В каких случаях и кому необходима аттестация в 2023 году? Как подготовиться к ней и минимизировать издержки? Какие есть подводные камни: нужно ли проводить повторную аттестацию и можно ли «нарваться» на устаревший ГОСТ? Рассмотрим новую проблематику в этой области.
- Введение
- История аттестации в России
- Современная проблематика темы аттестации
- Особенности аттестации информационных систем в 2023 году
- Выводы
Введение
Долгое время аттестация информационных систем воспринималась как нечто обязательное только для государственных органов, бюджетных учреждений и лицензиатов ФСТЭК России и ФСБ России. Действительно, если читать «в лоб» нормативные правовые акты по защите персональных данных, объектов КИИ (то, с чем сталкивается большинство организаций вне бюджетной сферы), то обязательных требований по аттестации там нет. Тем не менее всё больше заказчиков прибегают к этой услуге. Давайте разберёмся почему.
История аттестации в России
Понятие «аттестация» появилось в нормативно-правовой базе по защите информации с утверждением ещё Гостехкомиссией России в далёком 1994 году «Положения по аттестации объектов информатизации». В конце XX — начале XXI века регулятор оперировал только понятиями «объект информатизации» (изолированные АРМ либо небольшие ЛВС) и «уровень конфиденциальности» («секретно», «совершенно секретно» — для гостайны; «для служебного пользования» — для служебной тайны), были строгие требования по защите информации (для гостайны — СТР, для «дсп» — СТР-К), и аттестат был по сути разрешением обрабатывать информацию соответствующего уровня конфиденциальности для конкретного объекта бюджетной или оборонной организации.
Время шло, регулятор (уже ФСТЭК России) признал существование информационных систем и стал разрабатывать для них более гибкие требования по защите информации, основанные не на строгом выполнении конкретного перечня мер защиты, а на необходимости нейтрализации угроз безопасности информации, актуальных для конкретной системы. Для подтверждения эффективности принятых мер была предусмотрена процедура оценки. Вот только форма оценки эффективности так и не была никем утверждена (примечание: до сих пор). Рынок по-разному отреагировал на предоставленную свободу: кто-то стал проводить приёмку СЗИ в соответствии с ГОСТом (в основном бюджетные организации и «оборонка»), кто-то начал разрабатывать собственные формы оценки (почти все коммерческие организации, искавшие способ сэкономить на выполнении обязательных требований), лишь немногие обращались в органы по аттестации (в основном это были банки и крупный бизнес).
Современная проблематика темы аттестации
Однако многолетняя практика взаимодействия с регуляторами (ФСТЭК России, ФСБ России, Роскомнадзор) показала, что наличие аттестата соответствия требованиям по защите информации сразу снимает практически все вопросы к объекту проверки (остаётся по сути один: соответствие объекта проверки аттестату). Применение же иных форм оценки соответствия, особенно самооценки, вызывает дополнительные вопросы в части методологии и качества проведения работ, что зачастую приводит к никому не нужным замечаниям и предписаниям.
Эта практика нашла дальнейшее отражение в законопроекте Минцифры о введении оборотных штрафов за утечки персональных данных. В соответствии с ним сумму штрафа можно существенно снизить, если организация подтвердит факт приложения усилий к обеспечению защиты обрабатываемых персональных данных. Таким подтверждением, конечно же, будет являться аттестат. А проектом указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации» и вовсе впрямую установлена необходимость аттестации объектов, на которых обрабатывается информация, обладателем которой является государство.
Таким образом, в 2023 году следует аттестовывать:
- государственные информационные системы (прямое требование приказа ФСТЭК России от 11.02.2013 № 17);
- рабочие места и переговорные комнаты специалистов по защите информации лицензиатов ФСТЭК России, ФСБ России (для снятия вопросов об уровне их защищённости со стороны регуляторов);
- объекты КИИ (для снятия вопросов об уровне их защищённости со стороны регуляторов);
- информационные системы персональных данных (в качестве подстраховки для снижения суммы штрафа на случай возможной утечки);
- рабочие места специалистов, оказывающих услуги государственным органам и бюджетным учреждениям, обрабатывающим их информацию (для обеспечения возможности и дальше оказывать им такие услуги после подписания указа Президента).
Особенности аттестации информационных систем в 2023 году
На текущий момент правоотношения в области аттестации информационных систем, не обрабатывающих государственную тайну, регулируются приказом ФСТЭК России от 29.04.2021 № 77. Его выгодное отличие от предшественника (ГОСТ РО 0043-003-2012) — в том, что он:
а) открытый (позволяет контролировать исполнителя без необходимости покупки закрытого ГОСТа);
б) позволяет выдавать бессрочный аттестат.
Следует отметить, что никаких обязательств использовать для аттестации именно ГОСТ нет. В соответствии с разъяснениями ФСТЭК России, даже если объект не подпадает под действие порядка, аттестацию можно провести в соответствии с порядком по решению владельца объекта (а не органа по аттестации!).
Но всё ли так просто с аттестацией? Можно ли прямо сейчас обращаться в ближайший орган по аттестации и заказывать заветную «бумажку»? Конечно же, нет. Аттестация — это формализованный процесс подтверждения выполнения установленных требований по защите информации. Независимая комиссия оценивает, насколько качественно классифицированы информационные активы, определена актуальность угроз безопасности информации, реализованы организационные и технические меры защиты информации, выполнены формальные требования регулятора, одно из которых — применение сертифицированных СЗИ для реализации технических мер. Срок аттестационных испытаний ограничен четырьмя месяцами; если объект оценки не устранил все замечания в этот срок, орган по аттестации будет вынужден отказать в выдаче аттестата.
Для качественной подготовки к аттестации и для минимизации издержек рекомендуем обращаться за помощью к организациям — лицензиатам ФСТЭК России. Они спроектируют и помогут внедрить оптимальную систему защиты информации, удовлетворяющую всем требованиям регулятора, а их практика и возможное наличие собственного органа по аттестации позволяют давать гарантии прохождения аттестационных испытаний.
Выводы
В заключение хотелось бы отметить, что получение аттестата — это не завершение работ по защите информации, а лишь часть процесса, длящегося столько, сколько длится обработка информации, подлежащей защите. Несмотря на бессрочность выдаваемых аттестатов, после ввода информационной системы в строй необходимо обеспечить её эксплуатацию по сформированным при проектировании правилам и периодический контроль защищённости в установленные аттестатом сроки. При этом любые изменения, объективно неизбежные в крупных развивающихся информационных системах, могут повлечь за собой необходимость дополнительных аттестационных испытаний либо же повторной аттестации. В противном случае аттестат попросту будет считаться недействительным.
