# Аттестация объектов информатизации
## 2.6.50 Аттестация объектов информатизации по принципу типовых сегментов — между мифом и практикой  

### **Введение**

В современных условиях цифровизации государственных и корпоративных процессов вопросы информационной безопасности приобретают особую значимость. Одним из ключевых элементов обеспечения защиты персональных и служебных данных является **аттестация объектов информатизации (ОИ)**. Однако традиционный подход, при котором каждый элемент системы проходит индивидуальную проверку, становится всё менее применимым к масштабным и динамичным информационным системам.

На смену жёсткой, статичной модели приходит гибкий механизм — **аттестация по принципу типовых сегментов**. Этот подход позволяет сократить временные и финансовые затраты, упростить сопровождение систем и обеспечить соответствие требованиям ФСТЭК. Тем не менее, вокруг него до сих пор ходит множество **мифов**, мешающих его эффективному внедрению.

В данной теме мы разберём суть типовых сегментов, развенчаем распространённые заблуждения и покажем, как на практике можно использовать этот инструмент с максимальной пользой.

![](2.6.50.png)

### **Что такое типовые сегменты?**

Согласно **пункту 17.3 Приказа ФСТЭК №17**, типовой сегмент — это часть информационной системы, которая соответствует уже аттестованному сегменту по следующим критериям:

- одинаковый **класс защищённости**;
- идентичные **угрозы безопасности информации**;
- единые **проектные решения** по архитектуре и защите;
- реализация полной **технологии обработки информации** (включая передачу, хранение, обработку).

Если все условия соблюдены, аттестат соответствия может быть **распространён** на новый сегмент без проведения полного цикла испытаний.

### **Преимущества подхода**

1. **Экономия ресурсов** — не требуется разрабатывать отдельную документацию и проводить повторные испытания.
2. **Масштабируемость** — легко подключать новые подразделения, филиалы или удалённые рабочие места.
3. **Гибкость** — возможность адаптации к изменениям в инфраструктуре без пересмотра всей системы.
4. **Соответствие законодательству** — использование типовых сегментов прямо разрешено нормативными актами.

### **Развенчание мифов**

#### **Миф 1: Типовые сегменты — это лазейка, которую не признают проверяющие**

На самом деле, **ФСТЭК не только признаёт**, но и **поощряет** такой подход. В последнее время регулятор даже **выдвигает претензии** к тем, кто аттестует крупные системы без применения типовых сегментов. Это свидетельствует о том, что подход не просто легален — он **рекомендован** для систем регионального и федерального уровня.

#### **Миф 2: Нужны одинаковые компьютеры и оборудование**

Нет. Законодательство **не требует** идентичности оборудования по модели, производителю или конфигурации. Важно, чтобы **проектные решения и уровень защиты** совпадали. Например, если в аттестованном сегменте используется межсетевой экран и СЗИ НСД, то в типовом сегменте должны быть реализованы аналогичные средства, даже если они от другого поставщика.

#### **Миф 3: Типовые сегменты можно описывать в проектной документации заранее**

Хотя формально это не запрещено, такой подход **рискован**. Если на этапе проектирования вы зафиксируете конкретные модели оборудования или серийные номера, то любое изменение может поставить под сомнение легитимность типового сегмента. Лучше **не упоминать типовые сегменты до этапа аттестации**, а ограничиться общими принципами построения системы защиты.

![](2.6.50_1.png)
Пример 1

![](2.6.50_2.png)
Пример 2

![](2.6.50_3.png)
Пример 3

#### **Миф 4: Ответственность за ошибки лежит на аттестующей организации**

Ошибка. **Оператор информационной системы** несёт полную ответственность за корректность распространения аттестата. Аттестующий орган отвечает **только за качество испытаний** аттестованного сегмента. Если типовой сегмент не соответствует требованиям, штрафы и санкции будут применяться к оператору.

#### **Миф 5: Типовые сегменты — только для государственных систем**

Неверно. Хотя инициатива появилась в контексте ГИС, **любая организация** может использовать этот механизм. Приказ ФСТЭК №17 распространяется на все объекты информатизации, независимо от формы собственности.

### **Практические рекомендации**

1. **На этапе проектирования** сосредоточьтесь на унификации архитектуры, политик безопасности и классов защищённости.
2. **При аттестации** убедитесь, что в программе и методике испытаний, а также в аттестате, **прописана возможность распространения** на типовые сегменты.
3. **При подключении нового сегмента** проверьте:
   - Совпадение класса защищённости;
   - Актуальность модели угроз;
   - Наличие всех необходимых средств защиты;
   - Соответствие организационно-распорядительной документации.
4. **Ведите учёт** — данные о подключённых сегментах **обязательно вносятся в технический паспорт**. Удобно вести отдельный паспорт на каждый типовой сегмент.

### **Заключение**

Аттестация по принципу типовых сегментов — это не упрощение, а **рационализация процесса**. Это инструмент, который позволяет **сохранить безопасность**, не жертвуя **гибкостью и эффективностью**. Главное — понимать границы его применения, избегать распространённых заблуждений и действовать в строгом соответствии с нормативными требованиями.