Виды работ в строительстве подлежащие обязательной аттестации

Содержание

ОБ УТВЕРЖДЕНИИ ПОРЯДКА
ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ
ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ
ГОСУДАРСТВЕННУЮ ТАЙНУ

В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2020, N 35, ст. 5554), приказываю:

1. Утвердить прилагаемый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.

Директор Федеральной
службы по техническому
и экспортному контролю
В.СЕЛИН

Утвержден
приказом ФСТЭК России
от 29 апреля 2021 г. N 77

Отмена аттестации многих работ в строительстве 2018

ПОРЯДОК
ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ
ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ
ГОСУДАРСТВЕННУЮ ТАЙНУ

I. Общие положения

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933), приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924), приказом ФСТЭК России от 27 апреля 2020 г. N 61 (зарегистрирован Минюстом России 12 мая 2020 г., регистрационный N 58322).

Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31 (зарегистрирован Минюстом России 18 мая 2017 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 14 января 2019 г. N 5 (зарегистрирован Минюстом России 27 февраля 2019 г., регистрационный N 53916), приказом ФСТЭК России от 28 октября 2020 г. N 122 (зарегистрирован Минюстом России 25 марта 2021 г., регистрационный N 62868).

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071), приказом ФСТЭК России от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443), приказом ФСТЭК России от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).

Порядок организации аттестации работников — Елена А. Пономарева

Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объекта, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).

Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. N 191 (зарегистрирован Минюстом России 6 июля 2009 г., регистрационный N 14230).

2. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее — владельцы объектов информатизации).

3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее — аттестация) следующих объектов информатизации :

Пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. N 374-ст. (Москва: Стандартинформ, 2007).

государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;

информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;

помещений, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения) .

Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2020, N 49, ст. 7943).

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:

значимых объектов критической информационной инфраструктуры Российской Федерации;

информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);

автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

4. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.

II. Организация работ по аттестации объектов информатизации

5. Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (далее — орган по аттестации).

6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:

а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее — информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);

б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2020, N 35, ст. 5554), национальных стандартов в области технической защиты информации;

в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее — эксперты органа по аттестации).

8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.

Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации в соответствии с пунктом 11 настоящего Порядка, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.

Выводы экспертов органа по аттестации по результатам проведенных аттестационных испытаний не должны противоречить требованиями по технической защите информации.

9. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.

10. Информация об объекте информатизации, полученная органом по аттестации в ходе аттестации объекта информатизации, подлежит защите в соответствии с частью 4 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448, 2014, N 30, ст. 4243).

III. Проведение работ по аттестации объектов информатизации

11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:

а) технический паспорт на объект информатизации по форме согласно приложениям N 1, 2 к настоящему Порядку;

б) акт классификации информационной (автоматизированной) системы по форме согласно приложению N 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее — акт категорирования значимого объекта);

в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);

г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);

д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);

е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;

ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее — документы по защите информации владельца объекта информатизации);

з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.

12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.

13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:

а) общие положения;

б) программа аттестационных испытаний объекта информатизации;

в) методики аттестационных испытаний объекта информатизации.

13.1. Раздел, касающийся общих положений, должен включать следующие сведения:

а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;

б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;

в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;

г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.

13.2. Раздел, касающийся программы аттестационных испытаний объекта информатизации, должен включать перечень работ по аттестации объекта информатизации, в том числе работы по обследованию объекта информатизации в условиях его эксплуатации, проведению аттестационных испытаний в соответствии с разрабатываемыми методиками испытаний, оформлению результатов аттестационных испытаний, а также общий срок проведения аттестации объекта информатизации и сроки выполнения каждой работы по аттестации объекта информатизации, фамилию и инициалы эксперта органа по аттестации, ответственного за проведение каждой работы.

13.3. Раздел, касающийся методик аттестационных испытаний объекта информатизации, должен включать для каждого аттестационного испытания порядок, условия, исходные данные и методы испытаний, применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование.

14. Программа и методики аттестационных испытаний объекта информатизации согласовываются органом по аттестации с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.

В ходе аттестационных испытаний объекта информатизации орган по аттестации может вносить изменения в программу и методики аттестационных испытаний объекта информатизации по согласованию с владельцем объекта информатизации.

15. Аттестационные испытания включают следующие мероприятия и работы:

а) оценку соответствия технического паспорта объекта информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и настоящему Порядку;

б) проверку наличия и согласования с ФСТЭК России в соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241; 2020, N 42, ст. 6615; 2021, N 23, ст. 4079), модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);

в) обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации, а также документам, предусмотренным пунктом 11 настоящего Порядка;

г) проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;

д) проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный N 51063) (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;

е) проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;

ж) оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;

з) оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;

и) оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;

к) оценку эффективности защиты (защищенности) информации от утечки по техническим каналам (только для защищаемых помещений).

16. При проведении аттестационных испытаний органом по аттестации проводятся:

а) при проведении мероприятий и работ, предусмотренных подпунктами «а» — «з» пункта 15 настоящего Порядка, — оценка соответствия системы защиты информации объекта информатизации требованиям по защите информации на основе анализа экспертами органа по аттестации документов, предусмотренных пунктом 15 настоящего Порядка;

б) при проведении работ, предусмотренных подпунктом «и» пункта 15 настоящего Порядка, — испытания системы защиты информации путем осуществления тестирования ее функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования;

в) при проведении работ, предусмотренных подпунктом «к» пункта 15 настоящего Порядка, — оценка показателей эффективности защиты информации с применением контрольно-измерительного и испытательного оборудования.

17. В ходе аттестационных испытаний объекта информатизации владельцем объекта информатизации могут вноситься изменения в объект информатизации, в том числе в архитектуру его системы защиты информации, в целях приведения объекта информатизации в соответствие с требованиями по защите информации.

18. По результатам аттестационных испытаний орган по аттестации оформляет заключение по результатам аттестационных испытаний объекта информатизации (далее — заключение), включающее следующие сведения:

а) наименование объекта информатизации и его назначение, состав программно-технических, программных средств и средств защиты информации;

б) класс защищенности информационной (автоматизированной) системы, категория значимости значимого объекта;

в) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, проводивших аттестацию объекта информатизации;

г) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

д) срок проведения аттестационных испытаний;

д) наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;

е) результаты испытаний, предусмотренных пунктом 15 настоящего Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведенной работе и испытанию;

ж) рекомендации по устранению несоответствий системы защиты информации объекта информатизации требованиям по защите информации (далее — недостатки) в случае их выявления при проведении аттестационных испытаний;

з) вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.

Заключение подписывается экспертами органа по аттестации, проводившими аттестацию объекта информатизации, и утверждается руководителем органа по аттестации.

19. По результатам испытаний, предусмотренных подпунктами «и» и «к» пункта 15 настоящего Порядка, органом по аттестации наряду с заключением по результатам аттестационных испытаний оформляются протоколы аттестационных испытаний объекта информатизации (далее — протоколы), содержащие:

а) наименование испытания в соответствии с программой и методикой испытаний;

б) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

в) дату и место проведения аттестационных испытаний;

г) критерии выполнения требований по защите информации, в отношении которых проводились испытания;

д) условия и исходные данные для проведения испытаний;

е) применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование;

ж) описание порядка испытаний по оценке критериев выполнения требований по защите информации;

з) результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.

Протоколы подписываются экспертами органа по аттестации, проводившими аттестационные испытания объекта информатизации.

20. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

21. В случае выявления в ходе аттестационных испытаний недостатков, которые можно устранить в процессе аттестации объекта информатизации, владелец объекта информатизации обеспечивает их устранение, а орган по аттестации оценивает качество такого устранения.

По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации (далее — аттестат соответствия) на объект информатизации.

22. Аттестат соответствия оформляется органом по аттестации по форме согласно приложению N 4 к настоящему Порядку.

Аттестат соответствия подписывается руководителем органа по аттестации и заверяется печатью органа по аттестации (при наличии).

Аттестат соответствия вручается органом по аттестации владельцу объекта информатизации или направляется ему заказным почтовым отправлением с уведомлением о вручении.

23. В случае выявления при проведении аттестационных испытаний недостатков, которые невозможно устранить в процессе аттестации объекта информатизации, работы по аттестации объекта информатизации завершаются, аттестат соответствия не оформляется.

24. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия (далее — обращение) в ФСТЭК России. Обращения федеральных органов государственной власти или государственных корпораций направляются в центральный аппарат ФСТЭК России, обращения иных владельцев объектов информатизации направляются в управление ФСТЭК России по федеральному округу, на территории которого расположен объект информатизации (далее — территориальный орган ФСТЭК России).

К обращению прилагаются в электронном виде копии следующих документов:

а) технического паспорта на объект информатизации;

б) акта классификации информационной (автоматизированной) системы (акта категорирования значимого объекта);

в) программы и методик аттестационных испытаний объекта информатизации;

г) заключения и протоколов.

25. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов, указанных в пункте 24 настоящего Порядка, на предмет соответствия проведенных органом по аттестации аттестационных испытаний и выводов, содержащихся в заключении, требованиям по защите информации и настоящему Порядку. По согласованию с владельцем объекта информатизации работники ФСТЭК России (территориального органа ФСТЭК России) проводят контрольные испытания на объекте информатизации в соответствии с пунктами 15 и 16 настоящего Порядка.

26. Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, установлено несоответствие аттестационных испытаний и (или) выводов, содержащихся в заключении или протоколах, требованиям по защите информации или настоящему Порядку, ФСТЭК России (территориальный орган ФСТЭК России) направляет в орган по аттестации уведомление о необходимости устранения выявленных недостатков в указанный в уведомлении срок. Копия уведомления направляется владельцу объекта информатизации. Орган по аттестации обязан устранить недостатки, выявленные ФСТЭК России по результатам оценки документов, в указанный в уведомлении срок и оформить аттестат соответствия.

Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации для устранения недостатков, выявленных органом по аттестации.

27. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.

Копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.

28. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 20 пункта 9 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

29. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

30. В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. Владелец объекта информатизации в соответствии с выданными рекомендациями обеспечивает устранение выявленных недостатков в указанный в заключении срок.

Об устранении недостатков владелец объекта информатизации информирует ФСТЭК России (территориальный орган ФСТЭК России). Неустранение недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России), в указанный в заключении срок является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34 — 37 настоящего Порядка.

В случае выявления по результатам проведенной оценки недостатков, не приводящих к возникновению угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) направляет письмо в орган по аттестации с целью учета при проведении работ по аттестации объектов информатизации.

31. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.

Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34 — 37 настоящего Порядка.

33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация в соответствии с настоящим Порядком.

34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) установления факта несоответствия аттестованного объекта информатизации требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз безопасности информации;

б) неустранения недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России) в соответствии с пунктом 30 настоящего Порядка;

в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;

г) изменений архитектуры системы защиты информации аттестованного объекта информатизации, которые приводят к несоответствию этого объекта аттестату соответствия;

д) обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.

Установление фактов несоответствия аттестованного объекта информатизации требованиям по защите информации, неустранения недостатков и изменений архитектуры осуществляется на основании:

результатов контроля за состоянием работ по технической защите информации, осуществляемого ФСТЭК России в соответствии с подпунктом 7 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085;

результатов контроля за реализацией настоящего Порядка.

35. Решение о приостановлении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

Действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней.

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о приостановлении действия аттестата соответствия.

36. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о приостановлении действия аттестата соответствия в реестр аттестованных объектов информатизации.

37. В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации.

38. Действие аттестата соответствия возобновляется ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) устранения несоответствия объекта информатизации требованиям по защите информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих устранение недостатков;

б) представления в ФСТЭК России протоколов контроля уровня защиты информации на аттестованном объекте информатизациив соответствии с пунктом 32 настоящего Порядка;

в) проведения аттестации объекта информатизации в соответствии с настоящим Порядком для измененной архитектуры системы защиты информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих проведение аттестации;

г) обращения владельца объекта информатизации о возобновлении действия аттестата соответствия на объект информатизации в случае, если решение о приостановлении его действия было принято по обращению владельца объекта информатизации.

39. Решение о возобновлении действия аттестата соответствия на объект информатизации оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о возобновлении действия аттестата соответствия.

40. Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае:

а) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих устранение недостатков;

б) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;

в) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;

г) обращения владельца объекта информатизации о прекращении действия аттестата соответствия.

41. Решение о прекращении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).

Приказ территориального органа ФСТЭК России о прекращении действия аттестата соответствия подлежит согласованию со структурным подразделением ФСТЭК России, на которое возложены вопросы организации аттестации объектов информатизации.

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о прекращении действия аттестата соответствия.

42. В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено.

43. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о прекращении действия аттестата соответствия в реестр аттестованных объектов информатизации.

44. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

В течение 20 рабочих дней со дня получения заявления о выдаче дубликата аттестата соответствия орган по аттестации оформляет дубликат аттестата соответствия с пометкой «дубликат, оригинал аттестата соответствия признается недействующим» и вручает его владельцу объекта информатизации или направляет заказным почтовым отправлением с уведомлением о вручении. Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).

45. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

Приложение N 1
к Порядку организации
и проведения работ по аттестации
объектов информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от «__» апреля 2021 г. N ___

Источник: rulaws.ru

Аттестация ФСТЭК России: мифы и реальность

Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:

программа и методики аттестационных испытаний,
протокол аттестационных испытаний,
заключение аттестационных испытаний,
аттестат соответствия (выдается в случае положительного заключения).

А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:

Обследование:
отчет об обследовании,
модель угроз и нарушителя безопасности информации,
акт классификации,
техническое задание на создание системы защиты.
Проектирование системы защиты:
технический проект на систему защиты информации,
эксплуатационная документация на систему защиты информации.
Внедрение системы защиты:
установка и настройка средств защиты информации,
разработка организационно-распорядительной документации по защите информации.

В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».

Как правильно? Давайте разбираться

Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.

Для того, чтобы разобраться, давайте определимся, что же такое аттестация?

В соответствии с пунктом 1.4. «ПОЛОЖЕНИЯ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994 под аттестацией понимается: «… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России» (далее — положение по аттестации).
В соответствии с пунктом 3.6 «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012: определение в целом идентично пункту 1.4. положения по аттестации (см. выше).

Данное определение точки над «i» не расставляет.
Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.

Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте:
«13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие».

Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.

Типы аттестуемых объектов информатизации

Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:

Защищаемые помещения (помещения для ведения конфиденциальных переговоров);
Автоматизированные системы (компьютерные системы).

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

(далее — АС ОКИ, требования предъявляются: СТР-К и РД АС); (далее — ИСПДн, требования предъявляются: приказ ФСТЭК России № 21); (далее — ГИС, требования предъявляются: приказ ФСТЭК России № 17); (далее – АСУ ТП, требования предъявляются: приказ ФСТЭК России № 31); (требования предъявляются: приказ ФСТЭК России № 489); (требования предъявляются: приказами ФСТЭК России № 235 и № 239); (далее – АБС, требования предъявляются: положение ЦБ РФ № 382-П и СТО БР ИББС).

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

подпункт 4) части 2 статьи 19 ФЗ-152;
подпункт 6 приказа ФСТЭК № 21.

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Срок действия аттестата

В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:

пункт 3.8.4. положения по аттестации;
пункт 6.6.4. ГОСТ РО 0043-003-2012.

А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.

Переаттестация (повторная аттестация)

Переаттестацией считается процедура повторной аттестации ранее аттестованного объекта.
Переаттестация, как правило, проводится прямо к окончанию действия аттестата, но может быть проведена и существенно раньше окончания срока его действия, например, по причинам внесения изменений в систему защиты информационной системы.

На практике переаттестацией считается и процедура повторной аттестации объекта информатизации, срок действия аттестата которого закончился. Так делается потому, что все же объект информатизации ранее был аттестован, и оценка его защищенности уже проводилась.

Для переаттестации объекта информатизации собственник (владелец) автоматизированной системы обращается к тому же лицензиату ФСТЭК России, который ранее проводил аттестацию объекта информатизации, или к иному лицензиату, что также допустимо.

Переаттестация, как правило, проводится по причине внесения изменений в аттестованный объект информатизации. Такими изменениями являются:

Изменения в системе защиты информации (изменения в составе средств защиты, например, замена средства защиты или изменение версии или параметров настройки средств защиты информации).
Изменения в составе автоматизированной системы (расширение количества защищаемых объектов вычислительной техники и(или) защищаемых ресурсов).
Изменения в составе обслуживающего персонала, так как в соответствии с нормативной документацией ФСТЭК России при аттестации также проверяется распределение обязанностей обслуживающего персонала и их знание требований по безопасности информации.

Можно ли вносить изменения в аттестованную систему?

Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.

Какие изменения могут влиять на защищенность?

В первую очередь это:

изменения в параметрах настройки системы защиты информации;
изменения в составе средств защиты информации;
изменения в составе защищаемых информационных ресурсов (расширение/увеличение их количества);
изменения в составе защищаемых объектов вычислительной техники (расширение/увеличение их количества).

В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.

Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.

Кто выдает аттестат?

Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3. ГОСТ РО 0043-003-2012 также должен быть аттестат аккредитации органа по аттестации (далее — ОА) объектов информатизации.

Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов, имеет закрытый характер (ГОСТ РО 0043-003-2012 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.

Порядок выдачи аттестата (как выдается аттестат)

При аттестации конфиденциальных объектов:

Лицензиат ФСТЭК России проводит работы по аттестации и выдает заказчику аттестат соответствия (в случае положительного заключения о соответствии объекта требованиям безопасности информации).
Лицензиат ФСТЭК России сам регистрирует выданный аттестат в реестре выданных аттестатов.
Лицензиат ФСТЭК России периодически отчитывается во ФСТЭК России о проведенных работах по аттестации и выданных аттестатах, в том числе при плановых проверках лицензиата уполномоченным органом (ФСТЭК России).

При аттестации секретных объектов:

Лицензиат ФСТЭК России с аттестатом аккредитации органа по аттестации (далее — орган по аттестации) проводит работы по аттестации и направляет отчетные документы по аттестации на экспертизу во ФСТЭК России.
В случае положительного прохождения экспертизы отчетных документов во ФСТЭК России лицензиат ФСТЭК выдает заказчику аттестации аттестат соответствия.
Орган по аттестации сам регистрирует выданный аттестат в реестре выданных аттестатов.

Кто регулятор (законодательный орган) по аттестации?

Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Официальный сайт ведомства – fstec.ru
Адрес ведомства: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела по технической защите информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Кто и как контролирует аттестованные объекты?

ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.

В соответствии с нормативно-правовыми актами ФСТЭК России:

Лицензиат ФСТЭК России обязан проводить ежегодный контроль аттестованных им объектов.
По результатам ежегодного контроля оформляются протоколы и заключение о соответствии аттестованного объекта информатизации требованиям по безопасности информации.
В случае, если защищенность объекта информатизации подтверждается, то в аттестат соответствия вносится запись о проведении ежегодного контроля с положительным результатом и возможности продолжить обработку защищаемой информации на объекте информатизации.
В случае отрицательного результата ежегодного контроля аттестат аннулируется (отзывается).

Чем отличается аттестация от декларации соответствия?

Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».

В частности, это указано в НПА:

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
ГОСТ Р 51624-2000;
ГОСТ РО 0043-003-2012; ;
и др. нормативные документы ФСБ и ФСТЭК России.

Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.

Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.

Итого мы имеем:
Аттестация:

Оценку соответствия (защищенности) проводит только внешний аудитор – лицензиат ФСТЭК России с пунктом в лицензии «аттестация».
Процедура аттестации законодательно закреплена.
Регулятор в области аттестации – ФСТЭК России, и поэтому доверие к аттестованному объекту максимально возможное.

Декларирует защищенность объекта сам заказчик (владелец объекта).
Процедура декларации соответствия неизвестна (непонятна), так как законодательно не закреплена.
Доверия к декларации соответствия у регуляторов (ФСБ, ФСТЭК, Роскомнадзор) нет, и поэтому спрос при плановых и внеплановых проверках максимальный (так, как будто работы по защите информации вообще не проводились).

Стоимость аттестации

Стоимость аттестации прямо зависит от:

Типа аттестуемого объекта (автоматизированная система или защищаемое помещение).
Для автоматизированных систем еще и от вида автоматизированной системы:
АС ОКИ,
ГИС,
АСУ ТП,
ИСПДн,
ИСОП,
объект критической информационной инфраструктуры (КИИ),
АБС.
Требований, по которым необходимо аттестовать объект, так как один и тот же объект одновременно может быть аттестован по разным требованиям:
по 17 приказу ФСТЭК,
по 21 приказу ФСТЭК,
по 31 приказу ФСТЭК,
по 489 приказу ФСТЭК,
по 235 и 239 приказам ФСТЭК,
по 382-П и СТО БР ИББС.
Масштаба объекта информатизации:
количественных характеристик,
качественных характеристик,
проводились ли ранее работы по аттестации,
территориальной (географическая) распределенности,
и др.

Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

на объекте не соблюдаются требования по безопасности;
изменены параметры настройки средств защиты информации;
изменен состав средств защиты информации;
увеличен состав защищаемых ресурсов;
увеличен состав защищаемых объектов вычислительной техники;
не осуществляется ежегодный контроль защищенности аттестованного объекта с внесением в аттестат соответствующей записи о проведении контроля;
изменен состав обслуживающего персонала.

При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.

Ответственность за аттестованный объект информатизации

Ответственность за аттестованный объект обоюдно несут два субъекта:

Владелец объекта, осуществляющий использование и обслуживание объекта. Владелец обязан обеспечить неизменность условий функционирования аттестованного объекта и технологии обработки защищаемой информации.
Лицензиат ФСТЭК России, проводивший аттестацию объекта и затем проводящий ежегодный контроль объекта. Лицензиат ФСТЭК России несет ответственность за защищенность объекта в случае выполнения заказчиком своих обязанностей (см пункт 1).

Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.

Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.

Какие требования по безопасности к информационным системам?

Требования по безопасности зависят в первую очередь от типа объекта.
Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.

Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:

Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.

Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:

«в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей».

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.

Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.

Источник: xn--90ao1ar.xn--p1ai

ОБ УТВЕРЖДЕНИИ ПОРЯДКА ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ

Утвердить прилагаемый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.

Федеральной службы по техническому

и экспортному контролю

приказом ФСТЭК России

от 29 апреля 2021 г. N 77

Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

I. Общие положения

2. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).

3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее – аттестация) следующих объектов информатизации[2]:

помещений, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения)[3].

значимых объектов критической информационной инфраструктуры Российской Федерации;

автоматизированных систем управления производственными
и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

II. Организация работ по аттестации объектов информатизации

а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее – информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее – эксперты органа по аттестации).

III. Проведение работ по аттестации объектов информатизации

а) технический паспорт на объект информатизации по форме согласно приложениям N 1, 2 к настоящему Порядку;

б) акт классификации информационной (автоматизированной) системы по форме согласно приложению N 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее – акт категорирования значимого объекта);

ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца объекта информатизации);

13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:

а) общие положения;

б) программа аттестационных испытаний объекта информатизации;

в) методики аттестационных испытаний объекта информатизации.

13.1. Раздел, касающийся общих положений, должен включать следующие сведения:

15. Аттестационные испытания включают следующие мероприятия и работы:

16. При проведении аттестационных испытаний органом по аттестации проводятся:

а) при проведении мероприятий и работ, предусмотренных подпунктами «а» – «з» пункта 15 настоящего Порядка, – оценка соответствия системы защиты информации объекта информатизации требованиям по защите информации на основе анализа экспертами органа по аттестации документов, предусмотренных пунктом 15 настоящего Порядка;

б) при проведении работ, предусмотренных подпунктом «и» пункта 15 настоящего Порядка, – испытания системы защиты информации путем осуществления тестирования ее функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования;

в) при проведении работ, предусмотренных подпунктом «к» пункта 15 настоящего Порядка, – оценка показателей эффективности защиты информации с применением контрольно-измерительного и испытательного оборудования.

18. По результатам аттестационных испытаний орган по аттестации оформляет заключение по результатам аттестационных испытаний объекта информатизации (далее – заключение), включающее следующие сведения:

б) класс защищенности информационной (автоматизированной) системы, категория значимости значимого объекта;

г) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

д) срок проведения аттестационных испытаний;

е) наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;

ж) результаты испытаний, предусмотренных пунктом 15 настоящего Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведенной работе и испытанию;

з) рекомендации по устранению несоответствий системы защиты информации объекта информатизации требованиям по защите информации (далее – недостатки) в случае их выявления при проведении аттестационных испытаний;

и) вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.

а) наименование испытания в соответствии с программой и методикой испытаний;

б) дату утверждения программы и методик аттестационных испытаний объекта информатизации;

в) дату и место проведения аттестационных испытаний;

г) критерии выполнения требований по защите информации, в отношении которых проводились испытания;

д) условия и исходные данные для проведения испытаний;

ж) описание порядка испытаний по оценке критериев выполнения требований по защите информации;

з) результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.

По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации (далее – аттестат соответствия) на объект информатизации.

24. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия (далее – обращение) в ФСТЭК России. Обращения федеральных органов государственной власти или государственных корпораций направляются в центральный аппарат ФСТЭК России, обращения иных владельцев объектов информатизации направляются в управление ФСТЭК России по федеральному округу, на территории которого расположен объект информатизации
(далее – территориальный орган ФСТЭК России).

К обращению прилагаются в электронном виде копии следующих документов:

а) технического паспорта на объект информатизации;

б) акта классификации информационной (автоматизированной) системы (акта категорирования значимого объекта);

в) программы и методик аттестационных испытаний объекта информатизации;

г) заключения и протоколов.

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.

31. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

32. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

д) обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.

результатов контроля за реализацией настоящего Порядка.

Действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней.

б) представления в ФСТЭК России протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о возобновлении действия аттестата соответствия.

г) обращения владельца объекта информатизации о прекращении действия аттестата соответствия.

ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о прекращении действия аттестата соответствия.

к Порядку организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну

(руководитель (уполномоченное лицо) владельца объекта информатизации)

(подпись, инициалы и фамилия)

«____» ____________ 20__ г.

Т Е Х Н И Ч Е С К И Й П А С П О Р Т

информационной (автоматизированной) системы

(наименование информационной (автоматизированной) системы)

1. Общие сведения об информационной (автоматизированной) системе.

1.1. Наименование и назначение информационной (автоматизированной) системы: ____________________________________________________________.

1.2. Расположение программно-технических средств информационной (автоматизированной) системы: ________________________________________.

(указываются адреса расположения средств)

1.3. Установленный класс защищенности информационной (автоматизированной) системы (категория значимого объекта, уровень защищенности персональных данных):___________________________________.

(указываются реквизиты документа)

1.4. Сведения о вводе информационной (автоматизированной) системы в эксплуатацию: _______________________________________________________.

(указываются номер и дата приказа о вводе в эксплуатацию)

2. Условия эксплуатации информационной (автоматизированной) системы.

2.1. Сведения об архитектуре информационной (автоматизированной) системы, включающие описание структуры и состава (типовых компонентов), структурную (топологическую) схему с указанием информационных связей между компонентами информационной (автоматизированной) системы и иными информационными системами, в том числе с сетью Интернет ________.

2.2. Описание технологического процесса обработки информации и режимы доступа к информационным ресурсам, включающее описание всех типов внешних, внутренних пользователей (привилегированных, непривилегированных), полномочий пользователей и тип доступа к информационным ресурсам ____________________________________________.

2.3. Сведения об аттестате соответствия информационно-телекоммуникационной инфраструктуры центра обработки данных, на базе которой функционирует информационная (автоматизированная) система, а также о модели услуг, по которой предоставляются вычислительные услуги (заполняется при условии аттестации информационной (автоматизированной) системы на базе аттестованной на соответствие требованиям по защите информации информационно-телекоммуникационной инфраструктуры центра обработки данных):___________________________________________________.

(указываются реквизиты аттестата соответствия и модель услуг)

3. Состав информационной (автоматизированной) системы.

3.1. Состав программно-технических средств информационной (автоматизированной) системы: ________________________________________.

(указываются типы технических средств, их наименования и модели)

3.2. Состав общесистемного и прикладного программного обеспечения информационной (автоматизированной) системы: ____________________________________________________________________.

(указываются типы программного обеспечения, их наименования и основные (мажорные) версии)

3.3. Состав телекоммуникационного оборудования информационной (автоматизированной) системы и используемые для передачи информации линии связи:_______________________________________________________________.

(указываются типы оборудования, их наименования и основные (мажорные) версии)

3.4. Состав средств защиты информации, используемых в информационной (автоматизированной) системе:__________________________

(указываются типы средств, их наименования и основные (мажорные) версии, сведения о сертификатах соответствия)

4. Сведения о соответствии информационной (автоматизированной) системы требованиям по защите информации.

4.1. Сведения о протоколах аттестационных испытаний информационной (автоматизированной) системы _________________________________________.

(реквизиты протоколов и дата их выдачи)

4.2. Сведения о заключении по результатам аттестационных испытаний информационной (автоматизированной) системы __________________________.

(реквизиты заключения и дата выдачи)

4.3. Сведения об аттестате соответствия информационной (автоматизированной) системы на соответствие требованиям о защите информации: ________________________________________________________.

(реквизиты аттестата соответствия, дата выдачи)

5. Сведения о проведении контроля за обеспечением уровня защиты информации, содержащейся в информационной (автоматизированной) системе, приведены в таблице 1.

Наименование организации (подразделения), проводившей контроль

Дата проведения контроля

Реквизиты документа с выводами о результатах

Вывод по результатам контроля

6. Сведения об изменениях информационной (автоматизированной) системы и средств защиты информации приведены в таблице 2.

Дата внесения изменения

Документ, на основании которого внесены изменения

Пункт технического паспорта, в который внесены изменения

Краткая характеристика изменений

Подпись лица, внесшего изменения

Ответственный за обеспечение защиты информации в ходе эксплуатации информационной (автоматизированной) системы

«___» ___________ 20__г.

(подпись, фамилия и инициалы)

(руководитель (уполномоченное лицо) владельца объекта информатизации)

(подпись, инициалы и фамилия)

«____» ____________ 20__ г.

Т Е Х Н И Ч Е С К И Й П А С П О Р Т

(наименование защищаемого помещения)

1. Общие сведения о защищаемом помещении.

1.1. Наименование и назначение защищаемого помещения:_____________.

1.2. Расположение защищаемого помещения:_________________________.

(указываются адрес, строение, этаж, номер)

1.3. Сведения о проведении проверок защищаемого помещения с целью выявления возможно внедренных электронных устройств перехвата информации: ________________________________________________________.

(указываются реквизиты заключения, наименование организации, проводившей проверки)

1.4. Сведения об аттестации защищаемого помещения: ____________________________________________________________________.

(указываются реквизиты аттестата соответствия требованиям по безопасности информации)

1.5. Сведения о вводе защищаемого помещения в эксплуатацию: ____________________________________________________________________.

(указываются номер и дата приказа о вводе в эксплуатацию защищаемого помещения)

2. Условия расположения и эксплуатации защищаемого помещения.

2.1. Сведения и схема расположения защищаемого помещения относительно границ контролируемой зоны с указанием расстояний до ее границ, сведения и схема основных технических средств и систем (в случае их наличия), вспомогательных технических средств и систем, средств защиты информации, а также линий, имеющих выход за пределы контролируемой зоны, относительно границ контролируемой зоны с указанием расстояний до ее границ.

2.2. Сведения и схемы электроснабжения и заземления основных технических средств и систем (в случае их наличия) и вспомогательных технических средств и систем, установленных в защищаемом помещении, включая место расположения трансформаторной подстанции и заземляющего устройства, с указанием расстояний до границ контролируемой зоны, сведения о сопротивлении заземляющего устройства (при наличии основных технических средств и систем).

3. Состав защищаемого помещения.

3.1. Состав основных технических средств и систем, установленных в защищаемом помещении, представлен в таблице 1.

Наименование основного технического средства и системы, заводской

Минимальное расстояние до границы контролируемой зоны, м

Сведения о специальных проверках[4]

Сведения о специальных исследованиях или сертификатах соответствия[5]

3.2. Состав вспомогательных технических средств и систем, установленных в защищаемом помещении, представлен в таблице 2.

Наименование вспомогательного технического средства
и системы, заводской

Минимальное расстояние до основных технических средств и систем, м

Сведения о специальных проверках4

Сведения о специальных исследованиях или сертификатах соответствия5

3.3. Состав средств защиты информации, используемых в защищаемом помещении, представлен в таблице 3.

Источник: fstec.ru

Аттестация ФСТЭК России: мифы и реальность

Как правильно? Давайте разбираться

Типы аттестуемых объектов информатизации

Виды аттестации

Для кого аттестация является обязательной?

Является ли аттестация обязательной для коммерческих организаций?

Срок действия аттестата

Переаттестация (повторная аттестация)

Можно ли вносить изменения в аттестованную систему?

Какие изменения могут влиять на защищенность?

Кто выдает аттестат?

Порядок выдачи аттестата (как выдается аттестат)

Кто регулятор (законодательный орган) по аттестации?

Кто и как контролирует аттестованные объекты?

Чем отличается аттестация от декларации соответствия?

Стоимость аттестации

За что может быть отобран (отозван) аттестат?

Ответственность за аттестованный объект информатизации

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

Какие требования по безопасности к информационным системам?

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

I. Общие положения

II. Организация работ по аттестации объектов информатизации

III. Проведение работ по аттестации объектов информатизации

Срок передачи объекта долевого строительства для всех един

Инженерная экономика и сметное дело в строительстве отзывы

Строительство домов из газобетона или пеноблоков что лучше

Используемые в строительстве материалы должны обладать какой теплопроводностью

Исполнительная документация в строительстве требования к оформлению документов

1 виды цен в строительстве и принципы их формирования

Соседи не дают согласие на строительство что делать

Исковое заявление о признании индивидуальное строительство в собственность