Новый порядок аттестации

18.10.2021

Новость подготовлена по материалам Информационного сообщения ФСТЭК России «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» от 2 сентября 2021 г. N 240/24/4303.

С 1 сентября 2021 года вступил в силу и применяется вступил в силу и применяется приказ ФСТЭК России от 29 апреля 2021 г. N 77, которым был утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

 

Главное из нового Порядка:

1. Он распространяется на ГИС, МИС, государственные и муниципальные ИСПДн, информационные системы ОПК, защищаемые помещения. Фактически, аттестация таких объектов информатизации (ОИ) становится обязательной, если не была раньше (например, государственные ИСПДн). А также Порядок распространяется на аттестуемые (если владелец установил такое требование) ЗОКИИ, ИСПДн, АСУ на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
2. ФСТЭК России ведет единый реестр аттестованных объектов информатизации, для этого лицензиат высылает материалы по аттестации в территориальные органы ФСТЭК России. Последствием может быть приостановка действия аттестата, если ФСТЭК России обнаружит в этих материалах несоответствие требованиям;
3. Утверждены формы техпаспорта, акта классификации, аттестата (есть в приложениях к Порядку);
4. Владелец ОИ представляет в орган по аттестации помимо обычной организационно-распорядительной и проектно-эксплуатационной документации документы, содержащие результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации);
5. В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению  архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация.