Привет, Хабр! А не хотите ли вы поговорить о важной и нужной ИБ-процедуре: аттестации информационных систем?

Наверняка вы знаете, что аттестацией могут заниматься только компании, получившие лицензию (а это не так-то просто) в области технической защиты конфиденциальной информации (далее – ТЗКИ). Однако среди аттестаторов встречаются компании, основная задача которых — не проверка надёжности защиты системы клиента, а заработок. В итоге компания-клиент оказывается в сложной ситуации, когда деньги заплачены, а бреши в защите никто и не думал проверять.  И аттестация получается фиктивной, а то и вовсе не пройденной. Впрочем, не всё так плохо, как может показаться. Есть нормальные организации, которые серьёзно относятся к вопросу аттестации.

Из-за сложности процедуры получения аттестата представителям компании-клиента требуется дополнительная подготовка, позволяющая снизить риски и получить нужный результат — надёжную аттестованную систему. 

В этой статье расскажем:

• На что стоит обращать внимание при выборе органа по аттестации;

• Какие полномочия имеет орган по аттестации;

• От чего зависит успех аттестации;

• Об опасностях работы с недобросовестным исполнителем;

• Что делать, если столкнулись с таким исполнителем.

1. Выбор органа по аттестации

Кратко расскажем об участниках процесса аттестации на соответствие требованиям по защите информации. За аттестацию отвечают:

• Гостехкомиссия России (ныне ФСТЭК) – орган исполнительной власти, который координирует и регулирует деятельность по обеспечению защиты информации в стране. 

• Орган по аттестации (Аттестатор) – организация, имеющая лицензию от ФСТЭК России на деятельность по ТЗКИ. 

• Заявитель – заказчик работ по аттестации.

Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК). Официальный сайт ведомства. Адрес: 105 066, г. Москва, ул. Старая Басманная, д. 17. Телефон отдела по технической защите информации: 8 (499) 263–27–75.

Перечислим, по каким критериям Заявителям стоит выбирать Аттестатора.

• Рейтинг — наверное, самое первое, на что смотрят заказчики при поиске аттестатора. На ИБ‑форумах можно найти топы организаций, занимающихся аттестацией, там же люди делятся опытом работы с той или иной организацией. Ещё можно ориентироваться на первые ссылки в поисковике.

• Цена — в большинстве случаев становится важным критерием в выборе аттестующего органа. Однако не всегда правильным, особенно в перспективе на долгую работу вашей организации. Цена зависит от очень многих факторов, среди которых уровень/класс защищённости вашей системы, количество аттестуемых объектов в информационной системе, сложность технологического процесса обработки конфиденциальной информации. Соответственно, чем больше/выше наполняемость данных критериев, тем выше цена. По умолчанию считайте, что аттестация 1 АРМ с классом защищённости К3 и 2 пользователями (возьмём по минимуму) с оформлением полного комплекта документации будет стоить в районе 50 тыс. руб. без учёта стоимости СЗИ. При увеличении АРМов умножайте 50 тыс. на их количество. Всё остальное будет увеличивать стоимость в рамках 10–70% (да, вот такой разброс).

• Компетентность — важный критерий для специалистов, которые действительно заботятся о безопасности информации в своей организации. Такие специалисты заинтересованы в том, чтобы получить знания, которые позволят организовать систему защиты, проработать весь технологический процесс, иметь хорошую базу для развития и модернизации инфраструктуры. Для проверки этого критерия желательно у себя в штате иметь человека, который разбирается в аттестации. Проверка заключается во встрече с аттестатором (как правило, это видеоконференция). Там вы сможете поинтересоваться количеством специалистов, их стажем, образовании и опыте работы с конкретными клиентами.

• Сроки — зависят от обеих сторон, так как компаниям‑клиентам может требоваться срочное решение вопроса, а исполнители по горло завязли в работе и не могут гарантировать скорейшее выполнение поставленных задач. В среднем аттестация объекта информатизации длится около 1–2 мес. (максимальный срок 4 мес.). Однако, заказчику, порой, требуется получить аттестат уже в ближайшие недели. Тогда в работу вступают самые «шустрые» аттестаторы, имеющие и опыт в выполнении подобных заказов, и свободных экспертов, которые точно знают, что и в каком порядке необходимо выполнить для 100% достижения результата.

2. За что может быть отозван аттестат

Организация, которая уже проходила аттестацию ранее или выбирает между несколькими аттестаторами, нелишне будет знать, за что может быть отобран (отозван) аттестат. Вряд ли кому‑то захочется заново проходить все круги ада.

Для отзыва аттестата достаточно одной из причин, перечисленных в документе «Порядок аттестации объектов информатизации» Приказ ФСТЭК № 77 от 29.04.2021). Вот эти причины:

• на объекте не соблюдаются требования по безопасности;

• изменены параметры настройки средств защиты информации;

• изменён состав средств защиты информации;

• увеличен состав защищаемых ресурсов;

• увеличен состав защищаемых объектов вычислительной техники;

• не осуществляется ежегодный контроль защищённости аттестованного объекта с внесением в тех паспорт соответствующей записи о проведении контроля;

• изменён состав обслуживающего персонала.

Вы скажете, расплывчато? Есть такое. Но здесь всё очень консервативно и зарегулировано. Доходит до того, что устаревший или сломавшийся компьютер, который входил в состав аттестованной информационной системы, так просто заменить не получится. Как минимум придётся вести долгую переписку с аттестатором, а то и вовсе проводить новые аттестационные испытания.

Почему это нужно знать? Потому что ответственность перед регулятором почти всегда несёт заказчик. Cloud4Y, будучи аттестатором и компанией, которая тоже должна заботиться о создании систем безопасности информации, настоятельно рекомендует заранее спланировать мероприятия по защите информации и по организации работы с ПДн. Так вы сможете избежать множества неприятных ситуаций в будущем.

3. Подводные камни при работе с аттестатором

Итак, вы выбрали аттестатора, заключили договор, заплатили деньги, составили план работ, поставили сроки (в соответствии с 77 приказом ФСТЭК об аттестации – максимальный срок проведения аттестации 4 месяца). Что же дальше? 

Как показывает практика, некоторые заказчики, будь то государственная или коммерческая организации, заинтересованы только в итоговом этапе работ – получение аттестата соответствия. А вот то, как проходит аттестация, их волнует мало. И зря.

Как правило, в аттестацию входят следующие виды работ: 

1. Обследование объекта информатизации; 

2. Разработка организационно-распорядительной документации (ОРД); 

3. Установка и настройка СЗИ; 

4. Согласование программы и методик аттестационных испытаний; 

5. Проведение аттестационных испытаний; 

6. Выдача аттестата соответствия и отправка документов в ФСТЭК.

Какие же непредвиденные ситуации могут возникнуть во время проведения аттестации?

• Договор. В нём могут быть спрятаны лазейки для «растягивания» сроков, «сваливания» ответственности, увеличения затрат для заказчика. Да, срок проведения аттестации ограничен законом. Однако, существуют способы его увеличения, как во благо, так и не очень. Другим важным моментом является ответственность, связанная с распределением обязанностей (кто и что будет выполнять). Будьте внимательны на пункте ответственности и предусмотрите наличие мер за нарушение всех важных для вас моментов, при этом не забудьте исключить «лишнюю» для вас ответственность.

• Недостаток кадров для осуществления полноценного контроля за ходом аттестации и поддержания требуемого уровня защиты информации в целом. А ещё это значительно увеличивает расходы из-за необходимости пользоваться услугами сторонних организаций.

• Недостаток знаний, осведомлённости в области информационной безопасности. Из-за этого может быть непонятно: то, что делает аттестатор – это правильно вообще или нет?

• Нарушение договорённостей, которые влекут за собой ухудшение деловых отношений. И впоследствии одна из сторон может начать пользоваться положением другой ради получения ещё большей выгоды. И да, такое тоже бывает.

Что же делать? Ничего сверхъестественного не требуется. Важно просто подготовиться к этому.

1. Контроль — у вас должен быть как минимум один человек, ответственный за контроль проведения аттестации (сроки, проверка и приёмка работ, обратная связь, администрирование ИС и т. д.);

2. Юрист — иметь юридическую подушку безопасности всегда полезно, специалист и договор проверит, и защитит от ошибочных решений;

3. Соблюдение договорённостей, даже если они не задокументированы. Тем самым будут созданы доверительные, «дружеские» отношения;

4. Обучайте своих специалистов — это основное, так как при наличии компетенций вы способны сделать себе скидку на аттестацию, выполняя часть необходимой документации.

5. Взаимовыгодный обмен — консультации и пополнение компетенций во время аттестации — хорошая практика, которая позволит вам избежать неприятных ситуаций в будущем.

4. Варианты итога аттестации

Как правило, большинство аттестаций успешны, то есть заканчиваются положительным заключением и выдачей аттестата соответствия требованиям по защите информации. Однако бывает и так, что информационная система заказчика совсем не готова к аттестации. Тогда выдаётся отрицательное заключение с рекомендациями по устранению недостатков для получения положительного заключения в будущем. Ещё случается, что аттестующая организация по каким-то своим причинам делает всё возможное для того, чтобы заказчик не справился с поставленными задачами и не уложился в сроки. В первом случае все понятно, а во втором же возникает вопрос: как не допустить подобное?

5. Как предотвратить неблагоприятный исход

Поскольку многим организациям для работы аттестат соответствия просто необходим, а сама аттестация обычно требуется вот прямо сейчас, в условиях ограниченного бюджета, то порой приходится прибегать к услугам недостаточно компетентных или малознакомых специалистов. Как уберечься в такой ситуации? Рассказываем:

• Отслеживать сроки. Всегда контролируйте сроки — ведите журнал проведения мероприятий по защите информации. Составьте план таких мероприятий. Проверяйте выполнение хотя бы раз в месяц.

• Обменяться опытом с другими организациями. Наверняка вам смогут посоветовать проверенных аттестаторов или дать другие ценные рекомендации.

• Бюджет — если заложить в бюджет большую сумму, можно увеличить пространство для манёвра при выборе органа по аттестации.

• Наличие в штате компетентных ИБ‑сотрудников поможет быстрее погрузиться в вопрос и найти оптимальное решение.

• Формирование благоприятных взаимоотношений с исполнителем. Человеческий фактор не стоит сбрасывать со счетов.

Подготовка — залог качественной аттестации. Можно исключить большинство проблем и сэкономить деньги уже на этапе выбора органа по аттестации. Именно во время подготовки вы влияете на то, как будет проходить аттестация.

Кажется, это основное из того, что нужно знать при выборе аттестатора. Если у вас есть вопросы, давайте обсудим в комментариях.

Что ещё интересного есть в блоге Cloud4Y

→ Симпсоны-ТВ: руководство по сборке

→ NAS за шапку сухарей

→ Взлом Hyundai Tucson, часть 1, часть 2

→ Собираем машину для стринг-арта

→ 50 самых интересных клавиатур из частной коллекции