Аттестация помещений ФСТЭК — это процедура подтверждения соответствия техническим нормам и требованиям защиты конфиденциальной информации. Помещения, в отношении которых проводятся указанные мероприятия, называются защищаемыми (далее – ЗП).
Основная нормативно-правовая база – Положение Гостехкомиссии от 24.11.1994 г., Приказ ФСТЭК № 77 от 29.04.2021 г., Информационное сообщение ФСТЭК № 240/24/2087 от 29.04.2021 г., Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) от 2001 г.
Аттестовать помещение нужно, если в нем проводятся конфиденциальные переговоры, циркулируют или обрабатываются конфиденциальные сведения. Процедура дает владельцу право работать, в том числе с государственной информацией секретного характера.
Какие помещения подлежат аттестации
Согласно Указу Президента РФ № 188 от 06.03.1997 г., к конфиденциальным сведениям относятся:
- персональные данные граждан;
- тайна следственных действий, судопроизводства и иная служебная тайна;
- врачебная, адвокатская и иная профессиональная тайна;
- коммерческая тайна;
- секретные переговоры;
- сведение об изобретениях и полезных моделях до официальной публикации.
То есть помещения, в которых работают с перечисленными видами данных, могут быть аттестованы. Подавать заявление на проведение процедуры имеют право государственные, муниципальные и коммерческие организации.
СТР-К и Положение Гостехкомиссии от 24.11.1994 г. устанавливают рекомендательный характер процедуры для коммерческих организаций. Вместе с тем из ФЗ № 152 от 27.07.2006 г. «О персональных данных» следует, что официальная оценка мер защиты таких сведений обязательна.
Специалисты Центра помогут разобраться, какие разрешительные документы нужны для вашего помещения.
Подготовка к получению аттестата
Пункт 4.2. СТР-К содержит рекомендации по обустройству помещений и их оснащению техническими средствами. Подготовка и непосредственно сама процедура подтверждения соответствия требованиям защиты информации могут проводиться независимо друг от друга. Однако лучше делать все комплексно.
Теоретически владелец помещения может подготовиться к аттестации самостоятельно.
Практически это часто приводит к незапланированным финансовым и временным затратам.
Дело в том, что не все регламентирующие документы находятся в открытом доступе. Многие из них предоставляются только специализированным аккредитованным организациям — лицензиатам, которые проводят аттестацию.
На подготовительном этапе осуществляется сбор комплекта документов, к который входят:
- фотографии: помещения, дверей, окон, радиаторов отопления, инженерных коммуникаций, потолочных конструкций, стен и перегородок, технического оснащения;
- проектная документация и схемы ЗП, инженерных коммуникаций, систем сигнализации;
- подтверждение права собственности или договор аренды.
Эксперты проанализируют документы и дадут рекомендации, какие средства защиты информации приобрести, как их смонтировать, как оборудовать помещения. После того как процедура подготовки под контролем специалистов будет окончена, можно приступать непосредственно к аттестации.
Этапы проведения аттестации ЗП
Процедура проходит в порядке, установленном Приказом № 77 от 29.04.2021 г.:
- Разработка программ и методик испытаний. На этом этапе определяют виды угроз информации, актуальные для данного помещения. Существует несколько каналов, по которым может произойти утечка конфиденциальной информации: акустический, виброакустический, оптический, акустико-электрический. Эксперты устанавливают, какой канал утечки наиболее вероятен в аттестуемом помещении и разрабатывают соответствующую программу испытаний.
- Разработка организационно-распорядительной документации (ОРД). Эксперты совместно с заявителем создают технический паспорт на ЗП по форме, установленной в Приложении № 4 к СТР-К. Приказом по организации определяют круг лиц, ответственных за защиту информации на данном объекте, и их обязанности. Составляют перечень конфиденциальных сведений, с которыми работают на объекте.
- Проведение аттестационных испытаний. Эксперты анализируют документы заявителя, состояние помещения, работу средств защиты информации, знание и подготовку сотрудников. Проводят инструментальный контроль защищенности помещения от утечки конфиденциальных сведений.
- Оформление экспертного заключения. Специалисты выносят решение о соответствии ЗП требованиям в области защиты информации. Иногда в процессе проведения испытаний обнаруживаются недостатки, которые можно оперативно устранить. В этом случае заявителю предоставляется разумное время на доработку.
- Оформление и регистрация аттестата. Документ направляется в территориальный орган ФСТЭК и заявителю. Территориальный орган вносит сведения в реестр аттестованных объектов.
Важно! Провести аттестацию защищаемого помещения по требованиям ФСТЭК нужно до начала обработки в помещении конфиденциальных сведений. После получения документа оно вводится в эксплуатацию приказом по организации.
Аттестат действителен в течение всего срока эксплуатации. Однако нужно помнить, если в состоянии помещения произошли какие-либо изменения, повлиявшие на защищенность информации, потребуется повторная процедура. Кроме того, ежегодно проводится проверка.
Специалисты «Ростест Урал» помогут оформить разрешительные документы быстро, на выгодных условиях. Уточнить детали сотрудничества можно по телефону или онлайн – консультации бесплатны!
• сканы ИНН, ОГРН, выписки из реестров;
• фотографии аттестуемого помещения и его технического оснащения;
• проектную документацию и схемы помещения и инженерных коммуникаций;
• подтверждение права собственности или договор аренды.
При необходимости аттестационный орган может запросить дополнительную информацию.
Наши сотрудники помогут собрать комплект необходимых документов. Вы также получите рекомендации экспертов: какие средства защиты информации нужно приобрести, как их смонтировать, какие подготовительные работы провести в помещении.