Аттестация для взаимодействия с АС ЭТРАН ОАО «РЖД»: регуляторные требования и руководство к действию

Введение автоматизированной системы управления перевозками на новой платформе (АС ЭТРАН НП) ужесточило требования к информационной безопасности участников перевозочного процесса. Для подключения к информационным системам ОАО «РЖД» и ведения электронного документооборота организациям-клиентам необходимо обеспечить соответствие своей инфраструктуры требованиям регуляторов и условиям договора с перевозчиком.

Данная статья предназначена для специалистов по информационной безопасности и руководителей компаний, планирующих взаимодействие с АС ЭТРАН. На основе анализа Приказа ФСТЭК России № 17, Методического документа ФСТЭК и Соглашения об оказании информационных услуг ОАО «РЖД» (далее — Соглашение) мы разберем ключевые требования и шаги по подготовке к аттестации.

1. Нормативная база

Требования к защите информации при взаимодействии с АС ЭТРАН формируются на стыке государственного регулирования и корпоративных стандартов ОАО «РЖД».

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Базовый закон, устанавливающий обязанности операторов информационных систем.
2. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Определяет классы защищенности и общие требования к системам защиты информации (СЗИ).
3. Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (2014 г.). Детализирует конкретные меры защиты (идентификация, управление доступом, антивирусная защита и т.д.) в зависимости от класса защищенности.
4. Соглашение об оказании информационных услуг и предоставлении электронных сервисов в сфере грузовых перевозок ОАО «РЖД». Документ, регламентирующий взаимоотношения Клиента и Перевозчика. В разделе 5 («Обязательства по обеспечению информационной безопасности») прямо указаны требования к аттестации рабочих мест Клиента.

Дополнительные нормативные акты, влияющие на процесс:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — если в процессе обработки затрагиваются ПДн сотрудников или контрагентов.
• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — для организаций, отнесенных к субъектам КИИ.
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…».
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер…».

2. Ключевое требование: Аттестация объектов информатизации

Согласно п. 5.a.iii Соглашения, Клиент обязан обеспечивать подключение к информационным системам ОАО «РЖД» только аттестованных объектов информатизации.

Класс защищенности:
Аттестация должна проводиться по классу не ниже максимального класса защищённости подключаемых систем ОАО «РЖД». В сноске к данному пункту Соглашения указывается, что класс защищенности устанавливается в соответствии с Приказом ФСТЭК России № 17.

Важно: В зависимости от типа подключаемого сервиса и сегмента сети ОАО «РЖД», требования могут варьироваться (К1, К2 или К3). Рекомендуется уточнять актуальный требуемый класс в техническом задании на подключение или в Департаменте безопасности ОАО «РЖД».

3. Пошаговое руководство по подготовке к аттестации

Процесс приведения инфраструктуры в соответствие требованиям можно разделить на несколько этапов.

Этап 1. Классификация информационной системы

Согласно Приказу ФСТЭК № 17 (раздел II, п. 14.2), класс защищенности определяется исходя из:

• Уровня значимости информации (УЗ): Оценивается возможный ущерб от нарушения конфиденциальности, целостности или доступности (высокий, средний, низкий).
• Масштаба системы: Федеральный, региональный или объектовый.

Для большинства клиентов, подключающих автоматизированные рабочие места (АРМ) к АС ЭТРАН, система классифицируется как объектового масштаба. Уровень значимости определяется самим оператором (Клиентом) на основе анализа обрабатываемых данных.

Этап 2. Модель угроз безопасности информации

На основе классификации необходимо разработать Модель угроз (Приказ ФСТЭК № 17, п. 14.3).

• Источники: Банк данных угроз безопасности информации ФСТЭК России (БДУ).
• Методология: При разработке модели угроз рекомендуется руководствоваться:
  • Методикой оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021);
  • Базовой моделью угроз безопасности персональных данных (для систем, обрабатывающих ПДн);
  • Методикой определения актуальных угроз безопасности ПДн.
• Содержание: Описание потенциальных нарушителей, уязвимостей, способов реализации угроз и последствий.
• Цель: Обоснование выбора конкретных мер защиты.

Этап 3. Выбор и реализация мер защиты

Меры защиты выбираются на основе Методического документа ФСТЭК и Приложения № 2 к Приказу № 17. Базовый набор мер зависит от класса защищенности.

Типовые меры, обязательные для реализации (примеры):

Группа мер	Содержание	Ссылка на профиль защиты (при наличии)
Идентификация и аутентификация (ИАФ)	Управление учетными записями, парольная защита, блокировка сеансов	Профили защиты ОС
Управление доступом (УПД)	Разграничение прав, минимизация привилегий	—
Антивирусная защита (АВЗ)	Наличие сертифицированных средств защиты от вредоносного кода	Профили защиты АВЗ
Межсетевое экранирование (МЭ)	Контроль сетевого трафика, фильтрация пакетов	Профили защиты МЭ
Обнаружение вторжений (СОВ)	Мониторинг событий безопасности в реальном времени	Профили защиты СОВ
Регистрация событий безопасности (РСБ)	Ведение журналов аудита	—
Контроль целостности (ОЦЛ)	Проверка неизменности ПО и настроек	Профили защиты средств доверенной загрузки

Важно: При выборе средств защиты необходимо учитывать требования к их сертификации. Актуальный Порядок проведения сертификации утвержден приказом ФСТЭК России от 01.12.2023 № 240.

Этап 4. Специфические требования ОАО «РЖД»

Помимо общих требований ФСТЭК, Соглашение и Приложение № 2.1 выдвигают ряд специфических технических требований:

1. Защищенный канал связи: Подключение осуществляется через Централизованный узел доступа (ЦУДИС) (Приложение № 5).
2. Криптографическая защита: Обязательно использование средств криптографической защиты информации (СКЗИ). В Соглашении (Приложение 2.1, п. 2.2.6) упоминается необходимость лицензии на использование ViPNet Client для защищенного подключения.
   • Примечание: При первоначальном подключении одного рабочего места лицензия на первый год может предоставляться в рамках сопровождения, в последующие годы требуется оплата (Приложение 2.8).
3. Антивирусная защита: На все рабочие места должно быть установлено сертифицированное антивирусное ПО с актуальными базами (Приложение 5).
4. Схема подключения: Должна соответствовать типовой схеме (Приложение № 5 к Соглашению), включающей использование средств защиты периметра.

Этап 5. Проведение аттестационных испытаний

Согласно Приказу ФСТЭК № 17 (раздел II, п. 17) и Положению по аттестации объектов информатизации, аттестация включает:

1. Организационные мероприятия: Разработка комплекта документов (политики, инструкции, приказы).
2. Технические испытания: Проверка настроек СЗИ, сканирование на уязвимости, проверка функциональности средств защиты.
3. Оформление результатов: Протоколы испытаний, Аттестат соответствия.

Внимание: Проведение аттестационных испытаний лицами, участвовавшими в проектировании или внедрении СЗИ, не допускается (п. 17 Приказа № 17).

4. Эксплуатация и инциденты

После успешной аттестации и подключения работа не заканчивается. Соглашение накладывает обязательства по поддержанию уровня защиты.

Обязанности Клиента в процессе эксплуатации:

• Обновление баз: Своевременное обновление антивирусных баз и ПО (Приложение 5).
• Реагирование на инциденты: При регистрации массового вирусного заражения или сетевых атак ответственное лицо Клиента обязано:
  1. Принять меры по блокировке доступа организации к СПД ОАО «РЖД».
  2. Уведомить ГВЦ – филиал ОАО «РЖД» по телефону 8 (499) 262-80-73 доб. 3021 (Приложение 5).
• Контроль доступа: Запрет на использование несанкционированных устройств и ПО (п. 5.a.vii Соглашения).
• Уведомление об изменениях: Своевременное информирование ОАО «РЖД» об изменении реквизитов, полномочий сотрудников и состава владельцев (п. 1.e.iv Приложения 2.1.1).

Информационные сообщения ФСТЭК, которые рекомендуется отслеживать для актуализации мер защиты:

• О мерах по противодействию угрозам безопасности информации (от 26.04.2024);
• Об актуальных угрозах и уязвимостях (от 23.06.2021).

5. Частые ошибки и риски

1. Отсутствие актуального Аттестата: Подключение без действующего аттестата соответствия является нарушением п. 5.a.iii Соглашения и может привести к приостановке доступа (п. 1.a.vi Соглашения).
2. Истечение лицензий ViPNet: Отсутствие действующей лицензии на СКЗИ блокирует возможность защищенного соединения через ЦУДИС.
3. Неактуальные антивирусные базы: Может трактоваться как нарушение требований безопасности и стать основанием для отключения.
4. Игнорирование модели угроз: Формальный подход к классификации может привести к выбору недостаточного класса защиты, что будет выявлено при проверке.
5. Использование несертифицированных средств защиты: Для выполнения требований ФСТЭК и Соглашения необходимо использовать средства защиты, прошедшие процедуру сертификации в уполномоченных органах (система сертификации ФСБ).

6. Резюме

Взаимодействие с АС ЭТРАН ОАО «РЖД» требует от Клиента построения полноценной системы защиты информации. Процесс можно свести к следующей формуле:

Классификация (ФСТЭК № 17) + Модель угроз (Методика ФСТЭК) + Меры защиты (Методический документ) + Спецтребования (ViPNet, ЦУДИС, Антивирус) = Аттестат соответствия.

Рекомендуется начинать процесс подготовки за 2–3 месяца до планируемого начала работы с системой, учитывая время на закупку средств защиты, настройку и проведение аттестационных испытаний. Также необходимо учитывать, что сроки действия Соглашения могут обновляться (в предоставленном тексте период действия указан до 10.12.2025), поэтому перед началом работ следует актуализировать текст Соглашения на официальном сайте ОАО «РЖД» в разделе «Грузовые перевозки/Информационные услуги и сервисы».

---

Полезные ресурсы:

• Официальный сайт ФСТЭК России — нормативные документы, реестры сертифицированных средств защиты, БДУ.
• Банк данных угроз безопасности информации (БДУ) — актуальная информация об уязвимостях и угрозах.
• Сайт Роскомнадзора — реестр операторов персональных данных, разъяснения по 152-ФЗ.
• [Правовые порталы](https://normativ.kontur.ru/, https://www.consultant.ru/) — актуальные тексты нормативных правовых актов.

Данная статья носит информационный характер и не является публичной офертой. При реализации мер защиты рекомендуется руководствоваться актуальными версиями нормативных правовых актов и консультироваться с уполномоченными органами.