До настоящего времени вопросы проведения работ по подтверждению соответствия объектов информатизации, обрабатывающих информацию конфиденциального характера, требованиям безопасности информации в форме аттестации регламентировались следующими документами:
- «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено Гостехкомиссией России 25 ноября 1994 г.);
- «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» (приказ Гостехкомиссии России от 30 августа 2002 г. № 282);
- ГОСТ РО 0043-003-2012 Разработан ФСТЭК России, принят и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 17 апреля 2012 г. № 2-ст РО;
- ГОСТ РО 0043-004-2013 Разработан ФАУ «ГНИИИ ПТЗИ ФСТЭК России», принят и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 12 апреля 2013 г. № 1-ст РО.
«Положение по аттестации..» впервые установило основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации. Было определено само понятие аттестуемого объекта информатизации (далее – ОИ) как автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации (далее – ЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации. Некоторые ставят под сомнение юридический статус данного документа, т.к. он не проходил регистрацию в Минюсте России, однако лицензиаты ФСТЭК России руководствуются его требованиями безоговорочно.
Указанные ГОСТы регламентируют составление программы и методик проведения аттестационных испытаний, а также проведение аттестации ОИ и контроля за их эксплуатацией.
*Следует учесть, что СТР-К и ГОСТы имеют пометку «для служебного пользования» (при этом в открытой печати не допускается даже упоминание полного наименования данных ГОСТов) и доступны только лицензиатам ФСТЭК России в области проведения работ по технической защите конфиденциальной информации.
Расширение нормативной базы в области защиты информации, содержащейся в государственных информационных системах, информационных системах персональных данных, автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, её открытости для широкой общественности, развитие сферы информационных технологий привело к потере актуальности многих положений указанных выше документов.
29 апреля 2021 г. Приказом ФСТЭК России №77 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну (далее – Приказ № 77, Порядок), который вступил в силу с 1 сентября 2021 г.
Приказ № 77 определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.
Порядок распространяется на аттестацию на соответствие требованиям по ЗИ следующих объектов информатизации:
- государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных (ГИС и МИС);
- информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением (АСУ ТП и АС ЧПУ в рамках ОПК);
- помещений, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения) (ЗП) (Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79). Указанная ссылка говорит о том, что действие настоящего Порядка распространяется на защищаемые помещения, планируемые для выполнения требований и условий, необходимых для лицензирования деятельности по технической защите конфиденциальной информации. Этот факт, по-видимому, будет необходимо указывать в отчетных документах, как основание для выдачи аттестата соответствия на весь срок эксплуатации ЗП.
Также действие Приказа № 77 распространяется на ряд объектов информатизации, добровольная аттестация которых проводилась по требованиям ГОСТ РО 0043-003-2012, а именно Порядок применяется также для аттестации следующих ОИ, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по ЗИ в форме аттестации:
- значимых объектов критической информационной инфраструктуры РФ (ЗОКИИ);
- информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных) (ИСПДн);
- автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП).
Данный перечень ОИ не содержит информационных систем, для которых владелец добровольно установил требования по аттестации согласно Приказу ФСТЭК России от 11.02.2013 № 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – Приказ № 17). Однако, целесообразно большинство положений (например, в части формы и состава разрабатываемой документации, порядка и срока действия аттестата соответствия) применять и для них.
Добровольная аттестация может осуществляться для установления соответствия системы защиты информации ОИ требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем ОИ.
Подтверждение соответствия объекта информатизации требованиям безопасности информации (в форме аттестационных испытаний) осуществляется специализированными организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России (далее – орган по аттестации).
Далее будет более подробно рассмотрено содержание основных положений Приказа № 77.
1. Чтобы исключить некорректное проведение аттестационных испытаний включено требование о том, что для проведения аттестационных испытаний назначается комиссия, в состав которой не должны входить эксперты, участвовавшие в разработке и (или) внедрении системы защиты информации объекта информатизации (п. 8). Подобное требование можно увидеть в п. 17 Приказа № 17.
2. В п. 9 Порядка введены ограничения на время проведения аттестационных испытаний: срок проведения работ по аттестации ОИ устанавливается владельцем ОИ по согласованию с органом по аттестации, но не может превышать четырех месяцев.
В Приказе определен четкий порядок выполнения различных этапов работ по подготовке и проведению аттестационных испытаний.
3. Для проведения работ по аттестации владелец ОИ представляет в орган по аттестации следующие документы или их копии (п. 11):
а) технический паспорт на ОИ;
б) акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;
в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации[1]);
г) техническое задание на создание (развитие, модернизацию) ОИ и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации ОИ;
д) проектную документацию на систему защиты информации ОИ (в случае ее разработки в ходе создания ОИ);
е) эксплуатационную документацию на систему защиты информации ОИ и применяемые средства защиты информации;
ж) организационно-распорядительные документы по защите информации владельца ОИ, регламентирующие защиту информации в ходе эксплуатации ОИ, в том числе план мероприятий по защите информации на ОИ, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией ОИ, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца ОИ);
з) документы, содержащие результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации ОИ (в случае проведения анализа и испытаний в ходе создания ОИ[2]).
Вместо бумажных копий по решению владельца ОИ указанные в настоящем пункте документы (их копии) могут быть представлены в орган по аттестации в виде электронных документов.
4. На основе анализа указанных в п. 11 документов и предварительного ознакомления с ОИ в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний (далее – ПиМ) (п. 12).
В ПиМ в том числе должны быть указаны угрозы безопасности информации, актуальные для ОИ, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации. Ранее этого не требовалось.
Т.е. ПиМ может быть разработана органом по аттестации только после выполнения комплекса работ по созданию и внедрению системы защиты информации ОИ и утверждения Заказчиком комплекта документов, указанных в п.11 Порядка.
ПиМ согласовывается с владельцем ОИ и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.
Несмотря на то, что при моделировании угроз рассматриваются в том числе и технические каналы утечки информации, в соответствии с п. 15 к) оценка эффективности защиты (защищенности) информации от утечки по техническим каналам проводится только для защищаемых помещений. Косвенно можно предположить, что для информационных систем средства активной защиты (генераторы шума) применяться не должны.
Для того чтобы подчеркнуть необходимость соблюдения порядка проведения работ по аттестации и исключить выдачу органами по аттестации комплекта документов в конце проведения работ без необходимого предварительного этапа согласования ПиМ, в заключении по результатам аттестационных испытаний ОИ в том числе должна содержаться дата утверждения ПиМ ОИ.
5. В соответствии с п. 20 заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу ОИ.
Также ФСТЭК России берет на себя функции контроля качества выполняемых лицензиатами работ по аттестации объектов информатизации. Для этого орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов (п. 27):
а) аттестата соответствия ОИ;
б) технического паспорта на ОИ;
в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
г) ПиМ ОИ;
д) заключения и протоколов.
Копии технического паспорта на ОИ, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем ОИ в орган по аттестации.
6. В связи с важностью указанных в Приказе № 77 объектов информатизации, ФСТЭК России как регулятор будет осуществлять контроль за обеспечением их безопасного функционирования. С этой целью в соответствии с п. 29 Порядка ФСТЭК России (территориальный орган ФСТЭК России) после внесения в реестр аттестованных ОИ проводит экспертно-документальную оценку документов, представленных органом по аттестации.
7. Аттестат соответствия выдается на весь срок эксплуатации ОИ (п. 31). Ранее данная норма применялась для ГИС, а для ЗП срок выдачи ограничивался максимально тремя годами.
8. В Приказе № 77 особо подчеркивается, что именно владелец аттестованного ОИ обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации… и проведения периодического контроля уровня защиты информации на аттестованном ОИ, результаты которого оформляются протоколами и отражаются в техническом паспорте на ОИ.
Именно владелец ОИ должен регулярно отчитываться перед ФСТЭК России о соответствии защиты объекта требованиям безопасности. Протоколы контроля защиты информации на аттестованном ОИ не реже одного раза в два года представляются владельцем ОИ в ФСТЭК России (территориальный орган ФСТЭК России).
Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия.
9. В процессе эксплуатации ОИ неизбежно возникают вопросы внесения изменений в состав технических средств, программного обеспечения, размещение, а также, возможно, и изменения состава средств защиты. Как «узаконить» данные изменения? В одной из предыдущих редакций Приказа № 17 были описаны критерии для проведения повторной аттестации и дополнительных аттестационных испытаний, но в текущей версии они отсутствуют. Данный пробел теперь компенсирует п. 33 Порядка, в котором определены условия проведения дополнительных испытаний и повторной аттестации, а именно:дополнительные аттестационные испытания проводятся в случае развития (модернизации) ОИ, в ходе которого:изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации;
- исключены программные, программно-технические средства и средства защиты информации;
- дополнительно включены аналогичные средства или заменены на аналогичные средства;
- повторная аттестация проводится в случае развития (модернизации) ОИ, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) ОИ и (или) к изменению архитектуры системы защиты информации ОИ в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения ОИ и его компонентов.
10. Приказ № 77 определяет порядок выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате. В частности, согласно п. 44 в случае утраты аттестата соответствия владелец ОИ вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия. (Ранее процедура выдачи дубликата в нормативно-методических документах не определялась).
В течение 20 рабочих дней со дня получения заявления о выдаче дубликата аттестата соответствия орган по аттестации оформляет дубликат аттестата соответствия с пометкой «дубликат, оригинал аттестата соответствия признается недействующим» и вручает его владельцу ОИ или направляет заказным почтовым отправлением с уведомлением о вручении.
Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).
11. До ввода в действие Приказа № 77 существовало небольшое количество нормативно-методических документов ФСТЭК России, в которых были приведены формы разрабатываемых нормативно-методических документов. В основном это СТР - К, где приведены формы акта классификации и технических паспортов на ОИ.
В приложении к утвержденному Порядку приведены новые формы технических паспортов, акта классификации и аттестата соответствия.
В заключение хотелось бы отметить, что утвержденный Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, в настоящее время играет роль основополагающего документа в области подготовки и проведения аттестации указанных ОИ. Он определяет:
- необходимый порядок работ;
- требования к проводимым испытаниям;
- перечень и состав разрабатываемой документации;
- процедуру выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате;
- действия владельца ОИ.
Несмотря на объемный перечень рассмотренных в Порядке вопросов, на наш взгляд, осталось несколько неосвещенных моментов:
1) Статус документа ГОСТ РО 0043-003-2012 и возможность проводить по нему аттестацию типовых автоматизированных рабочих мест (локальных информационных систем) и распространять результаты аттестации на указанные однотипные объекты.
2) Статус документа СТР-К и возможность проводить по нему аттестацию автоматизированных рабочих мест, классифицированных по классам защищенности, определенным руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», решение председателя Гостехкомиссии России от 30 марта 1992 г.
[1] Не разрабатывается для ЗП.
[2] Необходимость определена для ГИС и ЗОКИИ и АСУ ТП (приказы ФСТЭК России: №17 от 11.02.2013 г., №239 от 25.12.2017 г. и №31 от 14.03.2014 г. соответственно).