Аттестация помещений ФСТЭК

Аттестация помещений ФСТЭК
Пройти аттестацию помещений ФСТЭК ✅ Как подтвердить что помещения соответствуют техническим нормам и требованиям защиты конфиденциальной информации? ➡ Поможем получить соответствующий документ. Звоните по телефону: ☎ 8 (800) 302-51-10

Организации, которые в ходе деятельности сталкиваются с конфиденциальной информацией, государственной тайной и другими данными, которые нужно защищать от рисков незаконного доступа и взломов, проходят аттестацию помещений по требованиям ФСТЭК России.

ФСТЭК – это федеральный орган РФ, который проводит различные процедуры функции с целью обеспечения гос. безопасности.

Что такое аттестация ФСТЭК

Аттестация ФСТЭК – это перечень технических и организационных мероприятий. Они проводятся с целью оценки соответствия объекта информатизации требованиям информационной безопасности.

Процедура проводится в порядке, установленному в Положении по аттестации, утвержденному ФСТЭК России 25 ноября 1994 г. Кроме того, в 2021 г. вступил в силу Приказ ФСТЭК № 77, утверждающий порядок проведения аттестационных работ по защите информации, не составляющей гос. тайну.

Цель проведения аттестационных работ – получение документального подтверждения эффективности используемых мер и средств по защите информации в организации.

Типы аттестуемых объектов информатизации

Аттестуемые объекты информатизации подразделяются на следующие типы:

  1. Автоматизированные системы (АС), предназначенные для обработки информации с использованием средств вычислительной техники.
  2. Автоматизированные рабочие места (АРМ). АРМ представляет собой рабочее место пользователя, оборудованное средствами вычислительной техники и средствами связи. АРМ могут использоваться для различных целей, в т.ч. для обработки конфиденциальной информации.
  3. Защищаемые помещения. К ним относятся помещения, специально оборудованные для защиты данных от несанкционированного доступа.
  4. Режимные помещения. В таких помещениях установлен особый режим допуска и пребывания людей. Они используются для хранения или обработки конфиденциальной информации.

При проверке АС и АРМ оценивается уровень защищенности всей АС или рабочего места пользователя, включая программное, аппаратное обеспечение, средства защиты информации и организационно-технические меры по обеспечению отсутствия рисков.

При проверке защищаемых и режимных помещений оценивается уровень их защищенности от несанкционированного доступа, включая физические преграды, средства охраны и организационно-технические меры по управлению рисками.

Для кого аттестация является обязательной?

Аттестационные мероприятия является обязательными для объектов информатизации:

  • обрабатывающих информацию, отнесенную к гос. тайне;
  • используемых для ведения секретных переговоров;
  • используемых в целях обеспечения безопасности государства, обороны страны и безопасности населения.
  • применяемых в рамках управления экологически опасными объектами.

В остальных случаях, если объект информатизации не попадает под перечисленные критерии, процедура может проводиться в добровольном порядке – по инициативе заявителя.

Виды аттестации

Вид аттестации определяются по типу объекта информатизации (защищаемые или режимные помещения, автоматизированные системы или рабочие места). Также аттестационные мероприятия бывают:

  • первичные – для новых объектов информатизации;
  • периодические – для уже существующих, аттестованных ранее (для подтверждения соответствия установленным нормам);
  • дополнительные – если объект подвергся существенным изменениям, влияющим на защищенность.

Первоначальная проверка проводится в полном объеме, включая все этапы аттестационных процедур, предусмотренных утвержденным Положением и Приказом № 77. Периодическая оценка может проводиться в сокращенном объеме, в зависимости от результатов предыдущей проверки. Дополнительная проверка также проводится в полном объеме.

Срок действия аттестата

Ранее аттестат действовал в течение трех лет. С 2021 г. согласно Приказу № 77 документ выдается на бессрочный период. Один раз в два года аттестованная организация обязана подтверждать факт проведения периодических инспекционных контролей. Протоколы необходимо предоставлять в территориальный орган ФСТЭК. При установлении факта несоответствия требованиям или непредоставления протоколов действие аттестата может быть приостановлено.

Документы, выданные до 01.09.2021 г., действуют по прежним правилам, в течение трех лет. Статус аттестата отражается в гос. реестре.

Какие требования по безопасности к информационным системам

Требования по безопасности к информационным системам определяются целями и задачами, которые ставятся перед ними, а также уровнем конфиденциальности обрабатываемых данных.

К основным требованиям относятся:

  • конфиденциальность и целостность – обеспечение защиты данных от незаконного доступа, использования, раскрытия, уничтожения, изменения, модификации или блокирования;
  • доступность – обеспечение возможности использования сведений пользователями в соответствии с их полномочиями;
  • устойчивость – защищенность данных от воздействия угроз, вызванных внешними или внутренними причинами.

Для обеспечения безопасности автоматизированных систем необходимо реализовать комплекс мер, включающих в себя:

  • разработка и внедрение системы управления информационной безопасностью;
  • определение обязанностей и ответственности сотрудников;
  • проведение обучения сотрудников;
  • организация системы контроля и мониторинга;
  • наличие средств защиты данных (межсетевые экраны, антивирусные программы, системы обнаружения вторжения, контроля доступа и т.д.);
  • регулярное обновление программного обеспечения;
  • соблюдение правил эксплуатации информационных систем;
  • проведение аудитов.

Требования по информационной безопасности содержатся в положениях Федерального Закона № 149-ФЗ от 27.06.2006 г., а также в Приказе ФСТЭК России от 18.02.2013 г. № 21.

Порядок проведения процедуры

Аттестационные мероприятия проводятся в порядке, установленном в Положении ФСТЭК и Приказе № 77. К основным этапам относятся:

  1. Подготовка. Заявитель подает заявку и комплект документации, указанной в перечисленных нормативных актах.
  2. Проведение аттестационных испытаний. На этом этапе проводится комплекс мероприятий по проверке соответствия объекта информатизации требованиям информационной безопасности. Процедура проводится органом, имеющим лицензию ФСТЭК России. Организация заявитель обеспечивает доступ представителям органа для проведения оценочных мероприятий, а также необходимую документацию и сведения.
  3. Подготовка заключения по результатам аттестации. Орган готовит заключение по результатам проверки, в котором указывает о соответствии или несоответствии установленным нормам.

При положительном заключении организация заявитель получает аттестат соответствия.

Аттестация – достаточно сложное мероприятие. Особенно, если у заявителя отсутствует опыт в данной сфере. Процедуру лучше делегировать специалистам. Эксперты центра сертификации «Ростест Урал» помогут подготовиться к проведению аттестационных проверок и пройти их с положительными результатами.

Консультации предоставляются бесплатно, направляйте заявки.

По вопросам получения услуг в рассрочку обращайтесь к консультанту


ЗАКАЖИТЕ РАСЧЕТ СТОИМОСТИ НЕОБХОДИМОГО ВАМ ДОКУМЕНТА

Введите только цифры. Пример: 88003020956