Аттестат соответствия ФСТЭК

Аттестат соответствия ФСТЭК (сокращение от Федеральной службы по техническому и экспортному контролю) подтверждает, что объект информатизации соответствует требованиям по информационной безопасности (далее — ИБ). Документ выдается после проведения аттестационных испытаний, проверки системы ИБ.

Аттестация от указанного ведомства применяется для информационных систем (ИС), в которых обрабатываются:

• сведения ограниченного доступа;
• персональная / конфиденциальная информация;
• данные элементов критической информационной инфраструктуры (далее — КИИ). 

Проверку проводят только лицензированные организации, имеющие право на осуществление заявленной деятельности.

Фирмы с полученным аттестатом соответствия ФСТЭК России официально подтверждают выполнение законодательных правил в сфере ИБ, применении защищенных IT-систем.

Специалисты центра Гортест Урал организуют аттестационный процесс с учетом специфики работы предприятия.

Кому нужна аттестация ФСТЭК

В отдельных ситуациях реализация этой процедуры является обязательным требованием законодательства РФ. Например, она предписывается:

• для государственных информационных систем (ГИС);
• объектов информатизации, связанных с грифом секретности;
• КИИ;
• систем обработки конфиденциальной информации, если это установлено нормативными требованиями.

При работе с персональными данными критерии их защищенности определяются № 152-ФЗ и ПП России № 1119. 

Для объектов КИИ учитываются положения ФЗ № 187 (для 1–3 категорий с учетом модели угроз), а также № 149-ФЗ, № 98-ФЗ (для гостайны и конфиденциальных сведений). Процедура регламентируется Приказом № 77.

Добровольно компании организуют аттестацию соответствия требованиям ФСТЭК по защите информации для подтверждения уровня кибербезопасности, участия в госпроектах, работы с крупными заказчиками, снижения рисков утечки данных.

Сотрудники нашего центра объяснят, когда без аттестационной процедуры не обойтись, чем чревато нарушение закона.

Для чего нужен аттестат соответствия ФСТЭК

Этот официальный документ подтверждает, что заявленный объект информатизации проверен, соответствует требованиям профильных законодательных актов. Он удостоверяет, что используемые средства защиты информации (далее  — СЗИ), ПО и предпринимаемые меры обеспечивают необходимый уровень безопасности системы.

Наличие аттестата позволяет организации:

• законно эксплуатировать отдельные виды ИС;
• подтвердить соответствие требованиям регулятора;
• использовать сертифицированные СЗИ;
• участвовать в госпроектах, закупках;
• снизить риски претензий со стороны контролирующих органов.

После завершения аттестационных испытаний сведения об объекте фиксируются в документации, а владельцу выдается аттестат соответствия. Документ действует в течение всего периода эксплуатации ИС при условии сохранения ее архитектуры и параметров защиты.

Внимание! Также проводится проверка программного или аппаратного продукта (антивируса, криптографического средства). По итогам оценки выдается сертификат соответствия ФСТЭК России. Такой документ получают разработчики, изготовители указанных изделий.

При изменении изначальной конфигурации, ПИ или защитной системы может потребоваться повторная проверка. Кроме того, владелец обязан регулярно контролировать уровень защищенности, оформлять результаты проверок документально.

Ведомство вправе приостановить действие документа при выявлении нарушений, отсутствии обязательного контроля безопасности или непредставлении отчетных материалов по защищенности ИС.

Порядок выдачи аттестата аккредитации ФСТЭК

Проверка проводится по требованиям приказа № 77. Процедура включает техническую оценку ИС, анализ СЗИ, оформление комплекта документации по результатам испытаний.

На первом этапе специалисты изучают архитектуру системы, категории обрабатываемых данных, возможные угрозы безопасности. Во время подготовки определяется уровень защищенности объекта информатизации, перечень требований, которым должна соответствовать ИС.

Далее разрабатывается и внедряется система, защищающая информацию. Для этого применяются сертифицированные СЗИ, программные решения, механизмы контроля доступа. Также оформляется организационная и проектная документация.

В состав документов могут входить:

• модель угроз;
• техническое задание на создание алгоритма защиты;
• технический проект;
• спецификация СЗИ;
• регламенты обработки данных;
• журналы учета;
• документы о классификации, категорировании объекта;
• программа, методики аттестационных испытаний.

После подготовки проводится техническая экспертиза, аттестационные испытания. Специалисты проверяют устойчивость объекта к несанкционированному доступу, моделируют возможные угрозы, оценивают эффективность внедренных защитных мер.

Если система успешно проходит проверку, оформляется аттестат соответствия ФСТЭК России. 

Ответственность за достоверность результатов несет не только орган, проводивший проверку, но и владелец объекта информатизации. Поэтому при эксплуатации ИС необходимо поддерживать актуальность СЗИ, внутренней документации.

Где пройти аттестацию 

В центре Гортест Урал организуют процедуру с учетом норм уполномоченного ведомства. Эксперты проанализируют архитектуру ИС, определят уровень ее защищенности, подготовят необходимую документацию для проведения аудита.

Также фирмам доступны дополнительные услуги:

• разработка модели угроз;
• подготовка техпаспорта предмета информатизации;
• получение сертификата соответствия ФСТЭК на конкретный цифровой продукт;
• оформление акта категорирования, классификации;
• разработка программы и методик аттестационных испытаний;
• сертификация СЗИ;
• лицензирование в уполномоченных ведомствах;
• внедрение защиты персональных данных;
• сертификация по стандартам ИСО.

Комплексное сопровождение особенно востребовано у компаний, работающих с ГИС, элементами КИИ, сервисами обработки конфиденциальной информации. Обращайтесь!