Порядок аттестации системы в ФСТЭК
Порядок аттестации системы в ФСТЭК прописан в положении от 25 ноября 1994 года, подписанное председателем Государственной технической комиссии – ранее этот орган выполнял функции по контролю систем и средств защиты информации. В обозначенном документе объемно раскрываются основные аспекты аттестации: принципы, порядок, права и обязанности сторон, методология испытаний и условия предоставления документа о соответствии.
Аттестация обязательна для юридических лиц:
- Оформляющих лицензию ФСТЭК или ФСБ, планирующих осуществление деятельности по работе со сведениями, составляющими государственную тайну в рамках собственного РСП (в том числе организация выделенного помещения для проведения секретных совещаний).
- Некоторым учреждениям, не имеющим в обращении сведений государственной тайны.
В последнем примере имеется в виду аттестация по 17 Приказу ФСТЭК, направленная на государственные информационные системы (ГИС). Проверкам безопасности подлежат ГИС, предназначенные для сведений, не являющихся гостайной, но в то же время защищаемых от разглашения на иных основаниях. Деятельность с задействованием ГИС (как и порядок ее аттестации) несколько отличается от прочих перечисленных примеров. Более того, срок действия итогового документа, во всех прочих случаях ограниченный пятью годами, на аттестаты ГИС не распространяется, так как они выдаются бессрочно.
Подробнее о процедуре
Аттестация оборудования ФСТЭК называется сертификацией и проводится в формате спецпроверки и специсследования. При этом не имеет значения, кто является инициатором данного мероприятия и с какой целью оно проводится. Приобретение технических средств, на которые уже выданы сертификаты о соответствии, позволяют заявителям и соискателям несколько ускорить полный цикл процедур. При этом аттестация по требованиям к безопасности обрабатываемой информации не ограничивается оценкой материально-технической базы – ее объектом выступает система защиты данных, реализованная конкретным предприятием. Соответственно, в отличие от сертификата, аттестат не может передаваться третьим лицам, кроме случаев смены владельца юридического лица путем купли-продажи последнего.
Порядок аттестации системы в ФСТЭК:
- Подготовка со стороны заявителя: сбор документов, оснащение помещений и т. д.
- Договор с одним из действующих в регионе соискателя аттестационных органов.
- Передача документов, характеризующих объект информатизации, подлежащий аттестации.
- Выезд проверяющего сотрудника на территорию соискателя для предварительного ознакомления.
- Испытания системы, выполняемые как в лабораторных условиях, так и непосредственно в помещениях заявителя.
- Анализ итоговых результатов тестирования системы на безопасность информации и выдача заключения.
Аттестация по 17 Приказу ФСТЭК государственных информационных систем производится аналогичным образом. Существующие отличия незначительны:
- Учреждению, работающему с ГИС, необходимо изначально принять и задокументировать решение о защите информации, в то время как гостайна априори требует обеспечения особых условий безопасности.
- Для каждой аттестуемой ГИС нужно определить класс (один из трех), который зависит от характера обрабатываемых данных.
