аттестация объектов информатизации по требованиям безопасности информации обучение
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 2 сентября 2021 г. N 240/24/4303
| 1790 КБ | 1231 | |
| 166 КБ | 315 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ОБ УТВЕРЖДЕНИИ ПОРЯДКА ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ
от 2 сентября 2021 г. N 240/24/4303
В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 29 апреля 2021 г. N 77 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее — Порядок аттестации).
Порядок аттестации предназначен для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, организаций, которым на праве собственности или ином законном основании принадлежат объекты информатизации, обрабатывающие информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну, а также лиц, заключивших контракт на создание и (или) аттестацию объектов информатизации, или лиц, осуществляющих эксплуатацию указанных объектов информатизации.
Указанный документ определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов и применяется с 1 сентября 2021 г.
Порядок аттестации распространяется на аттестацию по требованиям по безопасности информации следующих объектов информатизации:
государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
помещений, предназначенных для ведения конфиденциальных переговоров.
Порядок аттестации применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
значимых объектов критической информационной инфраструктуры Российской Федерации;
информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Аттестация объектов информатизации по требованиям безопасности информации
40 ак. часов (5 дней)
Учебный центр «Информзащита»
25 500 ₽
Онлайн-трансляция
Теоретический курс
О курсе
Программа
Расписание
Документы
Аттестация объектов информатизации по требованиям безопасности информации
Код курса БТ20, 5 дней
Статус
Авторский курс Учебного центра «Информзащита»
Аннотация
Интенсивный курс повышения квалификации специалистов компаний лицензиатов ФСТЭК, занимающихся аттестацией объектов информатизации или аккредитованных в качестве органа по аттестации, а также руководителей и специалистов, ответственных за техническую защиту информации ограниченного доступа (далее ТЗКИ) от НСД и утечки по техническим каналам, направленный на практическую подготовку к использованию методов и средств выявления и блокирования технических каналов утечки информации.
В процессе обучения подробно рассматриваются организационно-правовые вопросы создания (усовершенствования) и эффективного функционирования объекта информатизации в рамках защиты информации на предприятиях различных форм собственности и видов деятельности, создания концепции информационной безопасности предприятия. Программа включает изучение технических каналов утечки информации, их классификации и механизмов возникновения, методики оценки возможностей технических средств разведки, используемой для экономического шпионажа. Особое внимание уделяется методам и средствам выявления и блокирования технических каналов утечки информации, новейшим технологиям и средствам защиты информации, а также контролю эффективности принятых мер защиты в процессе аттестации объекта информатизации по требованиям безопасности информации.
Для проведения практических работ используется широкий спектр новейшего оборудования ведущих российских производителей средств защиты информации от НСД и утечки по техническим каналам. Занятия проходят в лабораторной аудитории, оснащенной полным комплектом контрольно-измерительного и испытательного оборудования, средствами контроля защищенности, тест-объектами, эквивалентами строительных и иных конструкций, позволяющих полностью имитировать реальные ситуации при выполнении аттестационных испытаний объектов информатизации. В рамках практических занятий и в ходе учебных поисковых мероприятий специалисты в индивидуальном порядке обучаются работе с техническими средствами поиска закладных устройств, осуществляют поиск, обнаружение демаскирующих признаков и локализацию закладочных устройств.
Аудитория
Предварительная подготовка
Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации, а также базовые знания по физике и радиотехнике.
По окончании обучения
Вы получите знания в области:
Вы сможете:
Вы приобретёте навыки:
Пакет слушателя
Дополнительно
После успешного освоения учебного материала выпускники получают свидетельства об обучении в Учебном центре «Информзащита».
Обучение на данном курсе учитывается при получении Дипломов о переподготовке установленного образца по направлению «Информационная безопасность. Техническая защита конфиденциальной информации».
Выпускники Учебного центра в течение одного года могут получать бесплатные консультации преподавателя в рамках пройденного курса.
Программа учебного курса
Раздел 1. Организация аттестации объектов информатизации на соответствие требованиям безопасности информации
Раздел 2. Организация и выполнение мероприятий по аттестации объектов информатизации по требованиям безопасности информации
Новый порядок ФСТЭК России: аттестация объектов информатизации
С 01.09.2021 вступил в силу утверждённый приказом ФСТЭК России 29.04.2021 № 77 порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну. Новый порядок вышел в замен уже устаревшему морально Положению по аттестации объектов информатизации по требованиям безопасности информации, которое действовало с 1994 года.
Аттестация объектов информатизации – важный этап во внедрении системы защиты информации на предприятии, в организации, в государственном органе. По своей сути, аттестация – это комплекс мероприятий, проводимых на объекте информатизации, для проверки надёжности реализованной системы защиты информации, в результате проведения которой подтверждается соответствие определённым требованиям государственного регулятора в сфере технической защиты информации, коим является ФСТЭК России.
Требования о защите информации предъявляются к различным видам объектов информатизации, на которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну. Это требования к государственным и муниципальным информационным системам, к информационным системам персональных данных, к значимым объектам критической информационной инфраструктуры, к автоматизированным системам управления производственными и технологическими процессами и иным автоматизированным системам. Но обязательной аттестации подлежат не все перечисленные информационные системы, а только государственные и муниципальные, значимые объекты критической информационной инфраструктуры и информационные системы управления производством, используемые организациями оборонно-промышленного комплекса. Все остальные информационные системы могут быть аттестованы по решению их владельца, т.е. той организации, которая эксплуатирует данную информационную систему.
В новом порядке организации и проведения работ по аттестации объектов информатизации подробно представлены все действия по инициации процесса аттестации, а также действия, которые необходимо проводить участникам аттестации. Есть некоторые отличия нового порядка от старого положения об аттестации, представляющие интерес для специалистов. Например, в новом порядке указано, что аттестацию может проводить сама организация, эксплуатирующая информационную систему, при выполнении определённых требований. Для этого обязательно необходимо проинформировать ФСТЭК России о принятом решении, в организации должны быть средства, необходимые для контроля защищённости от несанкционированного доступа, квалифицированные работники и др.
Приглашаем всех заинтересованных в качественном обучении и повышении квалификации по защите информации в Приволжский институт повышения квалификации ФНС России!
заведующий кафедрой информационной безопасности,
Аттестация объектов информатизации
Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки
Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.
Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.
Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.
В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.
При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.
Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.
Кому может понадобиться?
Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:
• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.
• Для лицензирующей деятельности, которая касается предоставления лицензий.
Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.
Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.
Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:
• Выяснить, существует ли нормативный акт, требующий создания ИС.
• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.
• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.
Аттестация ГИС: подготовка, порядок действий, нововведения
Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.
В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.
На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.
Определение класса ГИС
ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.
Готовимся к аттестации
Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.
Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.
На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).
Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.
Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17 :
• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.
• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.
• Перечень классов защищенности СЗИ ограничиваются только тремя.
• Любой класс СЗИ требует принятия мер защиты информации.
• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.
Выбор техсредств защиты ГИС
Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).
Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.
Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:
• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.
Аттестация КИИ: порядок, тонкости и лайфхаки
Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин.
Дорожну карту по выполнению ФЗ-187 можете найти здесь!
Что требует Закон
Закон о безопасности КИИ (187-ФЗ ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.
Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.
Каким образом соответствовать требованиям?
Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ ( приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).
Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.
На что обратить внимание?
Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.
Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.
В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.
Сложности подготовки
Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.
Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.
Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:
Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.
Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.
А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.
Аттестации АСУ ТП: на что обратить внимание
В целом порядок аттестации состоит из таких этапов:
• изучение объекта в предварительном порядке;
• создание методик и программы испытаний для него;
• непосредственно испытание объекта;
• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.
Во время испытаний проводится разработка следующих аттестационных документов:
• программы, а также методики проведения испытаний;
• создание протокола аттестации;
• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.
Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?
Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.
Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.
Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»
Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012
Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.
Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.
Вопрос риторический, а озвученное мнение не выдерживает никакой критики.
Мнение «Применяться типовые сегменты могут лишь для государственных информсистем»
Хотя в названии приказа ФСТЭК России слово «государственный» использовано два раза, мнение неверно.
Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.
Мнение «Единожды полученный аттестат, согласно принципу типовых сегментов, может быть распространен на всё»
Если бы это мнение соответствовало действительности, то жизнь была бы проще. Рассмотрим несколько теоретических ситуаций для большей наглядности.
Когда аттестат получен на серверную часть, а после возникла необходимость аттестовать автоматизированное рабочее место (РМ) или несколько, то имеющийся аттестат для этого не подходит.
Вспоминаем пункт 17.3, согласно которому «допускается аттестация информсистемы на основе результатов аттестационных испытаний выделенного набора сегментов информсистемы, реализующих полную технологию обработки информации». В описанной ситуации отсутствуют аттестованные автоматизированные РМ, зато присутствует новая технология обработки.
Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.
Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то. Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.
Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.
Мнение «В проектной документации на систему защиты требуется описание типовых сегментов»
Такой подход имеет право на жизнь и реально в ней встречается. Однако. Описание типовых сегментов в проектной документации невозможно будет изменить после проведения аттестации, а потому при частичной замене (модернизации) оборудования сегменты не будут типовыми, а это влечет проведение повторного аттестационного испытания. Отсюда простой вывод – не стоит описывать типовые сегменты в проектной документации. Но вот предварительно решить в органе аттестации вопрос наличия в аттестационной документации пункта о допустимости распространения аттестата на типовые сегменты совсем не лишне.
Мнение «Аттестация по типовым сегментам не одобряется Федеральной службой»
Есть несколько вариаций этого заблуждения, но их все объединяет отсутствие примеров из практики. И обратное доказывается очень легко: ФСТЭК постоянно популяризирует аттестацию по принципу типовых сегментов, именно ее нормативные акты используются в этой процедуре.
Мнение «Аттестующий орган отвечает за распространение аттестата на типовые сегменты, полностью или частично не соответствующие требованиям»
За распространение аттестата на типовые сегменты, не отвечающие требованиям, ответственность несет. оператор информсистемы. Уровень качества самих аттестационных испытаний – сфера ответственности аттестующего органа.
Мнение «Привлечение лицензиата обязательно, поэтому типовые сегменты бесполезны»
Ну что тут сказать? Это устойчивое заблуждение, которое опровергается только множеством примеров обратного.
Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.
Мнение «Лишь одни и те же технические элементы могут использоваться в типовых сегментах»
Сторонники этого мнения утверждают, что для аттестации по принципу типовых сегментов критично полное соответствие технических средств (вплоть до совпадения серийников оборудования). Это явное заблуждение можно было бы оставить без комментариев, но все же разъясним.
Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.
Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.
Мнение «Модель угроз следует прописывать для каждого подключаемого типового сегмента»
Сегменты, согласно пункту 17.3 Приказа, оттого и являются типовыми, что имеют одни угрозы безопасности информации. Это автоматически опровергает вышеуказанное утверждение.
Мнение «Не обязательно указывать в техпаспорте на информсистему информацию о подключаемых типовых сегментах»
Правильно сформулировать эту позицию таким образом: «Информация о подключаемых типовых сегментах находит свое отображение или в техпаспорте информсистемы, или в техпаспорте типового сегмента».