Кому нужна аттестация объектов информатизации

В статье рассматривается вопрос, нужна ли Вашему объекту информатизации аттестация по требованиям безопасности информации. Приводятся вырезки из приказов и регламентирующих документов.

Основной документ, регламентирующий процесс аттестации это ГОСТ РО 0043–003–2013  (Для служебного пользования), определяет понятия добровольной и обязательной аттестации:

«2) Аттестация объектов информатизации может носить добровольный или обязательный характер.

Добровольная аттестация осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях договора между заявителем и органом по аттестации. Добровольная аттестация может осуществляться для установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации.

Обязательная аттестация проводится только в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным федеральными законами, нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, уполномоченных федеральных органов исполнительной власти.»

Далее в хронологическом порядке рассмотрим выдержки из нормативных документов, проливающие свет на необходимость обязательной аттестации.

Положение по аттестации объектов информатизации по требованиям безопасности информации, Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. гласит:

«1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.»

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (ДСП), утвержденные приказом Гостехкомиссии России от 30.08.2002 №282. Этот документ носит обязательный характер для объектов информатизации, осуществляющих обработку государственных информационных ресурсов, и рекомендован для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.):

«2.17 Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.»

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России от 11 февраля 2013 г. N 17:

«3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении …

3. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации …»

Руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ) (ДСП) предусматривают аттестацию как обязательное мероприятие при вводе КСИИ в действие.

Принадлежность объекта информатизации к КСИИ устанавливается на основании секретного документа «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» (утв. Секретарем Совета Безопасности от 08.11.2005)».

Кроме случаев, когда необходимость аттестации обусловлена вышеупомянутыми нормативными документами, регулирующие органы государственной власти (ФСТЭК России, ФСБ России и др.) требуют у лицензиатов и соискателей лицензий на определённые виды деятельности выполнения требований соответствующих постановлений правительства РФ.

Для лицензиатов и соискателей лицензии ФСТЭК России по технической защите конфиденциальной информации процесс лицензирования регламентирует Постановление Правительства РФ от 03.02.2012 №79

«8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

г) копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации;
д) копии аттестатов соответствия автоматизированных систем требованиям безопасности информации»

Для лицензиатов и соискателей лицензии ФСБ России по разработке и производству средств защиты конфиденциальной информации – Постановление Правительства РФ от 03.03.2012 №171

«9. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

г) копии аттестатов соответствия защищаемых помещений требованиям по безопасности информации…
д) копии аттестатов соответствия средств обработки информации требованиям по безопасности информации…»

Для лицензиатов и соискателей лицензии ФСБ России на осуществление деятельности, связанной с шифровальными (криптографическими) средствами – положение, утверждённое Постановлением Правительства РФ от 16.04.2012 №313

«6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются:

в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность

7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган следующие копии документов и сведения:

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации»

Аттестация является самой доступной формой подтверждения выполнения требований Постановления №313 и не вызывает у регулятора никаких сомнений в возможности соискателя обеспечивать конфиденциальность информации.

Если по отношению к Вашему объекту информатизации процедура обязательной аттестации не установлена, Вы можете заказать добровольную аттестацию (рекомендуется в т.ч. для информационных систем персональных данных) в целях:

• независимой оценки сторонней организацией степени защищённости средств и систем, обрабатывающих конфиденциальную информацию;
• установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами, а также владельцем информации или объекта информатизации;
• официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.