|
|
@@ -0,0 +1,76 @@
|
|
|
+# Аттестация объектов информатизации
|
|
|
+## 2.6.50 Аттестация объектов информатизации по принципу типовых сегментов — между мифом и практикой
|
|
|
+
|
|
|
+### **Введение**
|
|
|
+
|
|
|
+В современных условиях цифровизации государственных и корпоративных процессов вопросы информационной безопасности приобретают особую значимость. Одним из ключевых элементов обеспечения защиты персональных и служебных данных является **аттестация объектов информатизации (ОИ)**. Однако традиционный подход, при котором каждый элемент системы проходит индивидуальную проверку, становится всё менее применимым к масштабным и динамичным информационным системам.
|
|
|
+
|
|
|
+На смену жёсткой, статичной модели приходит гибкий механизм — **аттестация по принципу типовых сегментов**. Этот подход позволяет сократить временные и финансовые затраты, упростить сопровождение систем и обеспечить соответствие требованиям ФСТЭК. Тем не менее, вокруг него до сих пор ходит множество **мифов**, мешающих его эффективному внедрению.
|
|
|
+
|
|
|
+В данной теме мы разберём суть типовых сегментов, развенчаем распространённые заблуждения и покажем, как на практике можно использовать этот инструмент с максимальной пользой.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+### **Что такое типовые сегменты?**
|
|
|
+
|
|
|
+Согласно **пункту 17.3 Приказа ФСТЭК №17**, типовой сегмент — это часть информационной системы, которая соответствует уже аттестованному сегменту по следующим критериям:
|
|
|
+
|
|
|
+- одинаковый **класс защищённости**;
|
|
|
+- идентичные **угрозы безопасности информации**;
|
|
|
+- единые **проектные решения** по архитектуре и защите;
|
|
|
+- реализация полной **технологии обработки информации** (включая передачу, хранение, обработку).
|
|
|
+
|
|
|
+Если все условия соблюдены, аттестат соответствия может быть **распространён** на новый сегмент без проведения полного цикла испытаний.
|
|
|
+
|
|
|
+### **Преимущества подхода**
|
|
|
+
|
|
|
+1. **Экономия ресурсов** — не требуется разрабатывать отдельную документацию и проводить повторные испытания.
|
|
|
+2. **Масштабируемость** — легко подключать новые подразделения, филиалы или удалённые рабочие места.
|
|
|
+3. **Гибкость** — возможность адаптации к изменениям в инфраструктуре без пересмотра всей системы.
|
|
|
+4. **Соответствие законодательству** — использование типовых сегментов прямо разрешено нормативными актами.
|
|
|
+
|
|
|
+### **Развенчание мифов**
|
|
|
+
|
|
|
+#### **Миф 1: Типовые сегменты — это лазейка, которую не признают проверяющие**
|
|
|
+
|
|
|
+На самом деле, **ФСТЭК не только признаёт**, но и **поощряет** такой подход. В последнее время регулятор даже **выдвигает претензии** к тем, кто аттестует крупные системы без применения типовых сегментов. Это свидетельствует о том, что подход не просто легален — он **рекомендован** для систем регионального и федерального уровня.
|
|
|
+
|
|
|
+#### **Миф 2: Нужны одинаковые компьютеры и оборудование**
|
|
|
+
|
|
|
+Нет. Законодательство **не требует** идентичности оборудования по модели, производителю или конфигурации. Важно, чтобы **проектные решения и уровень защиты** совпадали. Например, если в аттестованном сегменте используется межсетевой экран и СЗИ НСД, то в типовом сегменте должны быть реализованы аналогичные средства, даже если они от другого поставщика.
|
|
|
+
|
|
|
+#### **Миф 3: Типовые сегменты можно описывать в проектной документации заранее**
|
|
|
+
|
|
|
+Хотя формально это не запрещено, такой подход **рискован**. Если на этапе проектирования вы зафиксируете конкретные модели оборудования или серийные номера, то любое изменение может поставить под сомнение легитимность типового сегмента. Лучше **не упоминать типовые сегменты до этапа аттестации**, а ограничиться общими принципами построения системы защиты.
|
|
|
+
|
|
|
+
|
|
|
+Пример 1
|
|
|
+
|
|
|
+
|
|
|
+Пример 2
|
|
|
+
|
|
|
+
|
|
|
+Пример 3
|
|
|
+
|
|
|
+#### **Миф 4: Ответственность за ошибки лежит на аттестующей организации**
|
|
|
+
|
|
|
+Ошибка. **Оператор информационной системы** несёт полную ответственность за корректность распространения аттестата. Аттестующий орган отвечает **только за качество испытаний** аттестованного сегмента. Если типовой сегмент не соответствует требованиям, штрафы и санкции будут применяться к оператору.
|
|
|
+
|
|
|
+#### **Миф 5: Типовые сегменты — только для государственных систем**
|
|
|
+
|
|
|
+Неверно. Хотя инициатива появилась в контексте ГИС, **любая организация** может использовать этот механизм. Приказ ФСТЭК №17 распространяется на все объекты информатизации, независимо от формы собственности.
|
|
|
+
|
|
|
+### **Практические рекомендации**
|
|
|
+
|
|
|
+1. **На этапе проектирования** сосредоточьтесь на унификации архитектуры, политик безопасности и классов защищённости.
|
|
|
+2. **При аттестации** убедитесь, что в программе и методике испытаний, а также в аттестате, **прописана возможность распространения** на типовые сегменты.
|
|
|
+3. **При подключении нового сегмента** проверьте:
|
|
|
+ - Совпадение класса защищённости;
|
|
|
+ - Актуальность модели угроз;
|
|
|
+ - Наличие всех необходимых средств защиты;
|
|
|
+ - Соответствие организационно-распорядительной документации.
|
|
|
+4. **Ведите учёт** — данные о подключённых сегментах **обязательно вносятся в технический паспорт**. Удобно вести отдельный паспорт на каждый типовой сегмент.
|
|
|
+
|
|
|
+### **Заключение**
|
|
|
+
|
|
|
+Аттестация по принципу типовых сегментов — это не упрощение, а **рационализация процесса**. Это инструмент, который позволяет **сохранить безопасность**, не жертвуя **гибкостью и эффективностью**. Главное — понимать границы его применения, избегать распространённых заблуждений и действовать в строгом соответствии с нормативными требованиями.
|
ypv
