10 августа 2021 года официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – приказ №77). Документ вступает в силу с 1 сентября. Рассмотрим самые интересные из его положений.
Приказ №77 применяется для аттестации следующих объектов информатизации:
- государственных и муниципальных информационных систем;
- информационных систем управления производством, используемых организациями оборонно-промышленного комплекса;
- защищаемых помещений;
- значимых объектов критической информационной инфраструктуры;
- информационных систем персональных данных;
- автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Основные изменения касаются работы органов по аттестации. С 1 сентября 2021 года орган по аттестации обязан в течение пяти рабочих дней после выдачи аттестата соответствия предоставить в территориальный орган ФСТЭК России электронные копии следующих документов:
- аттестата соответствия;
- технического паспорта;
- акта классификации информационной (автоматизированной) системы (акта категорирования);
- программы и методик аттестационных испытаний;
- заключения и протокола аттестационных испытаний.
После этого у ФСТЭК России есть три рабочих дня на внесение сведений о новом объекте информатизации в реестр аттестованных объектов. Ранее сведения о новых объектах информатизации вносились ФСТЭК России на основании ежеквартальных отчетов органов по аттестации, то есть актуализация реестра происходила один раз в три месяца. Теперь же реестр будет постоянно поддерживаться в актуальном состоянии. Кстати, в соответствии с новым приказом отчеты во ФСТЭК органы по аттестации должны предоставлять один раз в год, а не ежеквартально.
Также в приказе №77 приведены типовые формы для технического паспорта информационной (автоматизированной) системы и защищаемого помещения, акта классификации информационной (автоматизированной) системы и аттестата соответствия требованиям по защите информации. Типовая форма технического паспорта для информационной системы, утвержденная приказом №77, содержит пункт, требующий указания даты и номера приказа о вводе объекта информатизации в эксплуатацию. Для государственных информационных систем (ГИС) складывается интересная ситуация, ведь в соответствии с постановлением Правительства Российской Федерации №676 от 6 июля 2015 года ввод ГИС в эксплуатацию невозможен в случае отсутствия действующего аттестата соответствия требованиям безопасности информации. Аналогичное требование есть и в приказе ФСТЭК России № 17 от 11 февраля 2013 года (далее – приказ №17). Получаем, что для аттестации необходим технический паспорт на систему, в техническом паспорте должны быть указаны реквизиты приказа о вводе в эксплуатацию, но вводить в эксплуатацию без действующего аттестата нельзя. Ждем разъяснений ФСТЭК по этому поводу.
Что касается владельца объектов информатизации, то теперь у него есть право обжаловать во ФСТЭК России отказ органа по аттестации в оформлении аттестата соответствия в случае выявления несоответствий или недостатков системы защиты. При получении такого обращения ФСТЭК России проводит оценку соответствующих документов и, при необходимости, контрольные испытания на объекте информатизации, после чего принимает решение об оформлении аттестата или же невозможности его выдачи.
Аттестат соответствия является бессрочным, выдается на весь срок эксплуатации объекта информатизации. Ранее в соответствии с ГОСТ РО 0043-003-2012 срок действия был ограничен 3 годами (и лишь для государственных информационных систем приказ №17 позволял выдавать аттестат на весь срок эксплуатации ГИС).
Владелец объекта информатизации должен обеспечивать защиту в ходе эксплуатации аттестованного объекта информатизации. При этом владелец ОИ не реже одного раза в два года должен проводить контроль защиты информации и предоставлять во ФСТЭК соответствующий протокол. Непредставление протокола контроля защиты информации может привести к приостановке действия аттестата соответствия. А это, в свою очередь, влечет за собой необходимость прекратить эксплуатацию объекта информатизации до устранения недостатков и принятия решения ФСТЭК России о возобновлении действия аттестата соответствия.
Таким образом, приказ №77 усиливает контроль регулятора за лицензиатами ФСТЭК России, осуществляющими аттестацию объектов информатизации, устанавливает необходимость периодического контроля за уровнем защиты информации и позволяет прийти к единому подходу при аттестации различных типов объектов информатизации – так же, как ранее «Методика оценки угроз безопасности информации», утвержденная 5 февраля 2021 года, сформировала единый подход для моделирования угроз.
Если у вас возникли вопросы, мы с удовольствием дадим на них экспертный ответ!
Можете позвонить по телефону, либо оставить заявку на сайте.
