Если вы готовитесь к аттестации объектов информатизации компании и не знаете, с чего начать, то наша статья будет вам полезна. Материал содержит рекомендации по подготовке к этому непростому процессу, взятые из практики работы сотрудников компании «Газинформсервис», которая более 17 лет оказывает услуги по подготовке и аттестации таких систем.
Этим вопросом задаётся каждый, кто впервые пытается на практике пройти квест под названием «аттестация». Сложностей здесь достаточно, и одна из них связана с тем, что сегодня в Российской Федерации принято большое количество норм и требований, предъявляемых к защите различных информационных ресурсов. Можно считать, что информационное право окончательно выделено в отдельную ветвь, и для того, чтобы разобраться во всех тонкостях и особенностях этих законов, необходим узкопрофильный юрист, работающий именно с этим направлением. Однако далеко не каждая компания может позволить себе иметь в штате такого специалиста.
Ещё одна сложность – назначение ответственными за вопросы защиты информации специалистов IT-подразделения, которые в информационной безопасности работают по совместительству и, соответственно, не имеют ни профильного образования, ни должной подготовки, ни достаточного количества рабочего времени для системного выполнения работ по обеспечению информационной безопасности. Всё это оказывает негативное влияние на качество аттестации информационных систем. Без должной квалификации обследование систем зачастую проводится поверхностно, некорректно задаются требования по информационной безопасности, а результатом такой работы нередко являются ошибки в проектировании и внедрении системы защиты информации.
С 1 июня 2021 года появилась еще одна сложность. Согласно новым требованиям ФСТЭК России владелец объекта информатизации теперь обязан направлять в организацию, выполняющую работы по аттестации автоматизированных систем, электронные копии технического паспорта, акта классификации, технического задания на создание системы защиты информации, прочей проектной и эксплуатационной документации, определенной государственными стандартами. Также необходимо предоставить организационно-распорядительные документы по технической защите информации, регламентирующие правила эксплуатации объекта, в т. ч. по управлению системой защиты информации, управлению конфигурацией объекта и т. п. Далее лицензиат ФСТЭК России обязан перенаправить вышеуказанные документы в территориальный орган государственного регулятора. На данный момент это относится к системам, в которых осуществляется обработка государственной тайны, но есть предпосылки полагать, что подобные требования будут обязательны и для владельцев информационных систем, обрабатывающих данные ограниченного доступа, не составляющие государственную тайну. Следовательно, значительно возрастает вероятность детального рассмотрения и оценки регулятором работы на местах, а значит, качественная подготовка к этому процессу приобретает больший вес, и выполнить ее своими силами будет сложнее.
В ходе аттестационной деятельности на стороне заказчиков мы выявляли большое количество как мелких недочетов, так и грубых нарушений при подготовке информационных систем к аттестации.
Чаще всего встречались следующие:
В случае обнаружения таких ошибок при проведении аттестации необходимо будет их устранить и организовать повторные испытания, что естественно «выливается» в дополнительные расходы и потерю времени.
Поэтому, если в организации отсутствует собственный квалифицированный персонал, занимающийся вопросами защиты информации, мы рекомендуем прибегать к помощи организации-лицензиата ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации, имеющей пункты «а», «б» и «г» в лицензии (полный перечень организаций, уполномоченных оказывать услуги, размещен на официальном сайте регулятора). Такое решение позволит получить комплексный подход к защите информационной системы и гарантированный положительный результат аттестационных испытаний.
Но если вы всё-таки приняли решение сделать всё самостоятельно, мы хотим дать несколько важных рекомендаций.
Приведём примерный алгоритм действий при подготовке к аттестационным испытаниям.
Первое, что необходимо сделать, – осуществить первичный анализ объектов информатизации: провести оценку исходных данных (обследование объекта), осуществить анализ и формирование требований безопасности и анализ рисков. Далее нужно определить наличие необходимых компетенций у работников и распределить обязанности при проведении работ (в т. ч. при подготовке организационно-распорядительных документов, настройке программных и аппаратных средств защиты информации, эксплуатации системы защиты информации, руководстве работами и организации контроля за их выполнением). Следующий шаг – определить механизмы безопасности, состав и структуру комплекса средств защиты информации в зависимости от установленного класса (уровня) защищенности объекта. Также потребуется оценить временные затраты и ресурсы на подготовку объектов к аттестации. В завершении подготовки необходимо будет выбрать организацию, которая, проведя комплекс мероприятий, подтвердит соответствие системы защиты информации объекта информатизации требованиям безопасности.
Мы рассказали про два подхода к аттестации и надеемся, что наши рекомендации помогут вам при подготовке к ней объектов информатизации.
Материал подготовлен начальником отдела аттестационных испытаний компании ООО «Газинформсервис» Станиславом Бабкиным.
Почему все так сложно?
Этим вопросом задаётся каждый, кто впервые пытается на практике пройти квест под названием «аттестация». Сложностей здесь достаточно, и одна из них связана с тем, что сегодня в Российской Федерации принято большое количество норм и требований, предъявляемых к защите различных информационных ресурсов. Можно считать, что информационное право окончательно выделено в отдельную ветвь, и для того, чтобы разобраться во всех тонкостях и особенностях этих законов, необходим узкопрофильный юрист, работающий именно с этим направлением. Однако далеко не каждая компания может позволить себе иметь в штате такого специалиста.
Ещё одна сложность – назначение ответственными за вопросы защиты информации специалистов IT-подразделения, которые в информационной безопасности работают по совместительству и, соответственно, не имеют ни профильного образования, ни должной подготовки, ни достаточного количества рабочего времени для системного выполнения работ по обеспечению информационной безопасности. Всё это оказывает негативное влияние на качество аттестации информационных систем. Без должной квалификации обследование систем зачастую проводится поверхностно, некорректно задаются требования по информационной безопасности, а результатом такой работы нередко являются ошибки в проектировании и внедрении системы защиты информации.
С 1 июня 2021 года появилась еще одна сложность. Согласно новым требованиям ФСТЭК России владелец объекта информатизации теперь обязан направлять в организацию, выполняющую работы по аттестации автоматизированных систем, электронные копии технического паспорта, акта классификации, технического задания на создание системы защиты информации, прочей проектной и эксплуатационной документации, определенной государственными стандартами. Также необходимо предоставить организационно-распорядительные документы по технической защите информации, регламентирующие правила эксплуатации объекта, в т. ч. по управлению системой защиты информации, управлению конфигурацией объекта и т. п. Далее лицензиат ФСТЭК России обязан перенаправить вышеуказанные документы в территориальный орган государственного регулятора. На данный момент это относится к системам, в которых осуществляется обработка государственной тайны, но есть предпосылки полагать, что подобные требования будут обязательны и для владельцев информационных систем, обрабатывающих данные ограниченного доступа, не составляющие государственную тайну. Следовательно, значительно возрастает вероятность детального рассмотрения и оценки регулятором работы на местах, а значит, качественная подготовка к этому процессу приобретает больший вес, и выполнить ее своими силами будет сложнее.
Где чаще всего ошибаются?
В ходе аттестационной деятельности на стороне заказчиков мы выявляли большое количество как мелких недочетов, так и грубых нарушений при подготовке информационных систем к аттестации.
Чаще всего встречались следующие:
- ошибки в организационно-распорядительных документах по защите объектов (несоответствие сведений, указанных в документах, реальным условиям эксплуатации систем), а иногда и полное отсутствие таких документов;
- ошибки в определении класса (уровня) защищенности информационных систем;
- использование документов ФСТЭК России, утративших силу;
- ошибки в определении актуальных технических каналов утечки информации;
- некорректно выбранные меры по защите информации от несанкционированного доступа;
- несоответствие настроек средств защиты информации требованиям по защите информации и эксплуатационной документации.
В случае обнаружения таких ошибок при проведении аттестации необходимо будет их устранить и организовать повторные испытания, что естественно «выливается» в дополнительные расходы и потерю времени.
Поэтому, если в организации отсутствует собственный квалифицированный персонал, занимающийся вопросами защиты информации, мы рекомендуем прибегать к помощи организации-лицензиата ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации, имеющей пункты «а», «б» и «г» в лицензии (полный перечень организаций, уполномоченных оказывать услуги, размещен на официальном сайте регулятора). Такое решение позволит получить комплексный подход к защите информационной системы и гарантированный положительный результат аттестационных испытаний.
Но если вы всё-таки приняли решение сделать всё самостоятельно, мы хотим дать несколько важных рекомендаций.
Как подготовить объект информатизации к аттестации
Приведём примерный алгоритм действий при подготовке к аттестационным испытаниям.
Первое, что необходимо сделать, – осуществить первичный анализ объектов информатизации: провести оценку исходных данных (обследование объекта), осуществить анализ и формирование требований безопасности и анализ рисков. Далее нужно определить наличие необходимых компетенций у работников и распределить обязанности при проведении работ (в т. ч. при подготовке организационно-распорядительных документов, настройке программных и аппаратных средств защиты информации, эксплуатации системы защиты информации, руководстве работами и организации контроля за их выполнением). Следующий шаг – определить механизмы безопасности, состав и структуру комплекса средств защиты информации в зависимости от установленного класса (уровня) защищенности объекта. Также потребуется оценить временные затраты и ресурсы на подготовку объектов к аттестации. В завершении подготовки необходимо будет выбрать организацию, которая, проведя комплекс мероприятий, подтвердит соответствие системы защиты информации объекта информатизации требованиям безопасности.
Мы рассказали про два подхода к аттестации и надеемся, что наши рекомендации помогут вам при подготовке к ней объектов информатизации.
Материал подготовлен начальником отдела аттестационных испытаний компании ООО «Газинформсервис» Станиславом Бабкиным.
