЭК России | Раздел на сайте ФСТЭК | Актуализация требований, разъяснения по применению нормативных актов |
ЗАКЛЮЧЕНИЕ
Аттестация защищаемого помещения — это не разовое мероприятие, а часть непрерывного процесса обеспечения информационной безопасности. Соблюдение требований ФСТЭК России позволяет организации легально работать с конфиденциальной информацией, минимизировать риски утечек и избежать штрафов со стороны регуляторов.
Ключевые условия успешной аттестации:
- Использование услуг организаций, имеющих действующую лицензию ФСТЭК России на аттестацию защищаемых помещений.
- Внедрение сертифицированных средств защиты информации, соответствующих требованиям СТР-К и профильных приказов ФСТЭК.
- Поддержание актуальности организационно-распорядительной документации и проведение периодического контроля (не реже 1 раза в год).
- Своевременное обращение в ФСТЭК России или её территориальные органы для получения актуальных нормативных документов.
Важно: Нормативная база в области защиты информации динамично обновляется. Перед началом работ по аттестации рекомендуется проверить актуальность ссылок и требований на официальном сайте ФСТЭК России.
Данная статья носит информационный характер и не является публичной офертой или юридической консультацией. При реализации мер защиты информации рекомендуется руководствоваться актуальными редакциями нормативных правовых актов и консультироваться с профильными специалистами.