ПОРЯДОК ПОДГОТОВКИ К АТТЕСТАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ФСТЭК

PROCEDURE FOR PREPARING FOR THE ATTESTATION OF THE INFORMATION SYSTEM TO FSTEC REQUIREMENTS

Mingatinova Adela Ildarovna

student, Faculty of Mechanics and Mathematics Department of Information Systems Security Samara State University

Russia, Samara

Patsyuk Alexander Dmitrievich

PhD in Technical Sciences, Associate Professor,  Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены значение и содержание процедуры прохождения аттестации системы защиты информации на соответствие требованиям Регуляторов (ФСТЭК, ФСБ).

Представлена конкретная последовательность действий по подготовке системы к проведению аттестации.

Указанные рекомендации могут использоваться предприятиями независимо от размера и формы собственности.

ABSTRACT

The article discusses the importance and content of the procedure for attesting an information protection system to meet the requirements of regulators (FSTEC, FSB).

It presents a specific sequence of actions for preparing the system for attestation.

These recommendations can be used by enterprises of any size and ownership form.

Ключевые слова: информационная безопасность, защита информации, аттестация, система защиты информации, информационные системы.

Keywords: information security, information protection, certification, information security system, information systems.

Введение

В настоящее время практически все предприятия, имеющие информационные системы, проходят процедуру аттестации на соответствие требованиям о защите информации [1].

С 01.03.2026 приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» утратит силу. Вместо него действует приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Согласно данному приказу аттестация государственных информационных систем (ГИС) является обязательным требованием [2]. Однако, даже организации, не являющиеся операторами ГИС, но взаимодействующие с ними и получающие данные от ГИС, обязаны соблюдать требования приказа №117.

Проведение аттестации предусматривает не только исследование инженерно-технической, программно-аппаратной и криптографической защиты, но и анализ пакета организационных документов по информационной безопасности [1, 3].

Общие сведения

Подготовка информационной системы к аттестации требует комплексного подхода, включающего анализ текущего состояния, разработку документации, внедрение необходимых мер и проверку их эффективности. Основные этапы и рекомендации основаны на требованиях ФСТЭК России, в частности, приказа ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» [1].

Порядок подготовки

В общем случае подготовка системы защиты информации к проведению аттестации может быть представлена в виде последовательности следующих шагов [4].

1. Определение класса защищённости

Класс защищённости информационных систем (ИС) определяется в зависимости от масштаба системы и уровня значимости обрабатываемой информации. Для ГИС выделяют классы К1 (первый класс защищённости), К2 (второй) и К3 (третий).

Акт классификации – обязательный документ, который оформляется на подготовительном этапе.

2. Разработка модели угроз безопасности информации

Модель угроз описывает возможные угрозы для системы, включая потенциальных нарушителей, уязвимости, способы реализации угроз и последствия их реализации. При разработке модели следует учитывать банк данных угроз ФСТЭК России.

Модель угроз необходима для обоснования выбора мер и средств защиты, соответствующих актуальным угрозам безопасности информации.

3. Техническое задание на систему защиты информации

Техническое задание (ТЗ) должно содержать следующие разделы [5]:

• общие сведения;
• цели и назначение создания системы защиты информации;
• характеристика объектов автоматизации;
• требования к системе защиты информации;
• состав и содержание работ по созданию системы защиты информации;
• порядок разработки системы защиты информации;
• порядок контроля и приёмки системы защиты информации;
• требования к составу и содержанию работ по подготовке системы защиты информации к вводу в действие;
• требования к документированию;
• источники разработки.

Для объектов, входящих в состав объекта капитального строительства, вместо ТЗ может использоваться задание на проектирование (реконструкцию).

4. Проектная и эксплуатационная документация

Необходимо разработать:

• проектную документацию на систему защиты информации (например, технический проект);
• эксплуатационную документацию на систему защиты и применяемые средства защиты информации (СЗИ).

5. Организационно-распорядительные документы (ОРД)

К ОРД относятся:

• политика информационной безопасности;
• внутренние стандарты по защите информации;
• внутренние регламенты по защите информации
• должностные инструкции, регламентирующие обязанности персонала в части информационной безопасности;
• журналы учёта работ;
• документы по управлению доступом, реагированию на инциденты, обучению персонала;
• план мероприятий по защите информации;
• документы по контролю за обеспечением уровня защищённости информации.

Все документы должны соответствовать актуальным нормативным требованиям и отражать реальные процессы в организации.

Результатом реализации мероприятий плана должно быть достижение значений показателя защищенности и показателя уровня зрелости не ниже нормированных значений, указанных в методических документах ФСТЭК России.

6. Внедрение средств защиты информации

Следует использовать сертифицированные СЗИ, соответствующие классу защищённости системы. Это могут быть:

• межсетевые экраны;
• системы антивирусной защиты;
• средства криптографической защиты (СКЗИ);
• системы обнаружения вторжений;
• средства доверенной загрузки и др.

Средства должны быть настроены в соответствии с проектной и эксплуатационной документацией.

7. Анализ уязвимостей

Необходимо провести анализ уязвимостей ИС, включая те, которые могут быть вызваны неправильной настройкой программного обеспечения или средств защиты. Для этого могут использоваться специализированные сканеры и методики, утверждённые ФСТЭК России.

8. Предварительные и приёмочные испытания системы защиты

До аттестации проводятся предварительные и приёмочные испытания системы защиты информации. Они включают проверку работоспособности средств защиты, корректности их настройки, а также эффективности реализуемых мер.

9. Подготовка пакета документов для аттестации

Для подачи в орган по аттестации необходимо собрать следующие документы:

• технический паспорт на объект информатизации;
• акт классификации ИС;
• модель угроз безопасности информации;
• техническое задание на создание (развитие, модернизацию) объекта информатизации и/или частное ТЗ на систему защиты;
• проектная и эксплуатационная документация на систему защиты;
• организационно-распорядительные документы по защите информации;
• документы с результатами анализа уязвимостей и приёмочных испытаний.

10. Проверка готовности к аттестационным испытаниям

Перед заключением договора с органом по аттестации стоит убедиться, что система полностью готова к испытаниям. Это поможет избежать дополнительных затрат времени и ресурсов на устранение несоответствий в процессе аттестации.

Важные замечания

Сроки. Срок проведения работ по аттестации не может превышать четырёх месяцев.

Эксперты. Лица, проектировавшие и внедрявшие систему защиты, не имеют права проводить её аттестацию.

Изменения в системе. Если после аттестации в систему будут внесены существенные изменения (например, изменена архитектура или структура системы защиты), потребуется повторная аттестация.

Контроль после аттестации. Даже после получения аттестата необходимо регулярно проверять уровень защиты (минимум раз в два года) и фиксировать результаты в отчётах.

При подготовке к аттестации важно тесно взаимодействовать с органом по аттестации и учитывать актуальные нормативные требования, так как законодательство и методики могут обновляться.

Выводы

1. Проведение аттестации системы защиты информации является важным элементом обеспечения информационной безопасности любого предприятия.
2. Представленная последовательность действий является универсальной и позволяет провести подготовку системы любого предприятия не зависимо от размеров и формы собственности

Список литературы:

1. Приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77?ysclid=lomyetflea780203954 (дата обращения: 21.02.2026)
2. Приказ ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot-11-aprelya-2025-g-n-117 (дата обращения: 21.02.2026)
3. Методика оценки угроз безопасности информации – Методический документ от 5 февраля 2021 г. – ФСТЭК России [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g?ysclid=lomy7gq6fv813156826 (дата обращения: 21.02.2026)
4. Постановление Правительства Российской Федерации от 06 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» [Электронный ресурс]. – URL: https://base.garant.ru/71120998/ (дата обращения: 21.02.2026)
5. ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» [Электронный ресурс]. – URL: https://docs.cntd.ru/document/1200181804 (дата обращения: 23.02.2026)