18.10.2021
Новость подготовлена по материалам Информационного сообщения ФСТЭК России «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» от 2 сентября 2021 г. N 240/24/4303.
С 1 сентября 2021 года вступил в силу и применяется вступил в силу и применяется приказ ФСТЭК России от 29 апреля 2021 г. N 77, которым был утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
Главное из нового Порядка:
- Он распространяется на ГИС, МИС, государственные и муниципальные ИСПДн, информационные системы ОПК, защищаемые помещения. Фактически, аттестация таких объектов информатизации (ОИ) становится обязательной, если не была раньше (например, государственные ИСПДн). А также Порядок распространяется на аттестуемые (если владелец установил такое требование) ЗОКИИ, ИСПДн, АСУ на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
- ФСТЭК России ведет единый реестр аттестованных объектов информатизации, для этого лицензиат высылает материалы по аттестации в территориальные органы ФСТЭК России. Последствием может быть приостановка действия аттестата, если ФСТЭК России обнаружит в этих материалах несоответствие требованиям;
- Утверждены формы техпаспорта, акта классификации, аттестата (есть в приложениях к Порядку);
- Владелец ОИ представляет в орган по аттестации помимо обычной организационно-распорядительной и проектно-эксплуатационной документации документы, содержащие результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации);
- В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация.