Аттестация информационной системы по требованиям ФСТЭК
Требования регуляторов к информационной безопасности растут с каждым днём. Защита персональных данных и аттестация – уже необходимость. Под действие №152-ФЗ попадают не только государственные и муниципальные структуры, но также физлица, ИП и юридические лица.
Перед бизнесом стоят задачи:
- Разместить ИТ-инфраструктуру по требованиям регуляторов
- Защитить информацию
Аттестат, выданный лицензиатом ФСТЭК, является подтверждением соответствия требованиям безопасности информации на государственном уровне.
Проверка и получение аттестата могут проводиться в обязательном или добровольном порядке, в зависимости от типа и класса защищенности систем.
Кому аттестация обязательна?
Государственные и муниципальные информационные системы (или ИС) проходят аттестацию в обязательном порядке.
Аттестация регламентирована приказами ФСТЭК России N 17, N 21 и N 77.
Аттестат – это документ, подтверждающий:
- соответствие инфраструктуры требованиям законодательства;
- реализацию мер по защите информации в соответствии с тем классом или уровнем защищённости, на который она аттестована.
Важно учесть:
- ГИС – это любая ИС, через которую осуществляются полномочия государственного органа, в том числе, например, официальный сайт.
- ГИС должна быть аттестована на всех уровнях: ЦОДа, серверного и пользовательского сегментов, и информационной системы.
Добровольная аттестация
Приказ N 21 касается информационных систем с персональными данными и содержит указания по добровольной аттестации. Уровень защищенности аттестованного ЦОД должен быть не ниже уровня защищенности ИС.
Что подлежит аттестации?
– Аттестация ЦОД
Инфраструктура до развертывания операционной системы;
– Аттестация серверного сегмента
Конкретный сервер внутри сети;
– Аттестация пользовательского сегмента
Передающего информацию через ИС;
– Аттестация информационной системы.
Что изменилось с введением новых требований регуляторов в 2022 году?
Организация, которая заказывает аттестационные испытания, обязана предоставить:
– акт классификации;
– организационно-распорядительную документацию;
– модель угроз – техническое задание, технический проект.
Соответственно – перед аттестацией необходимо обновить документацию.
Чем грозит игнорирование аттестации?
2 аспекта, за которые отвечает аттестат – выполнение требований регуляторов и обеспечение безопасности.
Государственные организации
Обязательно выполнение требований законодательства, указов президента, ФСТЭК, ФСБ, Роскомнадзора, региональных и локальных документов.
Только после выполнения требований, организация может подумать о том, как сделать инфраструктуру более безопасной.
Игнорирование требований приведёт к административным штрафам и конфискации несертифицированных средств защиты информации.
Коммерческие организации
Так как аттестация не является требованием, её игнорирование пока не влечёт за собой последствий.
Однако, в связи с ужесточением закона о персональных данных, эксперты предполагают, что в ближайшем будущем аттестация станет обязательной для всех операторов персональных данных.
Не исключено, что будут введены и новые требования для получения аттестата.
Как проходит аттестация?
Аттестация – контрольное мероприятие.
Организации необходимо выполнить требования, установленные Приказом ФСТЭК России N 77 перед тем, как приглашать аттестационный орган:
- Провести Аудит ИТ-инфраструктуры
- Провести классификацию, определить необходимый уровень защиты
- Разработать организационно-распорядительную документацию
- Подготовить проекты по построению системы защиты, по модели угроз – техническое задание, технический проект
- Установить/внедрить средства защиты информации (СЗИ)
- Провести анализ уязвимостей – СЗИ настроены правильно и т.д.
Особенности подготовки для ГИС
– По приказу ФСТЭК России от 11.02.2013 N 17, ГИС обязана согласовать модель угроз, и/или техническое задание с ФСТЭК и ФСБ, если используются средства криптографической защиты
– Обязательна аттестация пользовательского сегмента.
Варианты:
- Распространить действие своего аттестата на пользовательский сегмент. Это потребует подготовки дополнительной документации и финансовых затрат.
- Обязать всех пользователей пройти аттестацию для того, чтобы они имели возможность передавать данные через ИС.
Пример из практики CORTEL:
Заказчик – пчеловодческое предприятие, которое подключилось к ГИС.
У индивидуальных предпринимателей, пользователей ГИС, не было технической возможности провести аттестацию.
Решение:
Так как ключевая задача аттестации – защита ГИСа, муниципалитеты обязали к аттестации, а индивидуальных предпринимателей – к использованию СЗИ.
Зоны ответственности
Информационные системы можно хранить в аттестованном ЦОД (у стороннего подрядчика), но саму информационную систему обязан аттестовать её владелец.
Подрядчик закрывает требования к ЦОДу, а владелец закрывает требования к ИС.
Например:
ЦОД аттестован по классу 2К для ГИС. В рамках инфраструктуры не предусматривалось хранение WEB-приложений.
Владелец приобретает WAF и устанавливает его на границе WEB-приложения, если согласен с данными условиями.
ЦОД принимает решение о том, какой уровень ответственности он предоставляет – наличие и предоставление СЗИ, защищенного сервера или только оборудования.
Зоны ответственности подробно прописываются в госконтракте, договоре и SLA.
Какие альтернативы?
Бизнес может самостоятельно построить и аттестовать ИТ-инфраструктуру. Если времени, ресурсов или экспертизы для этого недостаточно — компании выбирают решения от поставщиков сервисов в поисках “волшебной таблетки” от аттестации. Но тут не всё так однозначно, как кажется.
Почему один сервис по аттестации стоит 5.000 рублей, а другой может стоить 500.000?
Рассмотрим 2 реальных случая от наших партнёров, по которым вы сами сможете сделать выводы.
Ситуация номер раз:
День 1
Заказчик Роман решил разместить ИС с персональными данными в сервере компании N, чтобы не озадачивать себя аттестацией. Из всех предложений на рынке он видит самую низкую цену и звонит подрядчику.
При звонке, молодая девушка-менеджер отвечает, что стоимость размещения будет 5.000 рублей.
Роман удивился такой привлекательной цене и уточнил:
– “Будут ли защищены мои данные на уровне защищённости 3?”
Менеджер:
– “Нет, для того, чтобы получить уровень защищённости 3, вам нужно заполнить анкету, которую мы вышлем на почту”.
День 2
После обеда пришло письмо, Роман его заполняет и отправляет день в день, почти под конец рабочего времени.
День 5
Спустя пару дней Роман вновь звонит в компанию N.
Цена уже 50.000 рублей.
Но заказчик собирается размещать веб-приложение, поэтому на всякий случай уточняет:
– “Включены ли в данную стоимость средства защиты информации, в том числе Web Application Firewall?”
Менеджер отвечает:
– “Стоимость WAF оплачивается отдельно, пришлите данные – какой нужен канал и сколько будет заходить”.
Роман задерживается в офисе допоздна, но всё же отправляет информацию.
День 6
Во второй половине следующего дня Роман перезвонил снова.
После новой озвученной стоимости он сразу решил уточнить:
– “Аттестован ли сервер?”
– “Нет. Для того, чтобы хранить систему в аттестованном сервере, нужно заполнить анкету, которую мы вам пришлём завтра”.
Роман снова задерживается в офисе чтобы заполнить очередную анкету, а левый глаз заказчика уже заметно подёргивается.
День 11
После заполнения, отправки, рассмотрения анкеты и итогового согласования условий в течение нескольких дней, Роман наконец-то добился своего, ценой сгоревших нервов и дополнительных часов после работы.
Известная компания N озвучила итоговую стоимость:
505 000 рублей
P.S.
Роман снова “идёт в рынок” чтобы найти альтернативу.
Ситуация номер два:
День 1
Заказчик Пётр оценил возможности своей компании и ИТ-инфраструктуры и решил разместить информационную систему с персональными данными в сервере компании С.
При звонке у заказчика сразу уточнили, является ли его система ГИС, где он будет её разворачивать, должен ли быть аттестован сервер и какой именно его ИС является – клиент-серверным или веб-приложением.
Пётр ответил:
– “Собираемся размещать веб-приложение, подключенное к ГИСу, а про аттестат мы не знали”.
Специалист компании C:
– “Так как ваше приложение подключено к ГИС, сервер должен быть аттестован по классу К2, а для защиты web-приложения вам точно потребуются средства защиты информации, в том числе, Web Application Firewall. Итоговая стоимость составит порядка 500.000 рублей, сколько и за что конкретно – обсудим сейчас, также это будет подробно описано в договоре”.
День 2
Пётр получил расчёт и решил задачу с аттестацией, за пару дней, получив исчерпывающий ответ для согласования с коллегами.
Роман по-своему прав. Выбрать готовое решение по минимальной цене кажется разумным решением, пока неизвестны подробности, но как и в других областях “волшебные таблетки” обычно не такие уж и волшебные, а служат лишь для привлечения внимания заказчиков.
Не попасть на эту “маркетинговую удочку” весьма просто. Важно при первом же разговоре уточнить все ключевые моменты, влияющие на стоимость, если этого не делает сторона подрядчика.
Цена сервиса у различных поставщиков определяется рынком и редко существенно разнится, отличаясь лишь дополнительными услугами.
Ключевая разница – во времени взаимодействия. И если в первом случае маркетинговая модель “маленьких шагов” тратит почти 2 недели заказчика, то во втором, компания фокусируется на доставке ценности, а не “ведении за руку” заказчика, с целью гарантированной продажи.
Этой статьёй мы старались помочь вам разобраться в хитросплетениях аттестационных процессов и объяснить как не попасться на маркетинговые уловки сервисных компаний.