ФСТЭК России упростил аттестацию объектов информатизации: разбираем апрельское сообщение регулятора

11.05.2022

ФСТЭК России выпустил информационное сообщение от 11 апреля 2022 г. № 240/24/1950 «О порядке представления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну». Эксперты iTPROTECT обращают внимание на пункт сообщения, который заметно меняют логику аттестации для многих организаций на рынке - при аттестации информационных систем с конфиденциальной информацией.

Цель информационного сообщения – уточнить порядок аттестации объектов информатизации, который был установлен Приказом от 29 апреля 2021 г. № 77. В частности, регулятор уточняет список документов, которые необходимо предоставить в территориальный орган ФСТЭК России по итогам аттестации, приводит адреса учреждений, которые принимают документы по аттестации федеральных и региональных государственных информационных систем. Однако самая ценная информация для основной части российских организаций содержится в последнем абзаце сообщения:

«Аттестация объектов информатизации, не указанных в пункте 3 Порядка аттестации, проводится в соответствии с Порядком аттестации по решению владельца объекта информатизации. В случае принятия такого решения положения Порядка аттестации должны реализовываться в полном объеме за исключением пунктов 27 и 32 Порядка аттестации».

Чтобы разобраться, почему это важно, обратимся к тексту Приказа от 29 апреля 2021 г. № 77. Пункт 3 устанавливает перечень объектов, для аттестации которых нужно следовать установленному порядку:

  1. государственные и муниципальные информационные системы, системы персональных данных;
  2. информационные системы управления производством в организациях ОПК. на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
  3. помещения, предназначенные для ведения конфиденциальных переговоров
  4. значимые объекты критической информационной инфраструктуры Российской Федерации.

В этом списке нет систем, обрабатывающих конфиденциальную информацию, которые составляют значительную долю аттестуемых объектов по уровню безопасности. Финансовые системы, компоненты медицинской инфраструктуры, серверы с электронной коммерческой перепиской – всё это попадает именно в эту категорию. До недавнего времени их аттестация проводилась в соответствии с «Положением по аттестации объектов информатизации по требованиям безопасности информации», утвержденном еще в ноябре 1994 года.

«Сам порядок аттестации таких систем определяется документами ФСТЭК России с пометкой “Для служебного пользования”, – продолжил Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT. – То есть для владельцев аттестуемых объектов процесс являлся непрозрачным. В свою очередь, iTPROTECT как лицензиат ФСТЭК России к этой информации доступ имеет, однако объяснить заказчикам, почему необходимо проводить именно те мероприятия, которые мы включаем в рекомендации без возможности ссылки на положения «закрытых» документов - бывает непросто».

Последний абзац апрельского сообщения ФСТЭК России коренным образом поменял эту ситуацию. Теперь регулятор разрешает использовать порядок из Приказа № 77 для аттестации систем, которые не входят в перечень из пункта 3 того же Приказа. Всё, что для этого требуется – это «решение владельца объекта информатизации».

В частности, изменения порядка упрощают оформление техпаспорта объекта аттестации. Форма техпаспорта из Приказа № 77 требует указывать тип каждого технического средства в составе объекта, их наименование и модель. Ни серийные, ни инвентарные, ни иные номера здесь не указаны – значит, теперь допустимо написать “мышь компьютерная, производство фирмы такой-то, модель такая-то”. Сейчас организации избавились от необходимости переаттестовывать всю систему при изменении какой-то её части. Например, если организация добавит или заменит один компьютер, дополнительные аттестационные мероприятия по новому порядку нужно будет проводить только с ним. Это значительно снижает и стоимость, и длительность аттестации.

Наконец, вернёмся ещё раз к тому же абзацу информационного сообщения – осталось разобрать последнюю его часть:

«В случае принятия [владельцем объекта аттестации] такого решения [об аттестации по новому порядку] положения Порядка аттестации должны реализовываться в полном объеме за исключением пунктов 27 и 32 Порядка аттестации (выделение – iTPROTECT)».

Эти пункты накладывают на организации два обязательства:

  1. В пятидневный срок после аттестации предоставить во ФСТЭК России пакет электронных документов о её итогах.
  2. Как минимум раз в два года предоставлять регулятору протоколы контроля защиты информации на аттестованном объекте.

Итак, если владелец объекта информатизации, не попавшего в перечень из пункта 3 Приказа № 77, принимает решение об аттестации по новому порядку, то эти ограничения на него не распространяются.

«Апрельское информационное сообщение заметно смягчает практику аттестации для всех организаций, работающих с коммерческой, служебной или врачебной тайной, информацией для служебного пользования и т.д., – резюмировал Роман Писарев. – Регулятор ввёл прозрачные правила, которые избавляют организации от многих “проволочек”. Теперь мероприятия по аттестации и поддержке аттестованных объектов будут проходить быстрее, дешевле и с меньшими трудоресурсами».

Остались вопросы по аттестации информационных систем? Напишите на r.pisarev@itprotect.ru, и наши эксперты вернутся к вам с подробной консультацией.