Порядок организации и проведения работ по аттестации объектов информатизации
Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – Приказ ФСТЭК России № 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России № 77 вступил в силу 1 сентября 2021 г.
Порядок, установленный Приказом ФСТЭК России № 77, распространяется на аттестацию следующих объектов информатизации:
- государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн);
- ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
- защищаемых помещений;
- значимых объектов критической информационной инфраструктуры (далее – КИИ);
- ИСПДн;
- автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнение требований, установленных Приказом ФСТЭК России № 77 для проведения работ по аттестации.
Приказом ФСТЭК России № 77 определен минимальный состав аттестационной комиссии: руководитель комиссии и не менее двух экспертов; установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации.
Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
- аттестата соответствия объекта информатизации;
- технического паспорта на объект информатизации;
- акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ;
- программы и методик аттестационных испытаний объекта информатизации;
- заключения и протоколов.
Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения об аттестованных им объектах информатизации.
В случае развития (модернизации) объекта информатизации, приводящей к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.
Изменение порядка информирования ФСБ России о компьютерных инцидентах
ФСБ России 26 августа 2021 г. был опубликован проект Приказа «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденный приказом ФСБ России от 19 июня 2019 г. № 282 .
Предлагаемые изменения:
- разработанный план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак утверждается руководством субъекта КИИ;
- копия утвержденного плана в срок до 7 календарных дней направляется в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ);
- проект плана реагирования, содержащий положения о привлечении подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, должен разрабатываться при методическом обеспечении НКЦКИ до его утверждения.