Информационная безопасность – один из важнейших вопросов для бизнеса сегодня. Защищённость от киберугроз напрямую влияет на стабильность бизнес-процессов, устойчивость компаний, репутацию и даже стоимость активов. При этом в понимании общественности кибербезопасность сводится к установке технических решений: антивирусов, межсетевых экранов (NGFW), антифрод-систем. Но, конечно, эта сфера гораздо шире, её важная составляющая – соответствие бизнеса, его персонала и информационной инфраструктуры требованиям, которые заложены в нормативных актах, регуляторных требованиях, международных стандартах.
IaaS-платформы (Infrastructure as a Service) – провайдеры облачных сервисов, которые чуть ли не чаще остальных сталкиваются с необходимостью регулярной аттестации на соответствие требованиям. Эти сервисы предоставляют свои вычислительные мощности – проще говоря, облака – организациям, которым требуется оперативное расширение информационной инфраструктуры при ограниченном бюджете. Учитывая темпы цифровизации, востребованность платформ, а значит и спрос на обеспечение их защищённости, постоянно растёт.
Национальный аттестационный центр (НАЦ) уже больше 20 лет на рынке и из них не менее 10 лет занимается аттестацией, в том числе различных облачных сервисов. Специалисты компании осуществляют проверку на соответствие требованиям среди ведущих компаний России: Яндекс, Вымпелком, Дата.ру, РЖД, Альфа-Банк, Сбербанк и многие другие. Облачные провайдеры – среди ведущих заказчиков НАЦ. В июльский топ рейтинга «CNews IaaS ENTERPRISE 2025: Рейтинг провайдеров инфраструктурных облачных сервисов» вошли сразу семь компаний, в которых специалисты НАЦ обеспечили соответствие требованиям информационной безопасности. В этой статье мы расскажем, как проходит аттестация, в чём важность процедуры и соответствия требованиям, как это влияет на устойчивость бизнеса.
Как проходит аттестация?
Важнейшим этапом является процесс подготовки. В первую очередь необходимо провести инвентаризацию компонентов информационной системы – серверов, рабочих станций, сетей, баз данных – и собрать документацию, включающую архитектурные схемы, политики ИБ, регламенты администрирования, журналы событий.
Достижение соответствия требованиям безопасности
Следующим этапом традиционно становится оценка текущего состояния системы. Специалисты проводят анализ защищённости, сканирование инфраструктуры на уязвимости, анализируют журналы событий и другую документацию. Цель – оценить, какие проблемы есть в системе, составить план их устранения.
После выполнения всех рекомендаций и совершенствования системы информационной безопасности можно переходить к аттестации, т. е. подтверждению её соответствия требованиям безопасности. IaaS-платформам это нужно для обеспечения возможности размещения в них государственных информационных систем и информационных систем персональных данных заказчиков. По результатам аттестации подтверждается, что в IaaS-платформе реализованы меры защиты, установленные:
- Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для обеспечения установленного уровня защищённости персональных данных.
- Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» для обеспечения установленного класса защищённости.
- Аттестация также может проводиться для подтверждения соответствия требованиям безопасности значимых объектов критической информационной инфраструктуры, определяемым Приказом ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В рамках проекта специалисты проводят комплекс мероприятий, который включает определение требуемых класса защищённости и уровня защищённости персональных данных, разработку проектов организационно-распорядительной документации по защите информации, проведение аттестационных испытаний и оформление по их результатам отчётных документов.
Испытания – это ключевой этап проверки. Эксперты НАЦ придерживаются индивидуального подхода к каждому заказчику, так как информационные системы всегда имеют особенности. Важно, что их прохождение и является главным подтверждением соответствия требованиям.
В итоге заказчик получает аттестат, на основании которого может осуществлять свою деятельность, например, по хранению и обработке персональных данных или размещению на своих облаках государственных информационных систем.
Несколько важных моментов:
- Аттестат соответствия выдаётся на весь срок эксплуатации объекта информатизации.
- В соответствии с требованиями нормативных документов организации-владельцу необходимо регулярно проверять соблюдение требований по защите информации – проводить периодический контроль.
- В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания.
- Сведения об изменениях аттестованного объекта информатизации и проведённых при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.
- В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищённости (уровня защищённости, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информатизации и его компонентов, проводится повторная аттестация.
Почему это важно?
Существует несколько причин, почему обеспечение соответствия требованиям и получение соответствующего аттестата крайне важно для бизнеса.
Во-первых, большая часть аттестаций является «де-факто» обязательной для осуществления деятельности по работе с персональными данными и государственными информационными системами. IaaS-платформа банально не сможет работать без такого документа.
Во-вторых, получение аттестата означает реализацию комплексного проекта по совершенствованию системы информационной безопасности компании. Ключевым здесь является не сам факт получения документа, а фактическое усиление ИБ, подготовка её к актуальным киберугрозам.
В-третьих, обеспечение безопасности, в том числе и аттестация, сегодня повышает ценность бизнеса. Компании, уставшие от постоянного давления со стороны хакеров, хотят сотрудничать с теми сервисами, которые готовы гарантировать защищённость данных, сохранность цифровых активов. Конечно, документ об аттестации не становится «оберегом» от злоумышленников, но означает, что платформа предприняла проактивные действия и готова противодействовать преступникам.
Подводим итог
Аттестация на соответствие требованиям – важнейший аспект для работы современного сервиса. Она подтверждает, что компания осведомлена о своих киберрисках, а главное, готова от них защищаться. Для IaaS-платформ это особенно актуально – их ресурсами пользуется огромное количество других компаний, поэтому ответственность за безопасность данных и инфраструктуры становится особенно высокой. НАЦ рекомендует всегда проверять, насколько ваша компания соответствует требованиям, проходить аттестации и оставаться защищёнными от цифровых угроз.