Аттестация объектов информатизации: практическое руководство

Аттестация — это реальный, проверенный опытом инструмент уменьшения рисков для компаний. Без аттестата вы рискуете не только получить штрафы, но и потерять бизнес при остановке сервисов, клиентские данные, доверие клиентов и финансы.

В 2025 году требовательность регуляторов выросла, в частности, приказ ФСТЭК №117 от 11.04.2025 ужесточил контроль в государственных информационных системах.

И если раньше многие воспринимали аттестацию как «ещё одну бумажку», то с выходом приказа ФСТЭК России № 117 от 11 апреля 2025 года всё изменилось кардинально. Этот документ фактически стал новым регламентом для всех, кто работает с конфиденциальной информацией в государственных системах и на госпредприятиях. Именно он сейчас задаёт тон всей аттестации, и кто его игнорирует, рискует получить отказ в аттестате или крупный штраф.

В этой статье мы разберемся с основами аттестации объектов информатизации, а в частности, с нюансами приказа №117.

Что такое аттестация и в каких случаях она нужна

Процедура оценки эффективности принятых организационно-технических мер защиты информации в информационных системах занимает особое место в жизненном цикле их создания. На практике наиболее распространенной формой такой оценки информационных систем является аттестация на соответствие требованиям безопасности информации.

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Аттестация объектов информатизации предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности является завершающей стадией ввода в действие системы защиты информации и выступает подтверждением эффективности комплекса мер и средств защиты информации, используемых на конкретном объекте информатизации.

При проведении аттестации оцениваются в совокупности все средства защиты информации, а также конкретные условия эксплуатации рассматриваемого объекта.

Правовое регулирование

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования.

Рассмотрим основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации:

• «Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации» (утв. Приказом Гостехкомиссии от 05.01.1996 N 3);
• Приказ ФСТЭК России от 29.04.2021 N 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»;
• ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 02.09.2021 г. N 240/24/4303 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»;
• Информационное сообщение Минцифры РФ от 03.06.2022 «Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры»;
• Информационное сообщение ФСТЭК России от 11.04.2022 г. N 240/24/1950 «О порядке представления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну».

Влияние приказа № 117

Приказ ФСТЭК № 117 расширил старые требования 2014–2017 годов и ввёл единые правила для:

— государственных информационных систем (ГИС);

— информационных систем госорганов;

— систем госпредприятий и учреждений.

Главное новшество, заключается в том, что теперь аттестация напрямую привязана к актуальным угрозам 2025 года — включая квантовые риски, новые векторы атак и обязательное применение отечественных сертифицированных средств защиты.

Ранее (приказ №17) распространялся только на государственные информационные системы (ГИС).

Теперь (приказ №117) распространяется на:

• Государственные информационные системы
• Иные информационные системы государственных органов
• Информационные системы государственных унитарных предприятий
• Информационные системы государственных учреждений
• Муниципальные информационные системы
• Коротко, что изменилось по сравнению со старым порядком:

Если ваша система подпадает хотя бы под один пункт, вас это касается в первую очередь.

Как проходит аттестация по новым правилам

• Определяете, что ваш объект подпадает под № 117.
• Формируете комплект документов.

— актуальная модель угроз (по методике ФСТЭК 2024–2025 годов);

— программа и методика испытаний, согласованная с № 117;

— техпаспорт с обязательным указанием применяемых СКЗИ и СЗИ из реестра ФСТЭК.

• Выбираете орган по аттестации.
• Внедряются необходимые СЗИ
• Проводите аттестационные испытания.
• Получаете аттестат.

Срок действия — по аттестации до 5 лет, но с обязательным ежегодным подтверждением соответствия (новое требование № 117).

Заключение

Аттестация — это не формальность, а инвестиция в устойчивость бизнеса, в доверие клиентов и партнёров, и в ваше собственное спокойствие. Она снижает риски, помогает выстроить процессы и дисциплинирует ИТ-операции. Контроль регуляторов со временем становится только выше, а значит, чем раньше вы начнете готовиться, тем лучше для вас и вашей компании.

Если вам нужна помощь на любом этапе — от инвентаризации до взаимодействия с организациями и регуляторами — команда «Астрал. Безопасность» готова вам с этим помочь.

Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.