Что такое аттестация ИТ-систем и для чего она нужна? В каких случаях она обязательна?
В компании «Национальный аттестационный центр» (НАЦ), входящей в ГК «Информзащита», подготовили для TAdviser статью, разъясняющую тонкости процедуры проведения аттестации.
Простыми словами аттестация – это проверка объектов информатизации (информационных систем, помещений, предназначенных для ведения переговоров закрытого характера) на соответствие требованиям по защите информации ФСТЭК России.
В ряде случаев, определенных нормативными документами, аттестация является обязательной, например,
- для обработки сведений, составляющих государственную тайну (ГТ);
- для государственных и муниципальных информационных систем, в том числе государственных и муниципальных информационных систем персональных данных;
- информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
- для выполнения отраслевых требований;
- для соискателей лицензий ФСТЭК России и ФСБ России.
Из опыта компании НАЦ можно упомянуть выполнение работ по созданию и аттестации информационных систем (узлов доступа) обеспечивающих взаимодействие органов государственной власти, предприятий и организаций с системой Межведомственного электронного документооборота (МЭДО), с последующей аттестацией (АО «Россельхозбанк», Российский центр научной информации, ПАО «Ростелеком», Роспатент, и др.).
Выполнялись также работы по аттестации объектов, предназначенных для представления участниками внешнеэкономической деятельности таможенным органам (ЦИТТУ ФТС России) сведений в электронной форме с использованием информационно-телекоммуникационных сетей общего пользования; автоматизированных систем финансово-закупочной деятельности (АСФЗД) предприятий и организаций ГК «Ростех».
В других случаях владельцы могут добровольно установить требование по проведению оценки соответствия систем защиты информации объектов требованиям по защите информации в форме аттестации, например, для значимых объектов критической информационной инфраструктуры (ЗОКИИ) Российской Федерации; информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных); автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
В качестве примеров по аттестации ЗОКИИ можно привести: набор выделенных сегментов Дата-центра «GreenBushDC» (ООО «ГДЦ ЭНЕРДЖИ ГРУПП»).
Чем регламентирована процедура проведения аттестации и в чем она заключается?
В настоящее время основным документом в этой области является «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», утвержденный Приказом ФСТЭК России от 18 апреля 2021 г. № 77 (далее – Приказ № 77). В области защиты ГТ также есть своя нормативно-методическая база.
Согласно Приказу № 77 аттестация проводится на этапе создания объекта информатизации или его развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации – выдается документ «Аттестат соответствия». Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
Кто может проводить аттестацию? Что для этого нужно?
Необходимо иметь соответствующую лицензию. В случае с ГТ: на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации) с пунктом, разрешающим аттестацию.
Для конфиденциальной информации нужна лицензия на деятельность по технической защите конфиденциальной информации с пунктом, разрешающим ведение соответствующего вида деятельности (аттестационные испытания и аттестация на соответствие требованиям по защите информации, средств и систем информатизации; помещений).
Следует отметить, что для выполнения лицензионных требований лицензиат должен отвечать ряду специфических требований: иметь в штате обученных специалистов, поверенную контрольно-измерительную аппаратуру, средства для проведения аттестационных испытаний, необходимую нормативно-методическую литературу, свои аттестованные объекты информатизации.
Актуальный перечень органов по аттестации, в числе которых есть и ООО «НАЦ», можно найти на сайте ФСТЭК России.
Какие сложности возникают при аттестации? Какие перспективы в данной области?
Нормативная база в области защиты информации не всегда успевает за бурным развитием IT - отрасли, которое влечет за собой появление новых угроз безопасности информации.
Активное развитие ЦОДов, технологии контейнеризации, применение искусственного интеллекта, переход на отечественные операционные системы на базе Linux в рамках импортозамещения – все эти факторы требуют соответствующих подходов в области аттестации. Поэтому приходится адаптироваться и вырабатывать решения, не противоречащие действующей нормативной документации и учитывающие современные угрозы безопасности информации.
В феврале 2024 года Президент России Владимир Путин объявил о начале реализации нового нацпроекта «Экономика данных».
В рамках этого проекта одним из приоритетных направлений, наряду с другими, обозначена кибербезопасность (обеспечение безопасности данных и защита информации). В связи с осуществляемым внедрением в систему управления экономикой страны Цифровой инфраструктуры, Систем и сетей передачи данных, Инфраструктуры вычислений и облачных сервисов, Цифровых платформ в госуправлении остро встает вопрос обеспечения безопасности хранимых и обрабатываемых данных и их защита.
Органы государственной власти, уполномоченные регулировать вопросы обеспечения информационной безопасности, определяют основные требования по ее обеспечению. Поэтому актуальным становится вопрос адаптации вводимых элементов «Экономики данных» с действующими системами и системами обеспечения безопасности. А на этапе ввода новых элементов в эксплуатацию потребуется подтверждение их соответствия требованиям безопасности информации, определенным уполномоченными органами государственной власти. В связи с вышеизложенным, при создании структурных элементов нацпроекта «Экономика данных» потребуется решение вопроса обеспечения их информационной безопасности. Для этого необходимо тесное взаимодействие разработчиков структурных элементов «Экономики данных» и профильных организации специализирующихся в сфере информационной безопасности.
Сотрудники ООО «НАЦ» (входит в группу компаний «Информзащита») имеют большой практический опыт разработки, создания и внедрения систем защиты. Проведение сотрудниками ООО «НАЦ» экспертной оценки предлагаемых решений позволит минимизировать риски при создании информационных систем по направлениям нацпроекта «Экономика данных».
Завершением данного этапа работ будет подтверждение соответствия объектов информатизации (информационных систем) требованиям по безопасности информации, проведенное экспертами ООО «НАЦ» в форме аттестационных испытаний.
Почему цена на услуги по аттестации идентичных объектов может различаться?
Возможны несколько причин, лежащих в разных плоскостях. Первая заключается в том, что аттестация в чистом виде не так часто встречается и требуется еще проведение ряда подготовительных этапов, таких как: разработка организационно-распорядительной документации, проектирование, закупка и внедрение системы защиты – а это уже целый комплекс работ.
Вторая состоит в том, что несмотря на то, что процедура аттестации определена в нормативной документации, в настоящий момент регламентированы только форма технического паспорта, аттестата соответствия и наполнение программы и методики.
Степень же проработки таких отчетных документов как протокол и заключение по результатам аттестационных испытаний лежит на совести самих аттестаторов и зависит от желания выполнить работу как можно качественнее и компетентности сотрудников. Слабые компетенции могут привести к таким недостаткам на аттестованном объекте как: применение несертифицированных средств защиты информации (в тех случаях, когда это необходимо), отсутствие результатов анализа уязвимостей, эксплуатационной и организационно-распорядительной документации на систему защиты информации, мер защиты информации на автоматизированных рабочих местах и др.
Какие необычные/интересные объекты приходилось аттестовывать?
Из таких работ можно отметить аттестацию системы бронирования билетов, расположенной на теплоходе; элементов системы «Платон» (система взимания платы с автомобилей имеющих максимальную разрешенную массу свыше 12 тонн); ряда облачных платформ, например: Облако «VK Cloud Solutions» ООО «ВК», Информационная система персональных данных «Платформа «Яндекс. Облако» - системы реализованы на ПО собственной разработки, применяются контейнерные технологии; а также облачных систем ведущих операторов сетей сотовой связи, среди которых виртуальная инфраструктура, развернутая в ЦОД в Казани, Новосибирске и Владивостоке; информационная система «Облако beeline cloud», предназначенная для размещения в ней информационных систем клиентов/потребителей услуг (операторов информационных систем) по модели сервиса IaaS, PaaS и SaaS.
