Соответствие требованиям регуляторов

Аттестация объектов информатизации

Проводим работы по аттестации объектов информатизации на соответствие требованиям по защите информации ограниченного доступа, включая: анализ документов, разработку программы и методик испытаний, проведение аттестационных испытаний и выдачу заключения и аттестата соответствия.

Узнать подробнее

Аттестат

соответствия требованиям безопасности

№

Дата выдачи:

Как мы проводим аттестацию

От обследования и внедрения мер - к испытаниям и выдаче аттестата.

Этап 01

Проведение обследования

Определение границ объекта, состава и архитектуры, а также выбор требований.

Этап 02

Проектирование мер и внедрение СЗИ

Разработка технического решения, внедрение/настройка сертифицированных СЗИ

Этап 03

Разработка документации

Регламенты, инструкции, журналы, эксплуатационная документация.

Этап 04

Проведение испытаний

Разработка и согласование программ и методик. Проведение испытаний и оформление протоколов и заключения.

Этап 05

Оформление результатов

Выдача аттестата соответствия и уведомление регулятора установленным порядком.

Этап 06

Периодический контроль

Контроль изменений и поддержка действия аттестата, включая периодические проверки, и дополнительные испытания при внесении изменений.

Этап 01

Проведение обследования

Определение границ объекта, состава и архитектуры, а также выбор требований.
Этап 02

Проектирование мер и внедрение СЗИ

Разработка технического решения, внедрение/настройка сертифицированных СЗИ
Этап 03

Разработка документации

Регламенты, инструкции, журналы, эксплуатационная документация.
Этап 04

Проведение испытаний

Разработка и согласование программ и методик. Проведение испытаний и оформление протоколов и заключения.
Этап 05

Оформление результатов

Выдача аттестата соответствия и уведомление регулятора установленным порядком.
Этап 06

Периодический контроль

Контроль изменений и поддержка действия аттестата, включая периодические проверки, и дополнительные испытания при внесении изменений.

Классы информационных систем

Разрабатываем, проектируем и проводим аттестационные испытаний на соответствие различным требованиям и документам.

Приказ ФСТЭК России № 31 от 14.03.2014

Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах

Приказ ФСТЭК России № 21 от 18.02.2013

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Приказ ФСТЭК России № 239 от 25.12.2017

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации

Приказ ФСТЭК России № 117 от 11.04.2025

Требования по защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений

Исходные данные для проведения испытаний

Помогут быстро сформировать план-график и приступить к выполнению работ

Технические

Перечень применяемых технологий и прикладных средств
Описание процесса обработки информации
Состав средств защиты информации
Структура, состав и топология системы

Организационные

Степень конфиденциальности обрабатываемой информации
Классификационные характеристики
Ответственные лица за эксплуатацию
Эксплуатационная и другая документация

Роли и ответственность

Распределение обязанностей между владельцем объекта, органом по аттестации и контролирующим органом.

Владелец (Заказчик)

Предоставляет исходные данные и документацию, обеспечивает доступ на объект, назначает ответственных, внедряет/подтверждает организационные меры, устраняет замечания по результатам обследования и испытаний. Несёт ответственность за соблюдение условий эксплуатации, при которых аттестат остаётся действительным.

Орган по аттестации

Планирует и проводит комплекс работ: обследование, разработку программы и методик испытаний, проверку реализованных мер защиты, оформление протоколов и итоговых материалов, подготовку и выдачу аттестата соответствия (в рамках своей компетенции и полномочий).

Контролирующий государственный орган

Осуществляет контроль и надзор за соблюдением требований и установленного порядка. Может проводить инспекционный контроль как в ходе аттестации, так и при эксплуатации аттестованного объекта в соответствии с планами контроля.

Частые вопросы

Коротко о сроках, входных данных и организации работ.

Сколько времени занимают аттестационные испытания?

Срок определяется после первичного обследования в котором фиксируются границы объекта, перечень подсистем, состав средств защиты и объем документов, которые нужно разработать или актуализировать. Далее согласуем программу и методики испытаний и формируем план-график работ. На длительность влияют: распределенность площадок, количество узлов и сегментов, готовность документации и доступность «окон» для проверок.

Что потребуется от заказчика?

На старте нужны: ответственные со стороны заказчика, доступы и согласованные «окна» работ, описание объекта и его границ (состав, структура, размещение, каналы связи, используемое ПО), действующие организационные документы по защите информации (если есть), эксплуатационная документация на применяемые средства защиты и сведения об их настройках. Итоговый перечень входных данных оформляем в начале работ и используем как основу для программы и методик испытаний.

Можно ли проводить работы без простоя сервисов?

Организуем работу так, чтобы не ломать эксплуатацию: заранее согласуем, какие проверки выполняются в рабочем режиме, а какие в выделенные «окна». Все воздействия на объект (переключения, изменения настроек, перезапуски) выполняются только по согласованной процедуре. Если требуется откат, он выполняется по заранее описанному плану.

Как сохранять действие аттестата соответствия при изменениях?

Аттестат действует при сохранении условий функционирования объекта и технологии обработки защищаемой информации, влияющих на безопасность: состав и структура технических средств, используемое ПО, настройки, режимы обработки, меры и средства защиты, условия размещения. Для изменений вводим порядок учёта и оценки влияния: что изменилось, затрагивает ли меры защиты, какие документы нужно обновить и нужны ли дополнительные проверки. Периодический контроль оформляется документально, чтобы поддерживать актуальность материалов и подтверждать соблюдение условий эксплуатации.

Нужны ли сертифицированные средства защиты?

В составе объекта должны быть реализованы меры защиты, соответствующие требованиям для вашей системы и класса/уровня защищённости. Какие именно средства защиты нужны — определяется по исходным данным и проектным решениям: что защищаем, где расположено, какие каналы и режимы работы используются. Состав средств защиты и параметры их эксплуатации закрепляем в документации и проверяем в ходе испытаний.

Готовы приступить к аттестации?

Опишите объект и цель аттестации, а мы подготовим план‑график, перечень исходных данных и детальные шаги.

+7 (499) 949-46-33