Новый порядок ФСТЭК России: аттестация объектов информатизации
- Автор: Лабутин Н.Г., заведующий кафедрой информационной безопасности, доцент, канд. техн. наук
С 01.09.2021 вступил в силу утверждённый приказом ФСТЭК России 29.04.2021 № 77 порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну. Новый порядок вышел в замен уже устаревшему морально Положению по аттестации объектов информатизации по требованиям безопасности информации, которое действовало с 1994 года.
Аттестация объектов информатизации – важный этап во внедрении системы защиты информации на предприятии, в организации, в государственном органе. По своей сути, аттестация – это комплекс мероприятий, проводимых на объекте информатизации, для проверки надёжности реализованной системы защиты информации, в результате проведения которой подтверждается соответствие определённым требованиям государственного регулятора в сфере технической защиты информации, коим является ФСТЭК России.
Требования о защите информации предъявляются к различным видам объектов информатизации, на которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну. Это требования к государственным и муниципальным информационным системам, к информационным системам персональных данных, к значимым объектам критической информационной инфраструктуры, к автоматизированным системам управления производственными и технологическими процессами и иным автоматизированным системам. Но обязательной аттестации подлежат не все перечисленные информационные системы, а только государственные и муниципальные, значимые объекты критической информационной инфраструктуры и информационные системы управления производством, используемые организациями оборонно-промышленного комплекса. Все остальные информационные системы могут быть аттестованы по решению их владельца, т.е. той организации, которая эксплуатирует данную информационную систему.
В новом порядке организации и проведения работ по аттестации объектов информатизации подробно представлены все действия по инициации процесса аттестации, а также действия, которые необходимо проводить участникам аттестации. Есть некоторые отличия нового порядка от старого положения об аттестации, представляющие интерес для специалистов. Например, в новом порядке указано, что аттестацию может проводить сама организация, эксплуатирующая информационную систему, при выполнении определённых требований. Для этого обязательно необходимо проинформировать ФСТЭК России о принятом решении, в организации должны быть средства, необходимые для контроля защищённости от несанкционированного доступа, квалифицированные работники и др.
Отличия нового порядка от ранее действовавшего лучше рассматривать непосредственно при изучении данного нормативного документа под руководством опытных преподавателей. Для обучения слушателей не только новым требованиям нормативных правовых документов, но и другим составляющим информационной безопасности в Приволжском институте повышения квалификации ФНС России реализуются согласованные с ФСБ России и ФСТЭК России одна программа профессиональной переподготовки «Информационная безопасность» (продолжительностью 502 часа) и программы повышения квалификации по направлению «Информационная безопасность»:
- «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну» (110 часов);
- «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа» (110 часов);
- «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (54 часа);
- «Техническая защита информации. Организация защиты информации, содержащей сведения, составляющие государственную тайну» (110 часов);
- «Техническая защита информации. Способы и средства защиты информации, составляющей государственную тайну от утечки по техническим каналам» (110 часов);
- «Защита информации с использованием отечественного программного обеспечения» (54 часа);
- «Оператор удостоверяющего центра» (102 часа).
Приглашаем всех заинтересованных в качественном обучении и повышении квалификации по защите информации в Приволжский институт повышения квалификации ФНС России!
Лабутин Н.Г.,
заведующий кафедрой информационной безопасности,
доцент, канд. техн. наук