# Проведение аттестации объектов информатизации

Проведение аттестации объектов информатизации – это не просто обязательная процедура, а фундамент, на котором строится надежная система информационной безопасности организации. Это комплексный процесс, требующий профессионального подхода, глубоких знаний нормативной базы и технических аспектов. Инвестируя в аттестацию, организации инвестируют в защиту своего бизнеса, репутации и доверия клиентов.

1. Что такое объект информатизации и зачем проводить аттестацию?

•  Объект информатизации (ОИ) – это любая система, комплекс систем, техническое средство, программное обеспечение, а также информационные ресурсы, предназначенные для обработки, хранения, передачи и использования информации. Это может быть как сервер, так и целая сеть, рабочее место пользователя, или даже мобильное приложение.
•  Цели аттестации:
  •  Подтверждение соответствия требованиям: Убедиться, что ОИ соответствует требованиям законодательства РФ (например, Федеральные законы "О персональных данных", "Об информации, информационных технологиях и о защите информации"), а также нормативным документам регуляторов (ФСТЭК России, ФСБ России).
  •  Оценка уровня защищенности: Идентификация и анализ потенциальных угроз и уязвимостей, а также оценка эффективности применяемых мер защиты.
  •  Определение соответствия заявленному уровню: Проверка, действительно ли ОИ обеспечивает заявленный уровень защищенности информации.
  •  Основание для эксплуатации: Получение аттестата соответствия является обязательным условием для ввода ОИ в эксплуатацию, если на нем обрабатывается информация ограниченного доступа.

2. Нормативно-правовая база аттестации

Проведение аттестации объектов информатизации регламентируется рядом документов:

•  Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
•  Федеральный закон № 152-ФЗ "О персональных данных".
•  Приказы ФСТЭК России:
  •  Приказ № 31 от 18 февраля 2013 г. "Об утверждении требований к обеспечению защиты информации в автоматизированных системах" (особенно актуален для автоматизированных систем).
  •  Приказ № 21 от 11 февраля 2013 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (для систем персональных данных).
•  Нормативные документы ФСБ России: В случае обработки сведений, составляющих государственную тайну.
•  Иные документы: Руководящие документы ФСТЭК России, методические рекомендации, стандарты.

3. Этапы проведения аттестации

Процесс аттестации является комплексным и включает в себя несколько ключевых этапов:

•  Этап 1: Предварительная подготовка и планирование.
  •  Определение объекта аттестации: Четкое описание границ ОИ, его состава (аппаратное, программное обеспечение, сети, пользователи, помещения).
  •  Определение целей аттестации: Какие виды информации обрабатываются (персональные данные, конфиденциальная информация, государственная тайна), какой уровень защищенности требуется.
  •  Выбор аттестационного центра: Определение организации, имеющей лицензию ФСТЭК России на проведение аттестационных испытаний.
  •  Разработка программы аттестационных испытаний: Составление детального плана работ, включая перечень проверяемых требований, методы и средства контроля.

•  Этап 2: Обследование объекта информатизации.
  •  Анализ документации: Изучение технической документации на ОИ, эксплуатационной документации, организационно-распорядительных документов по защите информации.
  •  Осмотр объекта: Проверка физической безопасности помещения, технических средств.
  •  Анализ конфигураций: Проверка настроек сетевого оборудования, серверов, рабочих станций, программного обеспечения.

•  Этап 3: Проведение аттестационных испытаний.

•  Тестирование: Применение различных методов и средств для проверки выполнения требований безопасности. Сюда входят:
    *  Тестирование на проникновение (пентест): Имитация атак для выявления уязвимостей.
    *  Анализ уязвимостей: Использование специализированного ПО для поиска известных слабых мест.
    *  Проверка настроек: Верификация правильности конфигурации систем и средств защиты.
    *  Оценка эффективности средств защиты: Тестирование межсетевых экранов, систем обнаружения и предотвращения вторжений, антивирусного ПО.
    *  Проверка физической безопасности: Оценка мер по предотвращению несанкционированного доступа к оборудованию.
  •  Оценка соответствия требованиям: Анализ результатов проведенных испытаний на соответствие нормативным документам.

•  Этап 4: Оформление результатов аттестации.
  •  Составление протоколов испытаний: Документирование всех проведенных проверок и полученных результатов.
  •  Составление аттестата соответствия: Если ОИ соответствует всем требованиям, выдается аттестат соответствия, подтверждающий его защищенность.
  •  Разработка рекомендаций: В случае выявления несоответствий, аттестующий орган выдает рекомендации по устранению выявленных недостатков.

4. Ответственность сторон

•  Заказчик (владелец ОИ): Несет ответственность за предоставление достоверной информации, обеспечение доступа к объекту и сотрудничество с аттестующим органом.
•  Аттестующий орган (организация с лицензией ФСТЭК): Несет ответственность за проведение испытаний в соответствии с программой, объективную оценку результатов и выдачу аттестата соответствия.
•  Оператор ОИ: Отвечает за поддержание уровня защищенности объекта в процессе его эксплуатации.

5. Актуальность и периодичность аттестации

Аттестат соответствия выдается на определенный срок. После его истечения или при существенных изменениях в объекте информатизации (изменение конфигурации, обновление ПО, появление новых угроз) требуется повторное проведение аттестации. Регулярная аттестация – это залог постоянного поддержания высокого уровня информационной безопасности.