Home Explore Help
Sign In
u23-27stadnik
/
EASvZI
forked from ypv/EASvZI
1
0
Fork 0
Files
Branch: master
Branches Tags
EASvZI
/
Лекции
/
2.6.50_Аттестация_объектов_информатизации
/
Гуркин.md

Гуркин.md 9.3 KB
Permalink History Raw

Аттестация объектов информатизации

2.6.50 Аттестация объектов информатизации по принципу типовых сегментов — между мифом и практикой

Введение

В современных условиях цифровизации государственных и корпоративных процессов вопросы информационной безопасности приобретают особую значимость. Одним из ключевых элементов обеспечения защиты персональных и служебных данных является аттестация объектов информатизации (ОИ). Однако традиционный подход, при котором каждый элемент системы проходит индивидуальную проверку, становится всё менее применимым к масштабным и динамичным информационным системам.

На смену жёсткой, статичной модели приходит гибкий механизм — аттестация по принципу типовых сегментов. Этот подход позволяет сократить временные и финансовые затраты, упростить сопровождение систем и обеспечить соответствие требованиям ФСТЭК. Тем не менее, вокруг него до сих пор ходит множество мифов, мешающих его эффективному внедрению.

В данной теме мы разберём суть типовых сегментов, развенчаем распространённые заблуждения и покажем, как на практике можно использовать этот инструмент с максимальной пользой.

Что такое типовые сегменты?

Согласно пункту 17.3 Приказа ФСТЭК №17, типовой сегмент — это часть информационной системы, которая соответствует уже аттестованному сегменту по следующим критериям:

  • одинаковый класс защищённости;
  • идентичные угрозы безопасности информации;
  • единые проектные решения по архитектуре и защите;
  • реализация полной технологии обработки информации (включая передачу, хранение, обработку).

Если все условия соблюдены, аттестат соответствия может быть распространён на новый сегмент без проведения полного цикла испытаний.

Преимущества подхода

  1. Экономия ресурсов — не требуется разрабатывать отдельную документацию и проводить повторные испытания.
  2. Масштабируемость — легко подключать новые подразделения, филиалы или удалённые рабочие места.
  3. Гибкость — возможность адаптации к изменениям в инфраструктуре без пересмотра всей системы.
  4. Соответствие законодательству — использование типовых сегментов прямо разрешено нормативными актами.

Развенчание мифов

Миф 1: Типовые сегменты — это лазейка, которую не признают проверяющие

На самом деле, ФСТЭК не только признаёт, но и поощряет такой подход. В последнее время регулятор даже выдвигает претензии к тем, кто аттестует крупные системы без применения типовых сегментов. Это свидетельствует о том, что подход не просто легален — он рекомендован для систем регионального и федерального уровня.

Миф 2: Нужны одинаковые компьютеры и оборудование

Нет. Законодательство не требует идентичности оборудования по модели, производителю или конфигурации. Важно, чтобы проектные решения и уровень защиты совпадали. Например, если в аттестованном сегменте используется межсетевой экран и СЗИ НСД, то в типовом сегменте должны быть реализованы аналогичные средства, даже если они от другого поставщика.

Миф 3: Типовые сегменты можно описывать в проектной документации заранее

Хотя формально это не запрещено, такой подход рискован. Если на этапе проектирования вы зафиксируете конкретные модели оборудования или серийные номера, то любое изменение может поставить под сомнение легитимность типового сегмента. Лучше не упоминать типовые сегменты до этапа аттестации, а ограничиться общими принципами построения системы защиты.

Пример 1

Пример 2

Пример 3

Миф 4: Ответственность за ошибки лежит на аттестующей организации

Ошибка. Оператор информационной системы несёт полную ответственность за корректность распространения аттестата. Аттестующий орган отвечает только за качество испытаний аттестованного сегмента. Если типовой сегмент не соответствует требованиям, штрафы и санкции будут применяться к оператору.

Миф 5: Типовые сегменты — только для государственных систем

Неверно. Хотя инициатива появилась в контексте ГИС, любая организация может использовать этот механизм. Приказ ФСТЭК №17 распространяется на все объекты информатизации, независимо от формы собственности.

Практические рекомендации

  1. На этапе проектирования сосредоточьтесь на унификации архитектуры, политик безопасности и классов защищённости.
  2. При аттестации убедитесь, что в программе и методике испытаний, а также в аттестате, прописана возможность распространения на типовые сегменты.
  3. При подключении нового сегмента проверьте:
    • Совпадение класса защищённости;
    • Актуальность модели угроз;
    • Наличие всех необходимых средств защиты;
    • Соответствие организационно-распорядительной документации.
  4. Ведите учёт — данные о подключённых сегментах обязательно вносятся в технический паспорт. Удобно вести отдельный паспорт на каждый типовой сегмент.

Заключение

Аттестация по принципу типовых сегментов — это не упрощение, а рационализация процесса. Это инструмент, который позволяет сохранить безопасность, не жертвуя гибкостью и эффективностью. Главное — понимать границы его применения, избегать распространённых заблуждений и действовать в строгом соответствии с нормативными требованиями.