С 1 сентября аттестуем по-новому!
10 августа 2021 года официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021г. № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" (далее – приказ №77). Документ вступает в силу с 1 сентября. Рассмотрим самые интересные из его положений.
Основные изменения касаются работы органов по аттестации. С 1 сентября 2021 года орган по аттестации обязан в течение пяти рабочих дней после выдачи аттестата соответствия предоставить в территориальный орган ФСТЭК России электронные копии следующих документов:
- аттестата соответствия;
- технического паспорта;
- акта классификации информационной (автоматизированной) системы (далее – ИС) (акта категорирования);
- программы и методик аттестационных испытаний;
- заключения и протокола аттестационных испытаний.
После этого у ФСТЭК России есть три рабочих дня на внесение сведений о новом объекте информатизации (далее – ОИ) в реестр аттестованных объектов. Ранее сведения вносились на основании ежеквартальных отчетов органов по аттестации, то есть актуализация реестра происходила раз в три месяца. Теперь же реестр будет постоянно поддерживаться в актуальном состоянии.
Также в приказе №77 приведены типовые формы для:
- технического паспорта ИС и защищаемого помещения;
- акта классификации ИС;
- аттестата соответствия требованиям по защите информации.
Типовая форма технического паспорта для ИС, утвержденная приказом №77, содержит пункт, требующий указания даты и номера приказа о вводе ОИ в эксплуатацию. Для государственных информационных систем (далее – ГИС) складывается интересная ситуация, ведь в соответствии с постановлением Правительства РФ №676 от 06.07.2015г. ввод ГИС в эксплуатацию невозможен в случае отсутствия действующего аттестата соответствия требованиям безопасности информации. Аналогичное требование есть и в приказе ФСТЭК России № 17 от 11.02.2013г. (далее – приказ №17). Получаем, что для аттестации необходим технический паспорт на систему, в техническом паспорте должны быть указаны реквизиты приказа о вводе в эксплуатацию, но вводить в эксплуатацию без действующего аттестата нельзя. Ждем разъяснений ФСТЭК России по этому поводу.
Что касается владельца ОИ, то теперь у него есть право обжаловать во ФСТЭК России отказ органа по аттестации в оформлении аттестата соответствия в случае выявления несоответствий или недостатков системы защиты. При получении такого обращения ФСТЭК России проводит оценку соответствующих документов и, при необходимости, контрольные испытания на ОИ, после чего принимает решение об оформлении аттестата или же невозможности его выдачи.
Аттестат соответствия является бессрочным, выдается на весь срок эксплуатации ОИ. Ранее в соответствии с ГОСТ РО 0043-003-2012 срок действия был ограничен 3 годами (и лишь для ГИС приказ №17 позволял выдавать аттестат на весь срок эксплуатации ГИС).
Таким образом, приказ №77 усиливает контроль регулятора за лицензиатами ФСТЭК России, осуществляющими аттестацию ОИ, устанавливает необходимость периодического контроля за уровнем защиты информации и позволяет прийти к единому подходу при аттестации различных типов ОИ – так же, как ранее "Методика оценки угроз безопасности информации", утвержденная 5 февраля 2021 года, сформировала единый подход для моделирования угроз.
Компания "СофтМолл" является экспертом в вопросах информационной безопасности и если у вас возникли вопросы, то мы с удовольствием поможем вам их решить.
Можете позвонить по телефону +7 (383) 304 99-73, либо оставить заявку на сайте