Аттестация информационных систем — это комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие информационной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации. Подтверждением такого соответствия является специальный документ –аттестат соответствия.
Обязательной аттестации подлежат следующие информационные системы:
- информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами («Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. председателем Гостехкомиссии 25.11.1994 г.);
- информационные системы, отнесенные к муниципальным или государственным (приказ ФСТЭК РФ от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца информационной системы.
Иными словами, если в вашей организации есть информационная система, в которой ведется обработка персональных данных, то аттестация такой информационной системы является добровольной, но если эта информационная система является государственной, то аттестация обязательна.
Аттестацию на соответствие требованиям по защите информации могут проводить организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации, выданную ФСТЭК России.
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации
Аттестат соответствия выдается на период, в течение которого должна быть обеспечена неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 3 года.
Владелец аттестованной информационной системы несет ответственность за неизменность установленных условий функционирования информационной системы, технологии обработки защищаемой информации и требований по безопасности информации.
Эксплуатация аттестованной информационной системы
Эксплуатация аттестованной информационной системы должна осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами. Владелец обязан:
- поддерживать правила разграничения доступа в информационную систему;
- поддерживать работоспособность средств защиты информации в информационной системе в соответствии с эксплуатационной документацией;
- информировать пользователей информационной системы о правилах эксплуатации средств защиты информации, а при необходимости обучать их работе со средствами защиты информации;
- выявлять, регистрировать и реагировать на события в информационной системе, связанные с защитой информации;
- поддерживать конфигурацию информационной системы и ее систему защиты информации (структуру системы защиты информации информационной системы, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
- ежегодно проводить контроль соблюдения неизменности условий и технологии обработки защищаемой информации в информационной системе.
В случае изменения условий и технологии обработки защищаемой информации владелец аттестованной информационной системы обязан известить об этом организацию, проводившую работы по аттестации информационной системы, которая в свою очередь принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:
- Состав и условия размещения технических средств и систем.
Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б. Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.
- Состав программного обеспечения обработки защищаемой информации и условия ее обработки.
Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких». В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).
- Состав продукции, используемой в целях защиты информации, параметры установки и настройки.
Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.
Выводы:
При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия». Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Специалисты «Контур-Безопасность» готовы:
- подготовить документы
- провести аттестационные испытания
- проконсультировать по сложным вопросам
Если вы не знаете, что именно нужно в вашем случае — переаттестация или внесение изменений в текущую документацию, описывайте ситуацию в комментариях, мы постараемся разобрать ее онлайн или в следующей статье.
Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»
Если речь идет о прикладном программном обеспечении, то аттестационные испытания на соответствие требованиям безопасности информации организуются покупателем-пользователем.
Если же речь идет об облачном продукте (SaaS), к которому предоставляется доступ покупателю-пользователю, то аттестационные испытания организуются поставщиком услуг (продавцом-разработчиком).
Аттестационные испытания проводятся в отношении информационной системы в целом, а не в отношении программного обеспечения.
Случаи, когда аттестация информационной системы обязательна описаны в статье.
Наша фирма успешно аттестовала ИСПДн (по новым правилам, с бессрочным аттестатом), теперь один из сотрудников этой фирмы планирует работать удаленно из дома, через подключение по ВИПНЕТ клиенту с домашнего АРМ. Соответственно этот АРМ необходимо добавить в ИСПДн.
1. Необходима ли в таком случае переаттестация?
2. Как лучше эту переаттестацию сделать? (например, добавить пункт, что в случае распространения информации, вся ответственность ложится на самого пользователя, это перекроет проблему необходимости пропускной системы, жалюзей на окнах и тп)
3. Что именно в этой ситуации нужно менять? (только аттестационную документацию, или еще и заного делать проектную документацию)
4. Сильно ли изменится СЗИ?
Такая ситуация, имеется действующий Аттестат (еще 2 года). Организация расширила состав ТС (установили дно АРМ), что в этом случае происходит с аттестатом? Требуется ли переаттестация или возможно аттестовать новое ТС по истечению 2 лет?