Аттестация объектов информатизации по ФСТЭК России:
зачем она нужна и как пройти
Работы по аттестации информационных систем персональных данных в Москве
Работы по аттестации информационных систем персональных данных в Тамбове
Работы по аттестации информационных систем персональных данных в Санкт-Петербурге
Аттестация – это комплекс мероприятий, направленных на всестороннюю проверку информационной системы с целью подтверждения её соответствия установленным требованиям по защите информации. Процесс включает анализ архитектуры системы, оценку организационных и технических мер безопасности, тестирование средств защиты информации, выявление уязвимостей и подготовку документации.
По итогам аттестации организация получает официальное подтверждение того, что внедрила комплексную систему защиты информации, которая снижает риски утечек данных и повышает доверие со стороны клиентов и партнёров.
Информационная безопасность – это не формальность и не только требование законодательства, а важнейший элемент устойчивого функционирования любой коммерческой или государственной организации.
По итогам аттестации организация получает официальное подтверждение того, что внедрила комплексную систему защиты информации, которая снижает риски утечек данных и повышает доверие со стороны клиентов и партнёров.
Информационная безопасность – это не формальность и не только требование законодательства, а важнейший элемент устойчивого функционирования любой коммерческой или государственной организации.
Виды аттестации информационных систем
Аттестация информационной системы может быть добровольной или
обязательной – в зависимости от назначения объекта и установленных
законодательных требований.
Добровольная аттестация проводится по инициативе владельца объекта
информатизации и направлена на подтверждение соответствия системы
требованиям по защите информации.
Она позволяет:
законодательством и нормативными актами уполномоченных органов.
Она необходима для:
обязательной – в зависимости от назначения объекта и установленных
законодательных требований.
Добровольная аттестация проводится по инициативе владельца объекта
информатизации и направлена на подтверждение соответствия системы
требованиям по защите информации.
Она позволяет:
- получить независимую экспертную оценку уровня защищённости;
- убедиться в корректной работе внедрённых средств защиты информации;
- повысить доверие со стороны заказчиков, партнёров и регуляторов.
законодательством и нормативными актами уполномоченных органов.
Она необходима для:
- информационных систем, обрабатывающих сведения, составляющие государственную тайну;
- государственных и муниципальных информационных систем;
- объектов критической информационной инфраструктуры (КИИ);
- организаций, готовящихся к получению лицензий ФСТЭК или ФСБ на деятельность, связанную с защитой информации.
Система защита информации строится на основе отраслевых стандартов и нормативных документов ФСТЭК России. Для различных типов объектов применяются следующие ключевые приказы:
- Государственные информационные системы (ГИС): ориентируемся на Приказ №117 ФСТЭК России от 11 апреля 2025 г., который вступает в силу 1 марта 2026 г. и устанавливает строгие требования к защите информации государственных систем.
- Информационные системы персональных данных (ИСПДн): руководствуемся Приказом №21 ФСТЭК России от 18 февраля 2013 г. (редакция от 14 мая 2020 г.), который определяет организационные и технические меры для защиты персональных данных сотрудников, клиентов и партнёров.
- Критическая информационная инфраструктура (КИИ): соблюдаем Приказ №239 ФСТЭК России от 25 декабря 2017 г. (в редакции от 28 августа 2024 г.), устанавливающий правила безопасности для значимых объектов критической инфраструктуры.
- Автоматизированные системы обработки конфиденциальной информации (АС ОКИ): требования к ним определяются в рамках СТР‑К и Руководящих документов АС, включая организационно-технические меры и сертифицированные средства защиты информации.
Приказы ФСТЭК, регулирующие процесс аттестации
Основные этапы проведения аттестации
- Проведение предварительной проверки корректности функционирования СЗИ.
- Проведение всесторонней проверки: анализ организационных мер, тестирование средств защиты информации и выявление уязвимости.
- Подготовка полного пакет документов (заключения, протоколы испытаний) и направление их в ФСТЭК России.
- Получение аттестата соответствия и внесение объекта в реестр.
Путь к получению аттестата соответствия состоит из нескольких последовательных шагов:
Предварительный аудит и подготовка
- Анализ архитектуры вашего объекта, классификация объекта информатизации и определение объема требований
- Подготовка необходимой документации: технический паспорт объекта, акт классификации и другие организационно-распорядительные документы.
- Подбор и установка сертифицированных средств защиты информации в соответствии с требованиями ФСТЭК и ФСБ России.
- Настройка системы защиты, разграничение прав доступа, журналирование событий и другие меры безопасности.
Сопровождение АС после аттестации
После получения аттестата важно обеспечить постоянное сопровождение информационной системы. Основные обязанности владельца АС включают:
- контроль работоспособности системы и своевременное устранение выявленных неисправностей;
- установку критических обновлений программного обеспечения;
- проведение периодических проверок безопасности;
- протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России);
- уведомление аттестующей организации о внесённых изменениях в конфигурацию системы;
- своевременное обновление организационно‑распорядительной документации (ОРД).
Аттестация по требованиям ФСТЭК России подтверждает, что информационная система надёжно защищена и соответствует нормативам. Она снижает риски утечек данных, повышает доверие клиентов и выполняет требования закона. Процесс включает аудит, внедрение средств защиты, проверку, оформление документов и получение аттестата. После аттестации важно регулярно поддерживать безопасность системы и обновлять документацию.
