Аттестация и обеспечение безопасности ИСОП: Руководство по соответствию регуляторным требованиям

Введение

В условиях цифровизации государственных услуг обеспечение безопасности информационных систем общего пользования (ИСОП) становится критически важным элементом национальной информационной инфраструктуры. Термин «аттестация ИСОП» широко используется в профессиональной среде, однако с точки зрения действующего законодательства речь идёт о комплексном процессе оценки соответствия, уведомления регуляторов и поддержания защищённости в течение всего жизненного цикла системы.

Настоящая статья предназначена для специалистов по информационной безопасности, руководителей подразделений и операторов государственных информационных систем. Материал поможет систематизировать требования нормативных актов и выстроить практический алгоритм действий без маркетинговых обещаний, опираясь исключительно на действующие документы.

1. Нормативно-правовая база

Регулирование безопасности ИСОП строится на иерархической системе документов. Ключевые акты, формирующие обязательные требования:

1.1. Федеральное законодательство

Документ	Ссылка	Значение для ИСОП
ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ	consultant.ru	Базовые принципы защиты информации, полномочия регуляторов
ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 № 99-ФЗ	consultant.ru	Правовые основы лицензирования деятельности по технической защите информации
ФЗ «О безопасности критической информационной инфраструктуры РФ» от 26.07.2017 № 187-ФЗ	consultant.ru	Дополнительные требования, если ИСОП отнесена к КИИ

1.2. Подзаконные акты (ключевые)

Документ	Ссылка	Значение для ИСОП
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»	fstec.ru	Основной документ: определяет классы ИСОП, требования к защите, порядок ввода в эксплуатацию
Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»	fstec.ru	Регулирует лицензирование исполнителей работ по защите конфиденциальной информации
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»	consultant.ru	Применяется, если ИСОП обрабатывает персональные данные

1.3. Методические документы ФСТЭК России

Документ	Ссылка	Применение
Методический документ «Меры защиты информации в государственных информационных системах» (от 11.02.2014)	fstec.ru	Базовый справочник мер защиты для ГИС, применим к ИСОП по аналогии
Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021)	normativ.kontur.ru	Алгоритм формирования модели угроз — обязательный этап перед выбором мер защиты
Банк данных угроз ФСТЭК России	bdu.fstec.ru	Справочный ресурс для актуализации моделей угроз
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации в государственных информационных системах»	fstec.ru	Дополнительный ориентир при проектировании защиты ИСОП

Важно: Приказ № 416/489 является специальным нормативным актом для ИСОП и имеет приоритет над общими требованиями к ГИС при наличии коллизий.

2. Понятие ИСОП и сфера применения требований

Согласно пункту 1 Приказа № 416/489, под информационными системами общего пользования понимаются:

федеральные государственные информационные системы (ФГИС);
созданные или используемые для реализации полномочий федеральных органов исполнительной власти;
содержащие сведения о деятельности Правительства РФ и федеральных органов, обязательные для размещения в сети Интернет.

Ключевая особенность: информация в ИСОП является общедоступной (п. 4 Требований). Однако это не освобождает оператора от обязанности защищать систему от несанкционированных воздействий, обеспечивая целостность и доступность данных.

Не подпадают под регулирование: коммерческие порталы, сайты субъектов РФ и муниципальных образований (если не отнесены к ИСОП решением Правительства), системы, не содержащие обязательной к публикации информации о деятельности федеральных органов власти.

3. Классификация ИСОП: от чего зависит строгость требований

Класс системы определяет перечень обязательных мер защиты и регулятора, принимающего уведомление о вводе в эксплуатацию.

Класс	Критерии отнесения	Регулятор для уведомления	Особенности требований
I класс	ИСОП Правительства РФ и иные системы, нарушение целостности и доступности которых может привести к угрозам безопасности Российской Федерации	ФСБ России	Все средства защиты должны быть сертифицированы ФСБ России; хранение сетевого трафика — 10+ дней; обязательное использование СКЗИ, сертифицированных ФСБ
II класс	Все остальные ИСОП, не отнесенные к I классу	ФСТЭК России	Допускаются средства, сертифицированные ФСБ России и(или) ФСТЭК России; хранение трафика — 24+ часа; требования к резервированию — частичные

Процедура отнесения к классу (п. 5.1 Требований):

Анализ значимости информации и последствий её компрометации.
Издание приказа руководителя федерального органа исполнительной власти.
Фиксация класса в технической документации системы.

Практическая рекомендация: При сомнениях в классификации целесообразно направить запрос в ФСТЭК России для получения разъяснений до начала проектирования системы защиты.

4. Обязательные требования к защите информации

4.1. Общие требования (применимы к обоим классам)

Согласно пунктам 2, 11, 12, 15 Приказа № 416/489, оператор ИСОП обязан обеспечить:

Целостность и доступность информации при любых воздействиях;
Предотвращение неправомерных действий: уничтожения, модификации, блокирования;
Своевременное обнаружение инцидентов информационной безопасности;
Восстановление информации после инцидента в срок не более 8 часов;
Ведение электронного журнала обращений пользователей с периодической проверкой уполномоченными лицами;
Запись и хранение сетевого трафика (срок зависит от класса);
Регистрацию действий обслуживающего персонала и пользователей;
Постоянный контроль защищённости системы.

4.2. Специфические требования по классам

Для ИСОП I класса (п. 17.1)

Требование	Детализация	Нормативное обоснование
Криптографическая защита	Применение ЭЦП к публикуемому контенту; средства СКЗИ, сертифицированные ФСБ России	п. 17.1, абз. 2
Защита от вредоносного ПО	Антивирусные средства, сертифицированные ФСБ России	п. 17.1, абз. 3
Контроль доступа и межсетевое экранирование	Средства, сертифицированные ФСБ России	п. 17.1, абз. 4–5
Хранение сетевого трафика	10 и более последних дней; предоставление доступа по запросам уполномоченных органов	п. 17.1, абз. 6
Физическая защита помещений	Системы видеонаблюдения, предотвращающие проникновение посторонних	п. 17.1, абз. 7
Гарантированное электропитание	Сертифицированные источники бесперебойного питания	п. 17.1, абз. 10
Мониторинг защищённости	Осуществляется уполномоченным подразделением ФСБ России	п. 17.1, абз. 11

Для ИСОП II класса (п. 17.2)

Требование	Детализация	Нормативное обоснование
Сертификаты средств защиты	Допускаются средства, сертифицированные ФСБ России и(или) ФСТЭК России с учётом компетенции	п. 17.2, абз. 2–5
Хранение сетевого трафика	Последние сутки и более	п. 17.2, абз. 6
Резервирование	Частичное резервирование технических средств и дублирование массивов информации	п. 17.2, абз. 9
Электропитание	Использование систем гарантированного электропитания (требование о сертификации не указано)	п. 17.2, абз. 10
Мониторинг	Осуществляется уполномоченным подразделением ФСБ России	п. 17.2, абз. 11

Критическое замечание: Использование средств защиты без действующего сертификата или с истёкшим сроком действия является нарушением лицензионных требований и влечёт административную ответственность.

5. Процедура ввода в эксплуатацию: от модели угроз к уведомлению регулятора

В контексте ИСОП термин «аттестация» часто подменяет законодательно установленную процедуру оценки соответствия и уведомления. Алгоритм действий оператора:

Этап 1. Формирование модели угроз

Провести анализ активов системы и возможных угроз.
Использовать Методику оценки угроз безопасности информации (ФСТЭК, 2021) и актуализировать данные через Банк данных угроз ФСТЭК.
Зафиксировать результаты в документе «Модель угроз безопасности информации ИСОП».

Этап 2. Проектирование системы защиты

На основе модели угроз и класса системы выбрать меры из Методического документа «Меры защиты информации в государственных информационных системах».
Разработать Техническое задание на систему защиты информации.
Обеспечить соответствие средств защиты требованиям п. 17 Приказа № 416/489 (сертификаты, сроки действия).

Этап 3. Внедрение и проверка готовности

Установить и настроить средства защиты в соответствии с эксплуатационной документацией.
Провести проверку готовности средств защиты к использованию с составлением заключений (п. 12 Требований).
Обучить персонал правилам работы с применёнными средствами защиты.

Этап 4. Уведомление регулятора и ввод в эксплуатацию

Класс ИСОП	Регулятор	Документ	Основание
I класс	ФСБ России	Уведомление о готовности ввода в эксплуатацию и соответствии Требованиям	п. 17.1, последний абзац
II класс	ФСТЭК России	Уведомление о готовности ввода в эксплуатацию и соответствии Требованиям	п. 17.2, последний абзац

Важно: Ввод ИСОП в эксплуатацию возможен только после направления уведомления. Отсутствие уведомления является основанием для приостановки функционирования системы.

Этап 5. Эксплуатация и поддержание соответствия

Вести электронный журнал обращений и архив сетевого трафика.
Проводить регулярный мониторинг защищённости.
Актуализировать модель угроз при изменении архитектуры или функционала системы.
Обеспечивать повышение квалификации персонала (не реже 1 раза в 5 лет — по аналогии с лицензионными требованиями).

6. Лицензирование исполнителей: когда требуется и какие есть нюансы

Если при создании или сопровождении ИСОП выполняются работы по технической защите конфиденциальной информации (не содержащей гостайну, но защищаемой в силу закона), исполнитель должен соответствовать требованиям Постановления № 79.

6.1. Лицензируемые виды деятельности (п. 4 Положения)

Услуги по контролю защищённости от утечки по техническим каналам;
Услуги по контролю защищённости от НСД и модификации;
Услуги по мониторингу информационной безопасности;
Работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации;
Работы по проектированию в защищённом исполнении;
Услуги по установке, монтажу, наладке средств защиты информации.

6.2. Ключевые лицензионные требования (п. 5–6 Положения)

Требование	Для юридического лица	Для ИП
Квалификация руководителя	Высшее образование в области ИБ + стаж 3 года или техническое/естественнонаучное + стаж 5 лет или иное высшее + стаж 5 лет + переподготовка (360 часов)	Аналогично, но применяется к самому ИП
Инженерно-технический персонал	Не менее 2 человек с высшим образованием в области ИБ + стаж 3 года или иное высшее + стаж 3 года + переподготовка	Не применяется
Помещения	Нежилые, на праве собственности или ином законном основании, с условиями для работы с информацией ограниченного доступа	Аналогично
Оборудование	Сертифицированные средства защиты, поверенные измерительные приборы, средства анализа исходного кода	Аналогично
Документация	Наличие нормативных и методических документов, полученных в установленном порядке	Аналогично

7. Пошаговый чек-лист для оператора ИСОП

Для систематизации работ рекомендуется следующий алгоритм:

[ ] 1. Инвентаризация
    □ Определить перечень систем, подпадающих под определение ИСОП
    □ Зафиксировать функционал, обрабатываемые данные, архитектуру

[ ] 2. Классификация
    □ Провести анализ значимости информации
    □ Издать приказ о классификации (I или II класс)
    □ Зафиксировать класс в технической документации

[ ] 3. Аудит инфраструктуры
    □ Проверить наличие помещений, соответствующих требованиям п. 9 Требований
    □ Сверить сертификаты средств защиты (действующие, нужного регулятора)
    □ Оценить возможность восстановления за ≤8 часов

[ ] 4. Документирование
    □ Разработать модель угроз (по Методике ФСТЭК 2021)
    □ Составить ТЗ на систему защиты
    □ Подготовить инструкции для пользователей и администраторов
    □ Описать систему защиты в соответствии с п. 12 Требований

[ ] 5. Внедрение
    □ Установить и настроить СЗИ по эксплуатационной документации
    □ Настроить ведение электронного журнала обращений
    □ Обеспечить запись и хранение сетевого трафика (срок по классу)
    □ Провести обучение персонала

[ ] 6. Проверка готовности
    □ Составить заключения о готовности средств защиты к эксплуатации
    □ Протестировать процедуру восстановления после инцидента
    □ Проверить регистрацию действий персонала

[ ] 7. Уведомление регулятора
    □ Подготовить уведомление о готовности ввода в эксплуатацию
    □ Направить в ФСБ России (I класс) или ФСТЭК России (II класс)
    □ Получить подтверждение приёма уведомления

[ ] 8. Эксплуатация
    □ Вести мониторинг защищённости
    □ Актуализировать модель угроз при изменениях системы
    □ Проводить периодические проверки журнала обращений
    □ Обеспечивать повышение квалификации персонала

8. Типичные ошибки и как их избежать

Ошибка	Последствия	Как избежать
Неверная классификация ИСОП	Применение недостаточных мер защиты; отказ регулятора в приёме уведомления	Провести формализованный анализ угроз безопасности РФ; при сомнениях — запрос в ФСТЭК
Использование несертифицированных СЗИ	Нарушение п. 17 Требований; риски при проверках	Вести реестр средств защиты с контролем сроков действия сертификатов; использовать реестры сертифицированных средств
Недостаточный срок хранения трафика	Невыполнение п. 17.1/17.2; невозможность расследования инцидентов	Настроить автоматическую ротацию логов с сохранением 10 дней (I класс) или 24 часа (II класс)
Отсутствие модели угроз	Невозможность обосновать выбор мер защиты; замечания при аудите	Использовать актуальную Методику ФСТЭК 2021 и Банк данных угроз
Превышение времени восстановления >8 часов	Нарушение п. 15 Требований; простой системы при инциденте	Регулярно тестировать процедуры восстановления; внедрить автоматизированное резервное копирование
Игнорирование требований к помещениям	Риски физического доступа посторонних; нарушения при проверках	Обеспечить контроль доступа, видеонаблюдение, учёт посетителей в серверных

9. Дополнительные ресурсы и актуализация информации

Для поддержания соответствия требованиям рекомендуется регулярно отслеживать обновления регуляторов:

ФСТЭК России: fstec.ru — приказы, методические документы, информационные сообщения, реестры сертифицированных средств.
ФСБ России: fsb.ru — требования к криптографической защите, сертификаты СКЗИ.
Роскомнадзор: rkn.gov.ru — если ИСОП обрабатывает персональные данные.
Банк данных угроз ФСТЭК: bdu.fstec.ru — для актуализации моделей угроз.
Правовые базы: consultant.ru, garant.ru, kontur.ru — для отслеживания изменений в законодательстве.

Заключение

Обеспечение безопасности ИСОП — это не разовое мероприятие по «получению аттестата», а непрерывный процесс управления рисками, соответствия регуляторным требованиям и поддержания инфраструктуры в актуальном состоянии. Ключевые принципы успешной реализации:

Строго следовать иерархии нормативных актов: Приказ № 416/489 имеет приоритет для ИСОП.
Документировать каждый этап: от модели угроз до заключений о готовности СЗИ.
Контролировать сертификаты средств защиты: использовать только действующие, с учётом компетенции регулятора (ФСБ/ФСТЭК).
Планировать ресурсы на эксплуатацию: мониторинг, ведение журналов, обучение персонала.
Своевременно актуализировать знания: регуляторная сфера динамична, особенно в части лицензирования.

Несмотря на изменения в лицензионном регулировании (Постановление № 79), базовые требования к техническим средствам защиты, классификации систем и уведомлению регуляторов остаются фундаментом безопасности государственных информационных ресурсов. Инвестиции в корректное соответствие требованиям на этапе проектирования многократно окупаются снижением рисков инцидентов и административных санкций в процессе эксплуатации.