Проверка фстэк что проверяют
Документы по лицензионной деятельности ФСТЭК России в области технической защиты информации
План проведения плановых проверок на 2021 год
| 357 КБ | 2890 | |
| 16 КБ | 875 |
Юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля
План проведения плановых проверок на 2020 год
| 174 КБ | 4837 | |
| 15 КБ | 1724 |
Юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля
План проведения плановых проверок на 2019 год
| 111 КБ | 6105 | |
| 18 КБ | 2248 |
Юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля
* При обнаружении ошибки в таблицах реестров необходимо направить обращение во ФСТЭК России, используя форму обратной связи на странице «Контакты»
Как подготовиться к проверке регулятора по персональным данным (пошаговая инструкция)
Как подготовиться к проверке регулятора по персональным данным (пошаговая инструкция)
Как подготовиться к проверке регулятора по персональным данным (пошаговая инструкция)
Кто такие регуляторы и что они проверяют?
Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:
Кто из них что проверяет?
Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». По сути – проверка организационных мер защиты персональных данных.
Как узнать, что вас собираются проверять?
Планы проверок практически всех организаций публикуются на официальном сайте Генеральной прокуратуры РФ в начале года. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих в текущем году проверках, их длительности и периоде проведения (указывается только месяц). Также регуляторы обязаны осуществлять размещение планов своих контрольно-надзорных мероприятий на официальных сайтах.
Что делать, если вас включили в план (пошаговая инструкция)?
Шаг 1. Соберите информацию
Поинтересуйтесь у коллег, посмотрите планы проверок за прошедшие годы, подумайте, с кем из тех, кто уже проходил проверку, у вас есть возможность проконсультироваться. Посетите семинары (конференции) с участием представителей регуляторов.
Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:
Шаг 2. Проведите внутренний аудит
Тут два момента: во-первых, поймете, где вы сейчас. Во-вторых, результаты внутреннего аудита понадобятся вам для предоставления регулятору.
На что смотреть в первую очередь:
Шаг 3. Подготовка к проверке
Для всех регуляторов подготавливаются следующие документы:
Выше был представлен обобщенный перечень документов, необходимых для предоставления всем регуляторам.
Для Роскомнадзора
В случае проверки Роскомнадзором этот перечень необходимо дополнить:
Для ФСТЭКа
Для ФСБ
Что делать, если вас включили в план?
Шаг 4. Непосредственно участие в самой проверке
Если проверка документарная, в адрес организации направляется приказ, в котором указывается перечень документов, необходимых для предоставления регулятору и срок. В указанный в нем срок вам необходимо предоставить регулятору запрашиваемые документы любым доступным способом: либо направить по почте, либо нарочно с отметкой о получении. Регулятор примет эти документы, проведет их анализ и по его результатам составит и направит (также либо почтой, либо нарочно) акт и, возможно, предписание.
Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения юридического лица, месту осуществления деятельности индивидуального предпринимателя и (или) по месту фактического осуществления их деятельности. Обычно за 10 дней или месяц до начала проверки направляется по факсу или приносится сотрудником контрольно-надзорного ведомства приказ о проведении проверки. Затем за 1–2 дня обговаривается время, когда комиссия приходит в организацию.
Проверка начинается с ознакомления руководителя организации с документами, удостоверяющими личности и принадлежность к государственному органу членов комиссии, затем вручается приказ о проведении проверки с перечнем вопросов и необходимых для предоставления документов, обговаривается срок их предоставления.
Когда документы подготовлены и вручены проверяющим, комиссия приступает к их анализу. Работа с документами в случае выездной проверки может проходить как на территории организации, так и на территории самого регулятора (члены комиссии могут забрать их с собой). По итогам проверки подготавливается акт, который вручается под роспись руководителю организации. К акту может быть приложено предписание об устранении выявленных нарушений.
Что делать, если проверка внеплановая?
Внеплановая проверка проводится в форме документарной проверки и (или) выездной проверки.
О проведении внеплановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного контроля (надзора) не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. На практике при проведении проверки по тематике персональных данных срок уведомления больше (от 10 дней до 1 месяца).
К уведомлению, как правило, прикрепляется приказ о проведении проверки, перечень документов, необходимых для предоставления регулятору, устанавливается срок. Во всем остальном порядок проведения проверки и ее форма (документарная либо выездная) схожи с плановой. Иными словами, отличие заключается только в сроке и порядке уведомления о контрольно-надзорном мероприятии, а соответственно, основной проблемой будет подготовка недостающих документов и отсутствие времени на сбор необходимой информации и консультации с экспертами, имеющими опыт прохождения подобных проверок.
При этом следует отметить, что выполнение хотя бы части вышеперечисленных требований существенно увеличивает вероятность пройти все регламентные процедуры без предписания и (или) штрафа.
Требования ФСТЭК по защите информации
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
И нформация – товар, который иногда стоит дороже акций или недвижимости. Некоторые массивы данных подлежат охране на уровне закона, это, например, персональные данные граждан, банковская тайна, государственная тайна. Требования по защите информации, используемые организационные и технические средства, определяются Федеральной службой по таможенному и экспортному контролю.
Цель регулирования
Государство наделило ведомство правом определять стратегические направления в сфере информационной безопасности, разрабатывать концепции и методики, утверждать руководящие документы, обязательные для применения участниками процесса защиты информации. Организации, приступающие к проектированию информационных систем, берут за основу не только международные стандарты и ГОСТы, в первую очередь они ориентируются на методики ФСТЭК России и используют одобренные ведомством программные и технические средства.
Такой подход позволяет решать задачи единообразия государственного регулирования в сфере защиты информации различных классов. Но рекомендации ведомства не всегда успевают за современными моделями угроз. Уровень атак растет быстрее, чем ведомство вносит изменения в руководящие документы, но минимальные требования оно все же устанавливает.
Выполнение рекомендаций регулятора обязательно в случаях:
В каждом из этих случаев необходимо соблюдение требований ведомства. Отказ от этого приведет к проверкам, приостановке и отзыву лицензии, административным штрафам.
Нормативно-правовая база
Федеральный орган исполнительной власти опирается на Конституцию РФ и федеральные законы, регулирующие защиту информации. Ведомство действует на основании Указа Президента № 1085, определяющего его полномочия. Служба издает собственные нормативно-правовые акты, имеющие как обязательный, так и рекомендательный характер. Найти весь перечень нормативных актов, действующих, и утративших силу, можно на официальном сайте.
Полномочия ведомства распространяются на частные и государственные организации. Приказ № 17 устанавливает требования к защите информации, находящейся в государственных информационных системах (ИС), если она не содержит государственную тайну. Методика определения актуальных угроз безопасности персональных данных, предложенная ведомством, и Рекомендации по защите ПД (Приказ № 21) распространяются на операторов ПД. Некоторые документы имеют гриф «Для служебного пользования», но с большинства он снят. Гриф «ДСП» традиционно сохраняется на документах, регламентирующих требования к программным и аппаратным средствам, которые предназначены для систем с повышенным классом безопасности. Это связано с тем, что информация о том, каким способом защищаются особо важные сведения, может быть доступна только лицензированным организациям.
Нормы ФСТЭК в целом регламентируют:
Некоторые документы вызывают недопонимание в профессиональном сообществе, так как вынуждают изменить защитные схемы и расходовать большие бюджеты на новые программные и технические средства. В большинстве случаев в ходе обсуждения достигается консенсус. Так, в результате взаимодействия с бизнесом ведомство инициировало внесение изменений в Постановление Правительства № 127, касающееся защиты объектов критической информационной инфраструктуры.
Полномочия ведомства
Все действия регулятора, ранее именуемого Ростехкомиссией и созданного впервые еще в СССР для борьбы с иностранными техническими разведками, регламентированы на уровне закона и указов президента.
Указ № 1085 устанавливает функции ФСТЭК РФ в сфере защиты информации:
Для реализации этих функций ведомству предоставлен ряд полномочий:
Подчиняется служба непосредственно президенту.
Организационные требования
Говоря об организационных требованиях, интересно в сравнении рассмотреть требования по защите данных в государственных ИС (Приказ № 17) и у операторов ПД (Приказ № 21). Оба документа предусматривают, что организационные меры должны обеспечивать защиту от:
Объектом защиты признаются не только данные, содержащиеся в ИС, но и оборудование, съемные носители, средства связи, средства расшифровки информации, программное обеспечение всех типов, операционные системы, технологии сохранения безопасности сведений и технические средства их защиты. Организационные меры призваны ограничить несанкционированное проникновение к этим объектам и разграничить доступ пользователей разных категорий компетентности, а также определить регламенты взаимодействия всех участников процесса защиты информации.
Существенные различия между моделями регулирования
От того, насколько федеральная служба может повлиять на владельца информационной системы, зависит глубина контроля.
Среди основных различий в системе организационных мер для государственных организаций и частных компаний – операторов ПД:
Организационные меры для государственного органа
Одной из основных организационных мер для всех участников процесса защиты информации ФСТЭК РФ признает разработку пакета организационно-распорядительной документации.
Для государственной организации это документы:
Для государственных ИС существуют свои правила внедрения системы и введения ее в эксплуатацию, осуществляется разграничение уровня доступа пользователей, проверка, насколько полно в регламентах описаны все нюансы работы с обеспечением безопасности данных. В обязательном порядке проводится отработка действий должностных лиц, отвечающих за организацию процесса защиты информации. Далее информационная система официально аттестуется, лишь после этого возможен ее ввод в эксплуатацию.
В ходе аттестации применяются следующие методы проверки:
При положительном результате всех тестов возможно начало работы.
Управление работой состоит из нескольких этапов:
Вся документация по управлению системой, в том числе о наделении полномочиями лиц, допущенных к ее обслуживанию, утверждается правовым актом ответственного руководителя органа исполнительной власти.
Организационные меры у операторов ПД
Существенно проще организационные требования к созданию и функционированию информационной системы, в которой хранятся персональные данные, у частных компаний – операторов ПД. Первой задачей юридического лица, которое собирается начать деятельность по обработке персональных данных, является уведомление об этом Роскомнадзор. Далее предстоит определить класс защищенности системы и оборудовать ее согласно требованиям ФСТЭК РФ.
Класс определяется исходя из двух параметров:
Установив категорию, необходимо принять основополагающие документы, определяющие порядок работы с ПД. Согласовывать их ни с кем не требуется, достаточно наличия на предприятии и в доступе в Интернете, если получение данных осуществляется по каналам телекоммуникационной связи.
Необходимо разработать и утвердить:
Документальное обеспечение организационных мер согласно требованиям федеральной службы на этом заканчивается. Конкретные методики защиты помещений, разграничения уровней допуска пользователей, определения архитектуры системы остаются на усмотрение юридического лица.
Ему необходимо решить задачи:
Для решения этих задач используются программные средства, и они должны быть сертифицированы ФСТЭК РФ по классу, соответствующему классу системы оператора. Потребуется раз в три года проводить переоценку работы системы безопасности, но оператор может делать это самостоятельно, если не желает привлечь специализированные организации, имеющие лицензию.
Требования к программным продуктам
Для защиты информации, содержащейся в государственных ИС, согласно нормам Приказа № 17, могут применяться только сертифицированные программные средства. На частные компании эти нормы распространяются только при обработке ими персональных данных определенных категорий.
Государственные ИС
Даже несмотря на то, что обрабатываемая в государственных органах информация не является государственной тайной, она интересует злоумышленников.
Для сохранности необходимо внедрять только сертифицированные по требуемому классу защиты программные продукты со следующими функциями:
Выбор сертифицированных защитных средств определяется классом системы. Но если на конкретный временной период бюджетные требования не позволяют установить программное обеспечение нужного класса и уровня сертификации, по согласованию с территориальным органом ведомства допустимы временные отступления и установка иных сертифицированных средств.
Программные и технические средства для операторов ПД
Перечень программных средств для операторов ПД аналогичен тому, который предлагается для государственных систем, но от них требуется меньший функционал.
Если использование какого-то средства невозможно, то ведомство предлагает компенсирующие меры, также устраняющие риски утраты данных. Финансовая целесообразность остается базовым принципом при выстраивании архитектуры системы. Дополнительно ведомство рекомендует операторам своевременно тестировать систему на проникновения и на качество защиты. В большинстве случаев операторы при формировании своих систем ограничиваются антивирусной защитой, межсетевыми экранами и регулярным мониторингом.
Требования к файрволам
Брандмауэры или файрволы для защиты информации применяют многие компании, вне зависимости от необходимости защиты ПД, поэтому интересно рассмотреть требования ФСТЭК РФ к ним. Ведомство открыло для общего доступа нормы, регламентирующие только профили файрволов 4-6 классов защиты, то есть не предназначенных для систем, в которых обрабатываются сведения, содержащие государственную тайну.
Согласно утвержденному ведомством профилю защиты межсетевых экранов, под межсетевым экраном понимается ПО, реализующее функции контроля и фильтрации проходящих через него информационных потоков в соответствии с изначально заданными правилами.
Файрвол должен обеспечивать защиту от угроз:
Функциями межсетевого экрана, согласно ФСТЭК РФ, являются:
Рассмотренные в документе типы межсетевых экранов применимы только к рабочим станциям, ведомство не интересует регулирование средств защиты информации в рамках мобильных устройств, объектов Интернета вещей, автомобильной электроники. Выбор программного обеспечения для этих целей остается на усмотрение пользователей.
Актуальные вопросы защиты информации
Общественность интересует, насколько эффективно ведомство выполняет свои функции. Отчитываясь о результатах реализации требований в сфере защиты информации, ФСТЭК применительно к разработчикам ПО, критически важным объектам инфраструктуры и частично к операторам ПД отмечает:
Деятельность ФСТЭК РФ показывает ее готовность успевать за требованиями времени и предлагать рынку новые инструменты защиты информации.
Проверки
Ведомство регулярно проводит плановые и внеплановые проверки деятельности организаций в сфере защиты информации. Плановые проводятся раз в три года. О том, что компания попала в список на проверку, можно узнать в конце предыдущего перед проверкой года в реестре на сайте Генпрокуратуры. Внеплановые проводятся в критических случаях, когда выявлена реальная угроза безопасности данных.
Результатами проверки становятся:
На практике нехватка документов, отсутствие контроля за машинными носителями информации или использование несертифицированного программного обеспечения для оператора ПД, если он не является, например, банком или крупным провайдером, приводит к небольшим штрафам.
Тем не менее не стоит пренебрегать рекомендациями и требованиями ФСТЭК по защите информации, утечка персональных данных и иных сведений из-за беспечности может привести к крупным убыткам.
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Приказ ФСТЭК России от 29.04.2021 N 77
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 29 апреля 2021 г. N 77
ОБ УТВЕРЖДЕНИИ ПОРЯДКА
ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ
ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ
В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2020, N 35, ст. 5554), приказываю:
1. Утвердить прилагаемый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.
службы по техническому
и экспортному контролю
приказом ФСТЭК России
от 29 апреля 2021 г. N 77
ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ
ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933), приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924), приказом ФСТЭК России от 27 апреля 2020 г. N 61 (зарегистрирован Минюстом России 12 мая 2020 г., регистрационный N 58322).
Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31 (зарегистрирован Минюстом России 18 мая 2017 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 14 января 2019 г. N 5 (зарегистрирован Минюстом России 27 февраля 2019 г., регистрационный N 53916), приказом ФСТЭК России от 28 октября 2020 г. N 122 (зарегистрирован Минюстом России 25 марта 2021 г., регистрационный N 62868).
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071), приказом ФСТЭК России от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443), приказом ФСТЭК России от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).
Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объекта, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный N 28375), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 14 мая 2020 г. N 68 (зарегистрирован Минюстом России 8 июля 2020 г., регистрационный N 58877).
Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. N 191 (зарегистрирован Минюстом России 6 июля 2009 г., регистрационный N 14230).
Пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. N 374-ст. (Москва: Стандартинформ, 2007).
государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2020, N 49, ст. 7943).
Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
значимых объектов критической информационной инфраструктуры Российской Федерации;
информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
4. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
II. Организация работ по аттестации объектов информатизации
6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:
б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2020, N 35, ст. 5554), национальных стандартов в области технической защиты информации;
в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.
Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.
Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации в соответствии с пунктом 11 настоящего Порядка, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.
Выводы экспертов органа по аттестации по результатам проведенных аттестационных испытаний не должны противоречить требованиями по технической защите информации.
9. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.
10. Информация об объекте информатизации, полученная органом по аттестации в ходе аттестации объекта информатизации, подлежит защите в соответствии с частью 4 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448, 2014, N 30, ст. 4243).
III. Проведение работ по аттестации объектов информатизации
11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:
в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);
д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);
е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;
з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.
12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.
13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:
б) программа аттестационных испытаний объекта информатизации;
в) методики аттестационных испытаний объекта информатизации.
13.1. Раздел, касающийся общих положений, должен включать следующие сведения:
а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;
б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;
в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;
г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.
13.2. Раздел, касающийся программы аттестационных испытаний объекта информатизации, должен включать перечень работ по аттестации объекта информатизации, в том числе работы по обследованию объекта информатизации в условиях его эксплуатации, проведению аттестационных испытаний в соответствии с разрабатываемыми методиками испытаний, оформлению результатов аттестационных испытаний, а также общий срок проведения аттестации объекта информатизации и сроки выполнения каждой работы по аттестации объекта информатизации, фамилию и инициалы эксперта органа по аттестации, ответственного за проведение каждой работы.
13.3. Раздел, касающийся методик аттестационных испытаний объекта информатизации, должен включать для каждого аттестационного испытания порядок, условия, исходные данные и методы испытаний, применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование.
14. Программа и методики аттестационных испытаний объекта информатизации согласовываются органом по аттестации с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.
В ходе аттестационных испытаний объекта информатизации орган по аттестации может вносить изменения в программу и методики аттестационных испытаний объекта информатизации по согласованию с владельцем объекта информатизации.
15. Аттестационные испытания включают следующие мероприятия и работы:
а) оценку соответствия технического паспорта объекта информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и настоящему Порядку;
б) проверку наличия и согласования с ФСТЭК России в соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241; 2020, N 42, ст. 6615; 2021, N 23, ст. 4079), модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);
в) обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации, а также документам, предусмотренным пунктом 11 настоящего Порядка;
г) проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;
д) проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный N 51063) (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;
е) проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;
ж) оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;
з) оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
и) оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
к) оценку эффективности защиты (защищенности) информации от утечки по техническим каналам (только для защищаемых помещений).
16. При проведении аттестационных испытаний органом по аттестации проводятся:
17. В ходе аттестационных испытаний объекта информатизации владельцем объекта информатизации могут вноситься изменения в объект информатизации, в том числе в архитектуру его системы защиты информации, в целях приведения объекта информатизации в соответствие с требованиями по защите информации.
а) наименование объекта информатизации и его назначение, состав программно-технических, программных средств и средств защиты информации;
б) класс защищенности информационной (автоматизированной) системы, категория значимости значимого объекта;
в) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, проводивших аттестацию объекта информатизации;
г) дату утверждения программы и методик аттестационных испытаний объекта информатизации;
д) срок проведения аттестационных испытаний;
д) наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;
е) результаты испытаний, предусмотренных пунктом 15 настоящего Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведенной работе и испытанию;
з) вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.
Заключение подписывается экспертами органа по аттестации, проводившими аттестацию объекта информатизации, и утверждается руководителем органа по аттестации.
а) наименование испытания в соответствии с программой и методикой испытаний;
б) дату утверждения программы и методик аттестационных испытаний объекта информатизации;
в) дату и место проведения аттестационных испытаний;
г) критерии выполнения требований по защите информации, в отношении которых проводились испытания;
д) условия и исходные данные для проведения испытаний;
е) применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование;
ж) описание порядка испытаний по оценке критериев выполнения требований по защите информации;
з) результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.
Протоколы подписываются экспертами органа по аттестации, проводившими аттестационные испытания объекта информатизации.
20. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.
21. В случае выявления в ходе аттестационных испытаний недостатков, которые можно устранить в процессе аттестации объекта информатизации, владелец объекта информатизации обеспечивает их устранение, а орган по аттестации оценивает качество такого устранения.
22. Аттестат соответствия оформляется органом по аттестации по форме согласно приложению N 4 к настоящему Порядку.
Аттестат соответствия подписывается руководителем органа по аттестации и заверяется печатью органа по аттестации (при наличии).
Аттестат соответствия вручается органом по аттестации владельцу объекта информатизации или направляется ему заказным почтовым отправлением с уведомлением о вручении.
23. В случае выявления при проведении аттестационных испытаний недостатков, которые невозможно устранить в процессе аттестации объекта информатизации, работы по аттестации объекта информатизации завершаются, аттестат соответствия не оформляется.
К обращению прилагаются в электронном виде копии следующих документов:
а) технического паспорта на объект информатизации;
б) акта классификации информационной (автоматизированной) системы (акта категорирования значимого объекта);
в) программы и методик аттестационных испытаний объекта информатизации;
г) заключения и протоколов.
25. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов, указанных в пункте 24 настоящего Порядка, на предмет соответствия проведенных органом по аттестации аттестационных испытаний и выводов, содержащихся в заключении, требованиям по защите информации и настоящему Порядку. По согласованию с владельцем объекта информатизации работники ФСТЭК России (территориального органа ФСТЭК России) проводят контрольные испытания на объекте информатизации в соответствии с пунктами 15 и 16 настоящего Порядка.
26. Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, установлено несоответствие аттестационных испытаний и (или) выводов, содержащихся в заключении или протоколах, требованиям по защите информации или настоящему Порядку, ФСТЭК России (территориальный орган ФСТЭК России) направляет в орган по аттестации уведомление о необходимости устранения выявленных недостатков в указанный в уведомлении срок. Копия уведомления направляется владельцу объекта информатизации. Орган по аттестации обязан устранить недостатки, выявленные ФСТЭК России по результатам оценки документов, в указанный в уведомлении срок и оформить аттестат соответствия.
Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации для устранения недостатков, выявленных органом по аттестации.
27. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
а) аттестата соответствия объекта информатизации;
б) технического паспорта на объект информатизации;
в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
г) программы и методик аттестационных испытаний объекта информатизации;
д) заключения и протоколов.
Копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.
28. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 20 пункта 9 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
29. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.
30. В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. Владелец объекта информатизации в соответствии с выданными рекомендациями обеспечивает устранение выявленных недостатков в указанный в заключении срок.
В случае выявления по результатам проведенной оценки недостатков, не приводящих к возникновению угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) направляет письмо в орган по аттестации с целью учета при проведении работ по аттестации объектов информатизации.
31. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.
Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация в соответствии с настоящим Порядком.
34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) установления факта несоответствия аттестованного объекта информатизации требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз безопасности информации;
б) неустранения недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России) в соответствии с пунктом 30 настоящего Порядка;
в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;
г) изменений архитектуры системы защиты информации аттестованного объекта информатизации, которые приводят к несоответствию этого объекта аттестату соответствия;
д) обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.
Установление фактов несоответствия аттестованного объекта информатизации требованиям по защите информации, неустранения недостатков и изменений архитектуры осуществляется на основании:
результатов контроля за состоянием работ по технической защите информации, осуществляемого ФСТЭК России в соответствии с подпунктом 7 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085;
результатов контроля за реализацией настоящего Порядка.
35. Решение о приостановлении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
Действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней.
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о приостановлении действия аттестата соответствия.
36. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о приостановлении действия аттестата соответствия в реестр аттестованных объектов информатизации.
37. В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации.
38. Действие аттестата соответствия возобновляется ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) устранения несоответствия объекта информатизации требованиям по защите информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих устранение недостатков;
б) представления в ФСТЭК России протоколов контроля уровня защиты информации на аттестованном объекте информатизациив соответствии с пунктом 32 настоящего Порядка;
в) проведения аттестации объекта информатизации в соответствии с настоящим Порядком для измененной архитектуры системы защиты информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих проведение аттестации;
г) обращения владельца объекта информатизации о возобновлении действия аттестата соответствия на объект информатизации в случае, если решение о приостановлении его действия было принято по обращению владельца объекта информатизации.
39. Решение о возобновлении действия аттестата соответствия на объект информатизации оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о возобновлении действия аттестата соответствия.
40. Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих устранение недостатков;
б) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;
в) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;
г) обращения владельца объекта информатизации о прекращении действия аттестата соответствия.
41. Решение о прекращении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
Приказ территориального органа ФСТЭК России о прекращении действия аттестата соответствия подлежит согласованию со структурным подразделением ФСТЭК России, на которое возложены вопросы организации аттестации объектов информатизации.
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о прекращении действия аттестата соответствия.
42. В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено.
43. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о прекращении действия аттестата соответствия в реестр аттестованных объектов информатизации.
44. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.
В течение 20 рабочих дней со дня получения заявления о выдаче дубликата аттестата соответствия орган по аттестации оформляет дубликат аттестата соответствия с пометкой «дубликат, оригинал аттестата соответствия признается недействующим» и вручает его владельцу объекта информатизации или направляет заказным почтовым отправлением с уведомлением о вручении. Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).
45. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.
к Порядку организации
и проведения работ по аттестации
объектов информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от «__» апреля 2021 г. N ___
Наименование организации (подразделения), проводившей контроль
Дата проведения контроля
Реквизиты документа с выводами о результатах контроля
Вывод по результатам контроля
Дата внесения изменения
Документ, на основании которого внесены изменения
Пункт технического паспорта, в который внесены изменения
Краткая характеристика изменений
Подпись лица, внесшего изменения
к Порядку организации
и проведения работ по аттестации
объектов информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от «__» апреля 2021 г. N ___
Наименование основного технического средства и системы, заводской (инвентарный) номер
Минимальное расстояние до границы контролируемой зоны, м
Сведения о специальных проверках
Сведения о специальных исследованиях или сертификатах соответствия
Наименование вспомогательного технического средства и системы, заводской (инвентарный) номер
Минимальное расстояние до основных технических средств и систем, м
Сведения о специальных проверках
Сведения о специальных исследованиях или сертификатах соответствия
Наименование и тип средства защиты информации, заводской (инвентарный) номер
Сведения о сертификате соответствия
Номер знака соответствия
Дата проведения контроля
Вывод по результатам контроля
Дата внесения изменений
Наименование документа, на основании которого внесены изменения
Пункт технического паспорта, в который внесены изменения
Краткая характеристика изменений
Подпись лица, внесшего изменения
В случае отсутствия необходимости специальной проверки технических средств пункт не заполняется.
В случае отсутствия необходимости применения сертифицированных средств защиты информации пункт не заполняется.
к Порядку организации
и проведения работ по аттестации
объектов информатизации на соответствие
требованиям о защите информации,
не составляющей государственную тайну,
утвержденному приказом ФСТЭК России
от «__» апреля 2021 г. N ___
к Порядку организации
и проведения работ по аттестации
утвержденному приказом ФСТЭК России
от «__» апреля 2021 г. N ___
Первая группа знаков содержит число от 0001 до 9999, указывающие на номер лицензии ФСТЭК России на деятельность по технической защите информации, выданной органу по аттестации. Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер аттестованного объекта информатизации в системе учета органа по аттестации. Третья группа знаков содержит число, указывающее на год выдачи аттестата соответствия.