Нормативные требования к аттестации АС/ИС по ГОСТ–РО 0043-003-2012 года
Введение
Аттестация АС/ИС, согласно ГОСТ РО 0043-003-2012, носит как добровольный, так и обязательный характер.
Обязательной аттестация является в случаях, если АС/ИС:
- обрабатывает информацию, составляющую государственную тайну;
- используется при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России);
- используется при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17);
- используется при выполнении требований по лицензированию по ТЗКИ и СКЗИ (Постановление Правительства Российской Федерации № 79);
- используется при выполнении требований по лицензированию по СКЗИ (Постановление Правительства Российской Федерации № 313).
Все остальные системы аттестуются в добровольном порядке по инициативе заявителя, в том числе, если АС/ИС:
- является объектом критической информационной инфраструктуры (Приказ ФСТЭК России № 239);
- является системой обработки персональных данных (Приказ ФСТЭК России № 21);
- является автоматизированной системой управления технологическим процессом (Приказ ФСТЭК России № 31);
- является аккредитованным удостоверяющим центром;
- соответствует внутренним нормативным требованиям по информационной безопасности заявителя.
В соответствии с ГОСТ РО 0043-003-2012, участниками аттестации являются:
- уполномоченные федеральные органы исполнительной власти;
- органы по аттестации (в случае защиты государственной тайны) или организации, имеющие лицензию на деятельность в области технической защиты конфиденциальной информации (в случае защиты конфиденциальной информации);
- заявители.
Обязанности участников закреплены в ГОСТ РО 0043-003-2012.
Основными функциями уполномоченных федеральных органов исполнительной власти являются нормативное регулирование в области аттестации и обеспечения безопасности информации, а также аккредитация и лицензирование организаций, проводящих аттестацию.
Основные функции организаций, проводящих аттестацию, закреплены в нормативных документах и в том числе включают:
- проведение аттестации АС/ИС и выдачу аттестатов соответствия;
- отмену и приостановку действия выданных этой организацией аттестатов соответствия;
- ведение реестра выданных аттестатов соответствия.
Заявителями могут быть владельцы или операторы АС/ИС, их основными задачами являются:
- подготовка АС/ИС к аттестации;
- привлечение организации для аттестации;
- эксплуатация аттестованной АС/ИС в соответствии с установленными требованиями.
Аттестация АС/ИС является завершающим этапом целого комплекса работ по защите информации, который включает в себя следующие основные составляющие:
- Определение требований безопасности информации, которым должна соответствовать АС/ИС.
- Создание системы защиты информации в соответствии с требованиями безопасности информации.
- После создания системы защиты информации возможно проведение аттестационных испытаний.
Определение требований безопасности информации к АС/ИС
Требования безопасности информации определяются путем проведения классификации АС/ИС по классу их защищенности (для некоторых категорий АС/ИС могут применяться термины «категория» и «уровень защищенности»). Исходя из класса защищенности, формируется требуемый набор мер защиты информации. Для некоторых категорий АС/ИС (в частности, государственные ИС, ИС персональных данных, значимые объекты критической информационной инфраструктуры) при выборе мер защиты информации обязательной является необходимость учитывать актуальные угрозы безопасности информации. Классификация АС/ИС, которые подлежат обязательной аттестации, осуществляется ее владельцем, согласно нормативно-методическим документам, приведенным в таблице 1.
№ п/п |
Тип АС/ИС |
Нормативная документация, в соответствии с которой проводится классификация АС/ИС |
1. | АС/ИС обрабатывает информацию, составляющую государственную тайну | Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. |
2. | АС/ИС используется при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России) | |
3. | АС/ИС используется при выполнении требований по лицензированию по ТЗКИ и СКЗИ (Постановление Правительства Российской Федерации № 79) | |
4. | АС/ИС используется при выполнении требований по лицензированию по СКЗИ (Постановление Правительства Российской Федерации № 313) | |
5. | АС/ИС используется при обработке информации в государственных и муниципальных информационных системах | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» |
Классификация для АС/ИС, которые подлежат аттестации в добровольном порядке, осуществляется владельцем аттестуемой АС/ИС, согласно нормативно-методическим документам или внутренним нормативным документам владельца АС/ИС. Применяемые требования показаны в таблице 2.
№ п/п |
Тип АС/ИС |
Нормативная документация, в соответствии с которой проводится классификация АС/ИС |
1. | АС/ИС является объектом критической информационной инфраструктуры (Приказ ФСТЭК России № 239) | Постановление Правительства Российской Федерации № 127 от 08 февраля 2018 г. (ред. 13 апреля 2019 г.) «Об утверждении Правил категорирования объектов КИИ Российской Федерации, а также перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений» |
2. | АС/ИС является системой обработки персональных данных (Приказ ФСТЭК России № 21) | Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» |
3. | АС/ИС является автоматизированной системой управления технологическим процессом (Приказ ФСТЭК России № 31) | Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» |
4. | АС/ИС является аккредитованным удостоверяющим центром | Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. |
5. | После создания системы защиты информации можно проводить аттестационные испытания АС/ИС | Методика категорирования АС/ИС, утвержденная в организации |
В случае, если проводится аттестация АС/ИС на соответствие внутренним нормативным требованиям по информационной безопасности владельца АС/ИС, классификация может не проводиться.
Создание системы защиты информации
Целью создания системы защиты информации является выполнение требуемых мер защиты информации, включая:
- выбор и внедрение дополнительных средств защиты информации;
- настройка имеющихся средств защиты информации (при их наличии);
- внедрение необходимых процессов обеспечения безопасности информации;
- разработка и утверждение организационно-распорядительной и эксплуатационной документации.
Особое внимание необходимо уделить организационно-распорядительной и эксплуатационной документации, в которой должно быть отражено следующее:
- В организационно-распорядительной документации должен быть определен порядок выполнения организационных и технических мер по защите информации аттестуемой АС/ИС.
- В эксплуатационной документации должны быть определены технологические процессы обработки защищаемой информации, описаны программные, технические средства, включенные в состав АС/ИС, а также средства, обеспечивающие защиту информации в АС/ИС. Необходимо определить порядок работы пользователей и администраторов с АС/ИС, а в случае обязательной аттестации — еще и место размещения технических средств, на которых работает АС/ИС.
Состав документации должен соответствовать нормативно-методической документации, в соответствии с которой проводится аттестация.
Работы по созданию системы защиты информации могут быть выполнены владельцем АС/ИС самостоятельно или с привлечением подрядчиков, обладающих лицензиями на проведение таких работ.
Проведение аттестации АС/ИС
Когда подготовительные работы выполнены (проведена классификация АС/ИС, выбраны и внедрены необходимые меры защиты информации), можно приступать непосредственно к аттестации АС/ИС. Последовательность работ по аттестации показана на рисунке ниже.

Этап I. Подготовительный
Обследование аттестуемой АС/ИС
Проведение обследования аттестуемой АС/ИС не является обязательным и проводится с привлечением для аттестации организации, не участвующей в создании системы защиты информации. Такие обследования проводятся для сбора данных, необходимых для понимания всех процессов обработки защищаемой информации и определения необходимости и достаточности реализуемых мер защиты.
Доработка системы защиты информации
В случае, если при обследовании выясняется, что в АС/ИС не в полной мере выполняются требования безопасности информации, для успешной аттестации необходимо провести работы по доработке системы защиты информации. Они могут включать в себя:
- дополнительную настройку средств защиты информации;
- корректировку организационно-распорядительной и эксплуатационной документации.
Эти работы могут быть проведены как владельцем аттестуемой АС/ИС, так и организацией, проводящей аттестацию.
Данный шаг не является обязательным, и он может не потребоваться в случае качественного выполнения работ по созданию системы защиты информации.
Разработка программы и методик аттестационных испытаний
После ознакомления с АС/ИС организация, проводящая ее аттестацию, разрабатывает программу и методики аттестационных испытаний. В них должны быть определены:
- требования, на соответствие которым проводится аттестация;
- состав аттестационной комиссии;
- методы проверки соответствия требований информационной безопасности АС/ИС;
- наличие технических средств для проверки утечки информации по техническим каналам (при необходимости).
Программа и методики аттестационных испытаний разрабатываются в соответствии с требованиями нормативно-методических документов и согласуются с владельцем АС/ИС.
Этап II. Аттестационный
Аттестационный этап делится на два подэтапа:
- Проведение аттестационных испытаний АС/ИС в реальных условиях, в которых проверяется фактическое выполнение требований по защите информации на различных этапах технологического процесса обработки защищаемой информации. По завершении данного подэтапа организация, выполнившая аттестацию АС/ИС, оформляет протокол аттестационных испытаний. В нем фиксируются результаты проводимых проверок, согласно программе и методикам аттестационных испытаний.
- Разработка заключения на основании протокола аттестационных испытаний, в котором содержатся оценка соответствия системы защиты информации АС/ИС требованиям безопасности информации, рекомендации по контролю за функционированием АС/ИС и вывод о возможности выдачи аттестата соответствия или необходимые рекомендации по устранению замечаний, выявленных в результате аттестационных испытаний.
Этап III. Заключительный
Аттестат соответствия оформляется и выдается организацией, проводившей аттестацию, после утверждения положительного заключения по результатам аттестационных испытаний АС/ИС.
Все время эксплуатации АС/ИС либо в течение срока действия аттестата соответствия (не более трех лет, кроме АС/ИС, отнесенных к ГИС) заявитель обязан соблюдать все требования по эксплуатации, описанные в организационно-распорядительной и эксплуатационной документации.
В случае изменения размещения технологических средств, условий эксплуатации или смены средств защиты информации владелец аттестованных АС/ИС обязан оповестить об этом организацию, выдавшую аттестат соответствия требованиям информационной безопасности. В таком случае, если это необходимо, организацией назначаются дополнительные проверки эффективности системы защиты информации.
Заключение
Аттестация АС/ИС – это совместный путь организации, выполняющей работы по аттестации АС/ИС, и заявителя (владельца системы), который они должны пройти вместе от первого до последнего шага. Итогом этой командной работы становится получение заявителем Аттестата соответствия требованиям безопасности информации.
Авторы:
Егор Ляпустин, инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»,
Дмитрий Шлей, эксперт группы системной архитектуры Центра информационной безопасности компании «Инфосистемы Джет»
