Когда и для кого аттестация объекта информатизации по требованиям безопасности является обязательной?

По опыту, многим организациям требуется разъяснение того, какие ИС, АС, ОИ, ИСПДн и т.п. подлежат обязательной аттестации по требованиям безопасности информации, а какие нет, и на основании чего. Опираясь на требования доступной нам нормативной базы, приведем краткую справку по данному вопросу, а также список проверки, для тех, кто находится в нерешительности.

Начнем разъяснение данного вопроса с документа ГОСТ РО 0043 – 003 – 2012 “Защита информации. Аттестация объектов информатизации. Общие положения”, определяющего понятия добровольной и обязательной аттестации. (Это документ ограниченного распространения. В свободном доступе он отсутствует).

2) Аттестация объектов информатизации может носить добровольный или обязательный характер.

Добровольная аттестация осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях договора между заявителем и органом по аттестации. Добровольная аттестация может осуществляться для установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации.

Обязательная аттестация проводится только в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным федеральными законами, нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, уполномоченных федеральных органов исполнительной власти.

Чем добровольная аттестация отличается от обязательной, надеюсь, мы разобрались. Теперь приведем нормативные ссылки, определяющие для кого аттестация является обязательной, в их исторической последовательности.

Положение по аттестации объектов информатизации по требованиям безопасности информации, Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 №282. Этот документ носит обязательный характер для объектов информатизации, осуществляющих обработку государственных информационных ресурсов, для всего остального носит рекомендательный характер.

Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.

ПРИКАЗ 11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении …

13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации …

Руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ) (ДСП) предусматривают аттестацию как обязательное мероприятие при вводе КСИИ в действие.

Принадлежность объекта информатизации к КСИИ устанавливается на основании секретного документа “Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий” (утв. Секретарем Совета Безопасности от 08.11.2005)“.

Таким образом, аттестация является обязательной для объектов информатизации, идентифицируемых по следующим ключевым словам:

1. государственная тайна
2. экологически опасные объекты
3. секретные переговоры
4. государственные ИС
5. муниципальные ИС
6. государственные информационные ресурсы
7. КСИИ

Если перечисленные термины к вам не относятся, то, скорее всего, ваша система не подлежит обязательной аттестации, но у вас есть возможность заказать добровольную аттестацию, как способ официального подтверждения соответствия вашего объекта информатизации требованиям по безопасности информации, т.к. иного официального способа для этого в нормативной базе не предусмотрено.

Comments (4)

Посетитель 14-05-2018 09:24

КСИИ упразднено

КСИИ упразднено

Александр Астахов 14-05-2018 12:30

КСИИ упразднено

Точнее упразднена буква “С” в этом слове, т.к. КСИИ невозможно упразднить 🙂

Посетитель 20-06-2018 10:57

гост

Где можно посмотреть ГОСТ РО 0043 – 003 – 2012?(

Александр Астахов 20-06-2018 11:51

гост

Это ДСПшный ГОСТ, поэтому выкладывать его на сайты нельзя. Можно заказать во ФСТЭК.