Введение
Аттестация автоматизированных систем (АС) по требованиям безопасности информации — обязательная процедура для организаций, обрабатывающих конфиденциальную информацию в Российской Федерации. Данная статья поможет разобраться в регуляторных требованиях и предложит конкретное руководство к действию.
1. Нормативно-правовая база
1.1. Основные регулирующие документы
| Документ | Орган | Область применения | Ссылка |
|---|---|---|---|
| Приказ ФСТЭК России от 11.02.2013 № 17 | ФСТЭК | Государственные информационные системы (ГИС) | скачать |
| Приказ ФСТЭК России от 18.02.2013 № 21 | ФСТЭК | Персональные данные (ИСПДн) | скачать |
| Приказ ФСТЭК России от 14.03.2014 № 31 | ФСТЭК | АСУ ТП на критически важных объектах | скачать |
| Приказ ФСТЭК России от 25.12.2017 № 239 | ФСТЭК | Значимые объекты КИИ | скачать |
| Приказ ФСТЭК России от 21.12.2017 № 235 | ФСТЭК | Категорирование объектов КИИ | скачать |
| Постановление Правительства РФ от 03.02.2012 № 79 | Правительство | Лицензирование деятельности по технической защите | скачать |
| Постановление Правительства РФ от 01.11.2012 № 1119 | Правительство | Требования к защите ПДн | скачать |
| СТР-К (2002) | Гостехкомиссия | Конфиденциальная информация (служебная, коммерческая тайна) | скачать |
| Федеральный закон № 149-ФЗ «Об информации…» | Государственная Дума | Общие вопросы защиты информации | скачать |
| Федеральный закон № 152-ФЗ «О персональных данных» | Государственная Дума | Обработка и защита ПДн | скачать |
| Федеральный закон № 187-ФЗ «О безопасности КИИ» | Государственная Дума | Защита критической информационной инфраструктуры | скачать |
1.2. Разграничение полномочий
ФСТЭК России отвечает за:
- Защиту информации, не составляющей государственную тайну
- Техническую защиту конфиденциальной информации
- Контроль за соблюдением требований в ГИС, ИСПДн, КИИ
ФСБ России участвует в:
- Сертификации средств криптографической защиты
- Контроле за системами общего пользования (Приказ № 489/416)
- Лицензировании деятельности по технической защите
2. Классификация автоматизированных систем
2.1. Классы защищённости по Приказу ФСТЭК № 17 (ГИС)
| Уровень значимости | Федеральный масштаб | Региональный масштаб | Объектовый масштаб |
|---|---|---|---|
| УЗ 1 (высокий) | К1 | К1 | К1 |
| УЗ 2 (средний) | К1 | К2 | К2 |
| УЗ 3 (низкий) | К2 | К3 | К3 |
📄 Методический документ: Меры защиты информации в ГИС
2.2. Уровни защищённости по Приказу ФСТЭК № 21 (ПДн)
| Уровень | Условия определения |
|---|---|
| 1 | Специальные категории ПДн, более 100 000 субъектов |
| 2 | Специальные категории ПДн, менее 100 000 субъектов |
| 3 | Иные ПДн, более 100 000 субъектов |
| 4 | Иные ПДн, менее 100 000 субъектов |
📄 Постановление Правительства № 687: Положение об особенностях обработки ПДн
2.3. Классы защищённости по Приказу ФСТЭК № 31 (АСУ ТП)
| Уровень значимости информации | Класс защищённости |
|---|---|
| УЗ 1 (высокий) | К1 |
| УЗ 2 (средний) | К2 |
| УЗ 3 (низкий) | К3 |
3. Процесс аттестации: пошаговое руководство
Шаг 1. Предпроектное обследование
Что необходимо сделать:
- Определить тип информации, обрабатываемой в системе:
- Персональные данные
- Служебная тайна
- Коммерческая тайна (ФЗ № 98-ФЗ)
- Информация в ГИС
- Информация в КИИ
- Сформировать перечень сведений конфиденциального характера (Приложение № 6 СТР-К):
- Сведения о системе защиты информации
- Пароли и коды доступа
- Технические решения по защите
- Перечень обрабатываемых данных- Провести анализ угроз безопасности информации:
- Использовать Банк данных угроз ФСТЭК
- Применять Методику оценки угроз безопасности информации (ФСТЭК, 2021)
- Для ПДн: Базовая модель угроз (2008) и Методику определения актуальных угроз (2008)
- Определить модель нарушителя
- Оценить возможные последствия
Шаг 2. Классификация системы
Документирование:
- Составить Акт классификации АС (Приложение № 1 СТР-К)
- Указать:
- Наименование системы
- Условия эксплуатации (многопользовательский/однопользовательский)
- Характер обрабатываемой информации
- Установленный класс защищённости
Шаг 3. Разработка системы защиты информации
Техническое задание должно содержать:
- Цель и задачи защиты информации
- Класс защищённости системы
- Перечень нормативных документов
- Требования к мерам и средствам защиты
- Этапы создания системы защиты
- Требования к поставляемым средствам
Базовые меры защиты (Приказ ФСТЭК № 17, Приложение № 2):
| Группа мер | Класс 1 | Класс 2 | Класс 3 |
|---|---|---|---|
| Идентификация и аутентификация | + | + | + |
| Управление доступом | + | + | + |
| Антивирусная защита | + | + | + |
| Регистрация событий | + | + | + |
| Контроль защищённости | + | + | + |
| Обеспечение целостности | + | + | + |
| Обеспечение доступности | + | + | + |
📄 Профили защиты средств: межсетевые экраны | ОС типов Б и В | СОВ | антивирусы | доверенная загрузка | контроль съёмных носителей
Шаг 4. Внедрение системы защиты
Мероприятия:
- Установка и настройка средств защиты информации
- Разработка организационно-распорядительных документов:
- Политика безопасности
- Инструкции пользователям
- Инструкции администраторам
- Регламенты реагирования на инциденты
- Проведение предварительных испытаний
- Опытная эксплуатация
- Анализ уязвимостей (ГОСТ Р 56939-2024)
Шаг 5. Аттестационные испытания
Исходные данные для аттестации:
- Модель угроз безопасности информации
- Акт классификации системы
- Техническое задание
- Проектная и эксплуатационная документация
- Организационно-распорядительные документы
- Результаты анализа уязвимостей
Методы проверок:
- Экспертно-документальный — проверка документации
- Анализ уязвимостей — в том числе вызванных неправильной настройкой
- Испытания на проникновение — попытки НСД в обход системы защиты
📄 Положение по аттестации объектов информатизации
Шаг 6. Оформление результатов
Документы по итогам аттестации:
- Протоколы аттестационных испытаний
- Заключение о соответствии требованиям защиты информации
- Аттестат соответствия (Приложение № 2 СТР-К)
Аттестат соответствия содержит:
- Наименование системы и класс защищённости
- Состав технических средств с номерами сертификатов
- Разрешение на обработку конфиденциальной информации
- Запреты и ограничения при эксплуатации
- Срок действия (не более 3 лет)
- Ответственного за контроль защиты
4. Требования к средствам защиты информации
4.1. Сертифицированные средства (Приказ ФСТЭК № 17, п. 26)
| Класс системы | СЗИ (не ниже) | СВТ (не ниже) | Уровень доверия |
|---|---|---|---|
| К1 | 4 класс | 5 класс | 4 и выше |
| К2 | 5 класс | 5 класс | 5 и выше |
| К3 | 6 класс | 5 класс | 6 и выше |
🔍 Реестр сертифицированных СЗИ ФСТЭК
🔐 Система сертификации ФСБ России
📋 Порядок проведения сертификации (Приказ ФСТЭК № 240, 2023)
4.2. Лицензирование деятельности
Согласно Постановлению Правительства № 79 и ФЗ № 99-ФЗ «О лицензировании», лицензируются:
- Контроль защищённости от утечки по техническим каналам
- Контроль от НСД и модификации
- Мониторинг информационной безопасности
- Аттестационные испытания и аттестация
- Проектирование в защищённом исполнении
- Установка, наладка, ремонт СЗИ
5. Эксплуатация аттестованной системы
5.1. Обязанности оператора
В ходе эксплуатации необходимо:
- Планировать мероприятия по защите информации
- Анализировать угрозы безопасности (не реже 1 раза в 2 года) — Методика ФСТЭК 2021
- Управлять конфигурацией системы
- Реагировать на инциденты (взаимодействие с ГосСОПКА)
- Обучать персонал (не реже 1 раза в 2 года)
- Контролировать уровень защищённости:
- К1 — не реже 1 раза в год
- К2, К3 — не реже 1 раза в 2 года
5.2. Изменения в системе
Требуется уведомление органа по аттестации при изменении:
- Состава технических средств
- Условий размещения
- Программного обеспечения
- Режимов обработки информации
- Средств и мер защиты
5.3. Продление аттестата
За 3 месяца до истечения срока:
- Провести контроль состояния защиты
- Актуализировать модель угроз
- При необходимости — провести повторные испытания
- Оформить новый аттестат соответствия
6. Особенности для различных типов систем
6.1. Государственные информационные системы (Приказ № 17)
- Обязательная аттестация до начала обработки информации
- Контроль со стороны ФСТЭК
- Взаимодействие с ГСОПКА при инцидентах
6.2. Персональные данные (Приказ № 21)
- Уведомление Роскомнадзора и внесение в Реестр операторов ПДн
- Оценка эффективности мер (не реже 1 раза в 3 года)
- Возможность аттестации или декларации соответствия
6.3. Критическая информационная инфраструктура (Приказы № 235, 239)
- Категорирование объектов КИИ
- Создание системы безопасности значимого объекта
- Взаимодействие с ГосСОПКА
- Постановление Правительства № 2425 от 23.12.2021 — дополнительные требования
6.4. АСУ ТП (Приказ № 31)
- Учёт технологических особенностей
- Координация с мерами промышленной безопасности
- Приоритет доступности над конфиденциальностью
7. Типичные ошибки при аттестации
| Ошибка | Последствие | Как избежать |
|---|---|---|
| Неполная модель угроз | Недостаточная защита | Использовать Банк данных угроз ФСТЭК и актуальные методики |
| Отсутствие документации | Отказ в аттестации | Разработать полный комплект документов по СТР-К |
| Несертифицированные СЗИ | Несоответствие требованиям | Проверять сертификаты в реестре ФСТЭК и ФСБ |
| Неактуализированные документы | Аннулирование аттестата | Регулярно пересматривать документацию, следить за информационными сообщениями ФСТЭК |
| Отсутствие обучения персонала | Нарушения при эксплуатации | Проводить обучение не реже 1 раза в 2 года, фиксировать в журналах |
8. Контроль и надзор
8.1. Плановые проверки
ФСТЭК проводит проверки:
- Соблюдения требований к защите информации
- Соответствия системы аттестату
- Эффективности implemented мер защиты
8.2. Внеплановые проверки
Основания:
- Поступление информации о нарушениях
- Инциденты информационной безопасности
- Истечение срока аттестата
8.3. Ответственность за нарушения
- Приостановление действия аттестата
- Аннулирование аттестата
- Административные штрафы
- Приостановление обработки информации
9. Практические рекомендации
9.1. Подготовка к аттестации
- За 6 месяцев:
- Провести предпроектное обследование
- Определить класс защищённости
- Начать разработку документации
- За 3 месяца:
- Завершить внедрение СЗИ
- Провести анализ уязвимостей (ГОСТ Р 56939-2024)
- Подготовить персонал
- За 1 месяц:
- Провести предварительные испытания
- Подготовить пакет документов
- Подать заявку на аттестацию
9.2. Выбор исполнителей
При привлечении сторонних организаций проверять:
- Наличие лицензии ФСТЭК на соответствующий вид деятельности (Постановление № 79)
- Опыт работы с аналогичными системами
- Наличие аккредитованной лаборатории (для тестов на проникновение)
9.3. Оптимизация затрат
- Использовать встроенные средства защиты ОС и СУБД (Профили защиты ОС)
- Применять компенсирующие меры при невозможности реализации отдельных требований
- Объединять аттестацию с приёмочными испытаниями системы
10. Заключение
Аттестация автоматизированных систем — комплексный процесс, требующий:
- Понимания регуляторных требований — изучите применимые приказы ФСТЭК и ФСБ
- Системного подхода — от классификации до эксплуатации
- Документирования — каждый этап должен быть зафиксирован
- Регулярного контроля — защита информации требует постоянного внимания
Соблюдение требований по аттестации не только обеспечивает соответствие законодательству, но и повышает общую устойчивость организации к угрозам информационной безопасности.
Полезные ресурсы:
| Ресурс | Назначение | Ссылка |
|---|---|---|
| Банк данных угроз ФСТЭК | Анализ и моделирование угроз | bdu.fstec.ru |
| Реестр сертифицированных СЗИ | Проверка сертификатов средств защиты | reestr.fstec.ru |
| Документы ФСТЭК | Нормативные и методические материалы | fstec.ru/documents |
| Информационные сообщения ФСТЭК | Актуальные разъяснения регулятора | fstec.ru/news |
| Реестр операторов ПДн | Проверка статуса оператора | pd.rkn.gov.ru |
| Портал нормативных документов | Поиск законодательных актов | normativ.kontur.ru |
Ключевые ГОСТы и стандарты:
- ГОСТ Р 51583-2014 — Защита информации. Порядок создания автоматизированных систем в защищённом исполнении
- ГОСТ Р 56939-2024 — Защита информации. Анализ уязвимостей
- ГОСТ Р 59547-2021 — Защита информации. Термины и определения
Статья подготовлена на основе действующих нормативных правовых актов по состоянию на 2026 год. Рекомендуется регулярно проверять актуальность ссылок и нормативных документов на официальных сайтах регуляторов.