Согласно Приказу ФСТЭК России N 77 от 20.04.2021 г., вступившему в силу 1.09.2021, определен порядок аттестации отдельных объектов информатизации на соответствие требованиям, касающимся защиты информации с ограниченным доступом, но не имеющей отношения к защищаемым государством сведениям.
Порядок аттестации разработан для госорганов и учреждений, к которым принадлежат объекты информатизации и где обработка информации происходит с ограничением доступа для некоторых лиц, но при этом она не содержит составляющих гостайну сведений. Это также касается компаний, занимающихся созданием, аттестацией объектов информатизации, либо оказывающих услуги по техзащите конфиденциальной информации (ТЗКИ).
Кто имеет право проводить обследование?
Аттестация объектов информатизации по требованиям безопасности информации необходима:
- для созданных в государственных, муниципальных учреждениях информационных систем с целью реализации их полномочий и обеспечения обмена информацией, включая персональные данные (ПД);
- предприятий оборонно-промышленного комплекса (ОПК) с автоматизированными системами управления процессами производства, чья продукция предназначается для военных нужд государства и где присутствует высокотехнологичное оборудование с ЧПУ, выполняющее функции инициализации, оптимизации, документирования ее выпуска в режиме реального времени;
- специальных переговорных комнат и конференц-залов, где проводятся конфиденциальные мероприятия.
Аттестация информационных систем понадобится и для организаций, владельцы которых по собственному желанию хотели бы провести оценку на соответствие СЗИ требованиям, а именно:
- объектов, принадлежащих к критической инфраструктуре РФ (КИИ), в частности – информационных систем и телекоммуникаций, играющих ключевую роль в работе всех сфер жизнедеятельности: энергоснабжении, индустрии связи, финансовом и промышленном секторе, городском хозяйстве и пр.;
- систем персональных данных (исключая операторов ИСПДн госучреждений и муниципальных некоммерческих организаций);
- систем управления технологиями и операциями обработки, находящихся на различных критически важных и потенциально опасных промышленных объектах, являющихся источником серьезной угрозы для здоровья людей или опасности для экологической обстановки.
Таким образом, для ИСПДн, не принадлежащих к категории конфиденциальной информации (КИ), аттестация ФСТЭК осуществляется добровольно. Провести испытание может непосредственно сам оператор или компании, обладающие лицензией на ТЗКИ, по результатам которого и выдается заключение. Сроки выполнения работ не должны превышать четырех месяцев (без учета предаттестационной подготовки). Перечень необходимых документов можно найти в п.11 третьего раздела.
Для ГИС и МИС аттестат соответствия требованиям безопасности информации можно получить только после комплексной оценки ФСТЭК. Сам аттестующий орган обязан подготовить программу со специальными методиками испытаний, составить заключение по их результатам, оформить протоколы и выдать аттестат, который будет действителен в течение всего периода эксплуатации объекта информатизации.
Для организации проверок относительно выполнения Приказа вводится единый реестр прошедших аттестацию объектов информатизации. При установлении неточностей или нарушений прохождения процедуры, действие аттестата соответствия рассматриваемого объекта информатизации временно приостанавливается до устранения ошибок и расхождений.