Для чего нужно аттестованное рабочее место фстэк

Опубликовано: 03.10.2024

Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» обязывает организации получать лицензию ФСТЭК России на оказание услуг в области технической защиты конфиденциальной информации. Для этого необходимо подготовить обширный пакет документов и выполнить ряд требований. Что следует принять во внимание, чтобы лицензирование прошло максимально безболезненно и эффективно?

Какие документы требуются для получения лицензии ФСТЭК?

Процесс лицензирования подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

  1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями Постановления № 79.
  2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней устранить недоработки.
  3. Если заявление оформлено верно, то в течение пяти дней начиная со дня принятия заявления ЛО проводит проверку полноты дополняющих заявление документов, а это обычно примерно 200–300 страниц.
  4. При недостатке в дополняющих документах ЛО отказывает организации в приеме заявления до устранения нарушений. На это у юридического лица есть те же 30 дней.
  5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об аргументированном отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган один на всю страну, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. По телефону задавать вопросы можно, для этого дается два часа два раза в неделю, не более пяти минут на один сеанс связи, много выяснить не получится. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно, особенно если есть недопонимания в правилах лицензирования или затруднения с выполнением хотя бы одного из требований. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению на получение лицензии необходимо приложить:

  • документы на автоматизированные системы, на защищаемое помещение, на право законного владения помещением, оборудованием, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
  • документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
  • копии трудовых книжек, договоров подряда, документов об образовании сотрудников соискателя лицензии;
  • документы на правообладание оборудованием, на поверочные работы, подтверждающие факт правильной работоспособности этого оборудования, на ПО, и т.д.;
  • сведения о нормативных документах, необходимых для осуществления деятельности по защите информации;
  • описание технологического процесса обработки конфиденциальной информации по установленной форме.

Те, кто впервые получает лицензию, должны представить нотариально заверенные учредительные документы организации.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Комплекс услуг по подготовке организаций к лицензированию ФСТЭК

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта Контур.Безопасность.

В комплекс услуг входят:

  1. Первичная консультация. Это знакомство с организацией-заказчиком с целью понять, для чего требуется лицензия, и разъяснить клиенту, что она ему даст, какими затратами обернется ее получение и сколько вложений (временных и финансовых) потребуется в дальнейшем. В том числе специалисты сразу сообщают, каковы шансы организации на успешное лицензирование, исходя из готовности клиента подать заявление сейчас.
  2. Помощь в аттестации. Сотрудники проекта Контур.Безопасность проводят аттестацию помещений для переговоров, автоматизированных систем обработки конфиденциальной информации по требованиям безопасности.
  3. Консультация по приобретению оборудования и программного обеспечения.
  4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Большая часть ГОСТов находится в электронном виде в справочно-правовых системах. Но их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание.
  5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования.
  6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
  7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК России, заполнить его несложно, но нужно выполнить достаточно много условий относительно дополняющих заявление документов — своевременно, точно и в полном соответствии с требованиями.
Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  • Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  • Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ .

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.


Как известно, про аттестацию рабочих мест заговорили еще в 2011 году (Приказ Минздравсоцразвития от 26 апреля 2011 г. N 342н). Тогда был утвержден порядок проведения аттестации рабочих мест. Причем проводить ее были обязаны без исключения все организации. В феврале 2013 года законодатели смягчились и разрешили проводить аттестацию не всем работодателям, а только тем, у кого имеются «подозрительные» рабочие места. Деятельность сотрудника должна быть связана с работой машин, оборудования и прочей техники, с инструментами, с материалами и сырьем. В общем, с источниками, которые оказывают вредное воздействие на человека.

Официально освобождены от аттестации рабочие места с компьютерами, копировально-множительной техникой, а также бытовой техникой, не используемой в технологическом процессе. Вроде как малый бизнес в большинстве освободился от необходимости аттестовать рабочие места.

Но, как водится, все оказалось не так уж просто.

Во-первых, послабление сделали только в феврале 2013. А в отчетности в ФСС нужно указывать данные по аттестации на начало года. Это значит, что все организации все равно должны были провести аттестацию ранее, и к февралю 2013 уже быть с цифрами. Прочерки в отчетах приниматься не будут. Внезапно.

Во-вторых,сотрудники, которые проводят за компьютером более 50% рабочего времени обязаны проходить медосмотр раз в 2 года. В Порядке проведения аттестации сказано, если сотрудники должны проходить медосмотры, то и рабочее место подлежит обязательной аттестации. Это разъяснение дал Минтруд в своем письме от 08.04.13 № 15-1-859.

Есть ложка меда. Если по результатам аттестации рабочее место признано безопасным, то повторно ее проводить не нужно (так говорится в приказе Министерства труда и социальной защиты РФ от 12.12.2012 № 590н).

Но, давайте поподробнее поговори о том, какие рабочие места и как аттестовать.

Зачем это надо

Кроме того, что это требование законодательства и, выполняя его, вы избегаете штрафов, хочется понять, будет ли польза для самой организации.

После проведения аттестации рабочих мест вы сможете получить скидку по взносам на травматизм до 40%. Ставка зависит от категории, к которой будет отнесена ваша компания по степени профессионального риска. Более того, вы можете провести аттестацию за счет средств ФСС. Как возместить затраты на аттестацию рабочих мест, вы узнаете в конце статьи.

Аттестация рабочих мест поможет сократить налоговую нагрузку, т.к. по результатам аттестации рассчитываются льготы и компенсации сотрудникам, а они не облагаются налогами и взносами. У вас появится возможность законно включать в себестоимость продукции затраты на улучшение условия труда сотрудников: приобретение средств защиты, спецодежды, и т п. Вы сможете снизить коммунальные расходы, регулируя энергопотребление освещения, отопления и т д. Аттестация рабочих мест поможет значительно снизить ответственность руководителя при возникновении несчастного случая на работе. Вы сможете доказать, что обеспечили достаточно безопасные условия труда.

Рабочие места, подлежащие аттестации

Аттестации подлежат рабочие места которых относятся к пункту 4 Порядка проведения аттестации рабочих мест, т.е. как уже говорилось выше, это те рабочие места, которые связаны с источниками воздействия на здоровье человека. Вновь созданные рабочие места должны пройти аттестацию в течение года со дня ввода в эксплуатацию. Затем, аттестацию необходимо проводить каждые 5 лет со дня последней аттестации, в случае если рабочее место не будет признано безопасным.

Количество рабочих мест, подлежащих аттестации, не всегда соответствует количеству сотрудников. У вас может быть 5 бухгалтеров, а аттестацию будет проходить 2 рабочих места. Рабочие места могут быть признаны аналогичными, тогда количество рабочих мест, требующих аттестацию легально сокращается. Аналогичными признаются рабочие места, которые соответствуют следующим требованиям:

  • должности имеют одно наименование;
  • сотрудники выполняют одинаковые профессиональные обязанности в одинаковом режиме;
  • используют однотипное оборудование, материалы, сырье;
  • работают в одном или нескольких однотипных помещениях;
  • имеют одинаковый набор вредных и (или) опасных производственных факторов одного класса и степени;
  • одинаково обеспечены средствами индивидуальной защиты.

Как проходит аттестация рабочих мест

Компании не могут сами проводить аттестацию, в состав аттестационной комиссии должна входить специальная организация, которая получила аккредитацию и внесена в реестр, имеющих право проведения аттестации рабочих мест. Поэтому первое, что вам нужно будет сделать — это выбрать аттестующую организацию. Аттестующие организации можно посмотреть на сайте dogma.su. Перед заключением договора, проверьте наличие фирмы в реестре аккредитованных организаций, оказывающих услуги в области охраны труда.

Руководитель издает приказ о проведении аттестации рабочих мест, он составляется в произвольной форме. В приказе обязательно указывается:

  • состав аттестационной комиссии: кроме аттестующей организации, туда еще входят представители вашей фирмы, специалист по охране труда и представители профсоюза, у кого он есть;
  • ФИО председателя комиссии (это представитель вашей фирмы);
  • срок проведения аттестации.

В ходе проведения аттестации, организация будет проводить замеры и оценки ваших рабочих мест, чтобы признать их соответствующими либо не соответствующими нормам охраны труда.

Результаты проведения аттестации оформляются в отчет с приложением всех необходимых документов. Состав пакета документов определен в п.44 Порядка проведения аттестации, а их формы приведены в приложениях к Порядку.

После утверждения отчета об аттестации вам нужно предоставить в инспекцию труда:

  • сводную ведомость результатов аттестации рабочих мест;
  • сведения об аттестующей организации;
  • сопроводительное письмо на бланке работодателя.

Срок предоставления документов — 10 дней со дня издания приказа о завершении аттестации рабочих мест.

Цена вопрос

Аттестующие организации бесплатно не работают, стоимость проведения аттестации рабочих мест колеблется от тысячи рублей до 3 тысяч за одно рабочее место. Здесь надо быть внимательным, и вместе с подрядчиков прикинуть, сколько мест придется аттестовать. При наличии 4 работников (например 2 программиста, верстальщик и веб-дизайнер) у вас может возникнуть от 1 до 3 рабочих мест (если все будут инженеры-программисты — это 1 рабочее место, а если оформить карточки рабочих места на программиста, верстальщик и дизайнера — это уже 3 места). Все зависит от подрядчика.

Радует, что расход является обоснованным и фирмы на УСН «Доходы минус расходы» смогут его спокойно учесть на основании пп. 26 п. 1 ст. 346.16 НК РФ.

Аттестация за счет ФСС

Добросовестные компании, которые исправно платят страховые взносы могут получить компенсацию за счет средств ФСС на аттестацию рабочих мест.

Сумма компенсации на проведение аттестации может быть не более 20% от уплаченных взносов на травматизм за вычетом страховых выплат сотрудникам по травматизму в 2012 году.

Для получения компенсации в ФСС нужно предоставить:

  • заявление, составленное в свободной форме;
  • план финансирования предупредительных мер по сокращению производственного травматизма по форме, утвержденной Приказом N 580н;
  • копию приказа организации о проведении аттестации;
  • копию приказа организации о создании аттестационной комиссии;
  • копию договора с аттестующей организацией;
  • копию уведомления Минтруда о включении аттестующей организации в Реестр аккредитованных организаций, оказывающих услуги в области охраны труда.

Срок подачи документов не позднее 1 августа текущего года.

В течение 13 дней ФСС уведомит вас о принятом решении.

Не провели аттестацию в срок, что нам грозит

Вообще, за нарушение порядка проведения аттестации предусмотрены штрафные санкции:

  • от 1000 до 5000 рублей или приостановление деятельности на 90 суток.
  • от 30 000 до 50 000 рублей или приостановление деятельности на 90 суток;
  • от 1000 до 5000 руб. на директора. Если не проводили аттестацию рабочих мест, то лучше провести её сейчас.

Пока сами ФСС относятся к этому несколько лояльно, да и трудовые инспекции строго проверяют в основном производственные фирмы, к офисам требований меньше. В любом случае, следует перед сдачей отчетности в ФСС пообщаться с сотрудником Фонда по поводу заполнения таблицы 10 отчета 4-ФСС.

Положение по аттестации объектов информатизации по требованиям безопасности информации

1. Общие положения

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.

1.2. Положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".

1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.

1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

1.6. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

1.7. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

- анализ исходных данных по аттестуемому объекту информатизации;

- предварительное ознакомление с аттестуемым объектом информатизации;

- проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

- проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

- проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

- проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

- анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

1.9. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Гостехкомиссия России может передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.

1.10. Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.

Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии - по договорной цене в порядке, установленном Гостехкомиссией России по согласованию с Министерством финансов Российской Федерации.

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта инфоpматизации.

1.11. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

2. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации

2.1. Организационную структуру системы аттестации объектов информатизации образуют:

- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;

- органы по аттестации объектов информатизации по требованиям безопасности информации;

- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

- заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

2.2. Федеральный орган по сертификации и аттестации осуществляет следующие функции:

- организует обязательную аттестацию объектов информатизации;

- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

- рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;

- организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

2.3. Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.

2.4. Органы по аттестации:

- аттестуют объекты информатизации и выдают "Аттестаты соответствия";

- осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;

- отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";

- формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

- ведут информационную базу аттестованных этим органом объектов информатизации;

- осуществляют взаимодействие с Гостехкомиссией России и ежеквартально информируют его о своей деятельности в области аттестации.

2.5. Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на объекте информатики, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации".

- проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;

- привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;

- предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;

- привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";

- извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");

- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

3. Порядок проведения аттестации и контроля

3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

- подачу и рассмотрение заявки на аттестацию;

- предварительное ознакомление с аттестуемым объектом;

- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

- разработка программы и методики аттестационных испытаний;

- заключение договоров на аттестацию;

- проведение аттестационных испытаний объекта информатизации;

- оформление, регистрация и выдача "Аттестата соответствия";

- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

3.2. Подача и рассмотрение заявки на аттестацию.

3.2.1. Заявитель для получения "Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1.

3.2.2. орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

3.3. Предварительное ознакомление с аттестуемым объектом.

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

3.4. Испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте информатизации.

3.4.1. При использовании на аттестуемом объекте информатизации несеpтифициpованных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

3.4.2. Испытания отдельных несеpтифициpованных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.

В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

3.5. Разработка программы и методики аттестационных испытаний.

3.5.1. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

Аттестация рабочего места ФСТЭК требуется организациям, планирующим выполнять работы, связанные с передачей сведений, составляющих государственную тайну. Без аттестата соответствия невозможно получить отдельные виды лицензий Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Автоматизированным рабочим местом (АРМ) может считаться комплект технических и программных средств, обеспечивающий возможность взаимодействия с данными для одного сотрудника.

Два возможных подхода к решению задачи

Аттестация рабочего места ФСТЭК и аттестация режимно-секретного подразделения, как объекта информатизации – это две различные последовательные процедуры. Важно обратить внимание: аттестация объекта требуется каждому соискателю, планирующему взаимодействовать со сведениями гостайны на территории собственного РСП, в то время как проверки технических средств можно избежать, если сразу приобрести готовые сертифицированные АРМ. Цена аттестации АРМ складывается из мероприятий по сертификации технических средств, а также лабораторных и выездных исследований объекта информатизации.

Порядок аттестации системы в ФСТЭК предполагает несколько масштабных этапов: подготовка предприятия, заключение договора со специализированной организацией и проведение основных испытаний.

Далее остановимся лишь на тех процедурах, которые имеют свою специфику и/или могут вызвать сложности у соискателей:

  • Подготовительные мероприятия – это не только приобретение, установка и отладка технических и программных средств в составе АРМ, но также и разработка предаттестационной документации. Требования к ней отражены в нормативных актах (инструкциях, ГОСТ и др.) с ограниченным доступом. Получить их для ознакомления без наличия соответствующего допуска к гостайне не представляется возможным. Обычно соискатели на данном этапе обращаются за помощью к специалистам, компетентным в вопросах секретного делопроизводства и имеющим право доступа к ГТ.
  • Аттестация АРМ (цена которой во многом зависит от количества рабочих мест) может проводиться только организациями, имеющими свою лабораторию, аккредитацию и соответствующую лицензию ФСТЭК.
  • Если компания лицензируется в ФСБ, ей необходимо пройти специальную проверку в отношении всего оборудования, находящегося на территории выделенного помещения. Таковыми считаются любые кабинеты, на территории которых ведется работа с носителями сведений государственной тайны. Специальной проверке подлежат не только АРМ, но также оргтехника, датчики и другие электронные устройства в режимно-секретном подразделении.
  • Порядок аттестации системы в ФСТЭК предполагает лабораторные проверки, для проведения которых автоматизированные рабочие места доставляются на территорию испытательного центра. Иногда тестирование производится непосредственно на территории соискателя посредством контрольно-измерительного оборудования исполнителя.

Аттестация автоматизированных рабочих мест
2 недели

Аттестация выделенных помещений
2 недели

Аттестация АРМ с КБ «ОРИОН»

КБ «ОРИОН» взаимодействует с соискателями, претендующими на получение лицензии ФСБ и аттестацию АРМ по требования ФСТЭК. Специалисты оказывают консультационную поддержку в рамках подготовительных, лицензионных и сопутствующих мероприятий, например, сертификации и аттестации оборудования или объектов информатизации в целом.

Подготовка предприятия начинается с аудита объекта и составления перечня мероприятий в удобном для сторон формате – техническое задание, проект, смета и др., с подробными пояснениями. Приобретение, установка, отладка и настройка оборудования в составе АРМ может производиться сотрудниками КБ «ОРИОН» или представителями компании-соискателя. Кроме того, специалисты разрабатывают предаттестационную, методическую и сопутствующую документацию для испытаний и помогают согласовать условия с аттестационным центром. Подробности на консультации.

Читайте также: