17 июня

Аттестация объектов информатизации: требования, порядок и этапы проведения

Прежде чем государственная информационная система начнёт обрабатывать данные в промышленной эксплуатации, её защиту нужно официально подтвердить. Аттестация объектов информатизации как раз и есть та процедура, по итогам которой орган по аттестации удостоверяет, что система защиты построена правильно и соответствует требованиям ФСТЭК России по защите информации ограниченного доступа. Для одних объектов аттестация обязательна, для других её проводят по решению владельца. Порядок работ задаёт приказ ФСТЭК России от 29.04.2021 № 77, а конкретные требования, на соответствие которым проверяют объект, лежат в отдельных приказах под каждый тип системы. Разберём, что это за процедура, кому она нужна, как проходит, сколько занимает времени и чем грозит работа без аттестата.

Содержание

Что такое аттестация объектов информатизации
Нормативная база: чем регулируется аттестация
Какие объекты подлежат аттестации
Кто проводит аттестацию
Какие документы готовит владелец объекта
Порядок проведения аттестации: этапы
Сроки аттестации
Аттестат соответствия: срок действия, контроль, реестр
Аттестация при модернизации объекта
От чего зависят сроки и стоимость
Ответственность за нарушение требований
Частые вопросы
Выводы

Что такое аттестация объектов информатизации

Приказ ФСТЭК России от 29.04.2021 № 77 определяет аттестацию как комплекс организационных и технических мероприятий и работ, по результатам которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Орган по аттестации проверяет систему защиты на реальном объекте и удостоверяет аттестатом соответствия, что защита информации построена правильно. После этого владелец получает право обрабатывать на объекте информацию ограниченного доступа, а ФСТЭК России и проверяющие видят документальное подтверждение того, что требования по защите информации выполнены.

Аттестацию проводят на этапе создания или модернизации объекта. Если решение обрабатывать защищаемую информацию принято уже после ввода в эксплуатацию, приказ ФСТЭК России № 77 допускает аттестовать и работающий объект. По своей сути аттестация представляет собой форму оценки соответствия, и для государственных систем без действующего аттестата законная промышленная эксплуатация фактически невозможна, потому что аттестация встроена в порядок их создания и ввода в работу.

Что считается объектом информатизации

Термин шире, чем кажется на первый взгляд. По национальному стандарту ГОСТ Р 51275-2006 объект информатизации это «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров».

То есть объектом информатизации может быть и информационная система целиком с серверами и рабочими местами, и автоматизированная система управления, и отдельное защищаемое помещение для конфиденциальных переговоров. Поэтому список аттестуемых объектов получается довольно широким. Это государственные и муниципальные информационные системы, системы персональных данных, значимые объекты критической информационной инфраструктуры (КИИ), автоматизированные системы управления производством и технологическими процессами, защищаемые помещения. Полный перечень с разбивкой на обязательную и добровольную аттестацию разберём ниже. В тексте дальше для краткости будем называть объект информатизации сокращением ОИ.

Что подтверждает аттестация и зачем она нужна

Аттестация решает сразу несколько практических задач. Она подтверждает, что меры защиты выбраны под актуальные угрозы и реально работают, а не существуют только на бумаге. Она даёт владельцу формальное основание ввести объект в эксплуатацию и обрабатывать на нём защищаемую информацию. Для государственных систем без аттестата ввод в промышленную эксплуатацию по сути невозможен, потому что аттестация встроена в порядок создания таких систем. А ещё она снижает риски при проверках ФСТЭК России, ведь аттестат и протоколы испытаний показывают, что владелец выполнил требования по защите информации.

Чем аттестация отличается от сертификации и лицензирования

Три похожих слова из сферы защиты информации часто путают, хотя относятся они к разным вещам. Аттестуют объекты информатизации, то есть конкретные системы и помещения. Сертифицируют средства защиты информации, например конкретный межсетевой экран или средство защиты от несанкционированного доступа. Лицензируют деятельность, то есть право организации оказывать услуги по технической защите информации. Орган по аттестации связан со всеми тремя механизмами. Он сам работает по лицензии ФСТЭК России, при аттестации проверяет применение на объекте сертифицированных средств защиты и по итогам выдаёт аттестат соответствия на объект.

Процедура	Что оценивается	Что подтверждает	Основной документ
Аттестация	Объект информатизации (система, помещение)	Соответствие системы защиты объекта требованиям по защите информации	Приказ ФСТЭК России № 77
Сертификация	Средство защиты информации	Соответствие самого средства требованиям по безопасности информации	Приказ ФСТЭК России от 03.04.2018 № 55
Лицензирование	Деятельность организации	Право оказывать услуги по технической защите информации	Постановление Правительства РФ от 03.02.2012 № 79

Аттестация, сертификация и лицензирование в технической защите информации. Документы изданы ФСТЭК России и Правительством РФ.

О том, как устроено лицензирование деятельности по технической защите конфиденциальной информации, мы подробно рассказали в материале «Лицензия ФСТЭК России: виды, требования и порядок получения». Здесь же сосредоточимся именно на аттестации объектов.

Нормативная база: чем регулируется аттестация

Аттестация делится на два основных режима в зависимости от того, какая информация обрабатывается на объекте. Объекты с информацией ограниченного доступа без государственной тайны аттестуют по приказу ФСТЭК России № 77. Объекты, где обрабатывается государственная тайна, аттестуют по отдельным правилам, и приказ ФСТЭК России № 77 прямо оговаривает, что на государственную тайну он не распространяется.

Приказ ФСТЭК России № 77 — порядок аттестации

Базовым документом для конфиденциальных объектов служит приказ ФСТЭК России от 29.04.2021 № 77, зарегистрированный в Минюсте России 10.08.2021 и вступивший в силу с 1 сентября 2021 года. Он собрал в одном документе и состав работ по аттестации, и формы технического паспорта, акта классификации и аттестата соответствия. Это заметно упорядочило процедуру, которая прежде держалась на разрозненных методических документах и Положении по аттестации объектов информатизации, утверждённом Гостехкомиссией России в 1994 году.

Здесь стоит чётко разделить роли между документами. Приказ ФСТЭК России № 77 отвечает на вопрос, как проводить аттестацию, то есть задаёт порядок. А сами требования к защите, на соответствие которым проверяют объект, лежат в отдельных приказах ФСТЭК России под каждый тип системы. Приказ № 77 в сноске перечисляет все эти требования, и при аттестации орган сверяет объект именно с ними.

Государственные информационные системы (ГИС) — приказ ФСТЭК России от 11.04.2025 № 117 (с 1 марта 2026 года заменил приказ № 17).
Информационные системы персональных данных (ИСПДн) — приказ ФСТЭК России от 18.02.2013 № 21.
Значимые объекты КИИ — приказ ФСТЭК России от 25.12.2017 № 239.
Автоматизированные системы управления (АСУ ТП) на критически важных и потенциально опасных объектах — приказ ФСТЭК России от 14.03.2014 № 31.
Системы управления производством предприятий ОПК — приказ ФСТЭК России от 28.02.2017 № 31.
Оборудование с числовым программным управлением — приказ ФСТЭК России от 29.05.2009 № 191.

Обратите внимание, что приказов ФСТЭК России с номером № 31 два разных, и путать их нельзя. Приказ от 14.03.2014 № 31 регулирует защиту в АСУ ТП на критически важных и потенциально опасных объектах, а приказ от 28.02.2017 № 31 относится к системам управления производством предприятий оборонно-промышленного комплекса.

Что изменил приказ ФСТЭК России № 117 для государственных систем

Здесь кроется свежий нюанс, который многие материалы в сети ещё не учли. Требования к защите государственных информационных систем долгое время задавал приказ ФСТЭК России от 11.02.2013 № 17. С 1 марта 2026 года он утратил силу, а на его место пришёл приказ ФСТЭК России от 11.04.2025 № 117. Это значит, что государственные системы теперь аттестуют на соответствие требованиям приказа ФСТЭК России № 117, а не прежнего № 17.

Аттестаты, выданные до вступления приказа ФСТЭК России № 117 в силу, при этом считаются действительными, переоформлять их разом не нужно. Подробный разбор нового документа мы дали в статье «Приказ ФСТЭК России № 117: новые требования о защите информации в государственных информационных системах». Если вы готовите ГИС к аттестации сейчас, ориентироваться нужно уже на приказ ФСТЭК России № 117.

Аттестация объектов государственной тайны — отдельный режим

Если на объекте обрабатываются сведения, составляющие государственную тайну, действуют другие правила. Сама обязательность защиты и аттестации таких объектов вытекает из Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне», а порядок и методики аттестации задают специальные требования и документы серии ГОСТ РО 0043, прежде всего ГОСТ РО 0043-003-2012 об общих положениях аттестации объектов информатизации и ГОСТ РО 0043-004-2013 с программой и методиками аттестационных испытаний. Эти стандарты имеют пометку для служебного пользования, поэтому их полный текст открыто не публикуется.

Для практики достаточно запомнить это разделение режимов. Конфиденциальные объекты без государственной тайны идут по приказу ФСТЭК России № 77. Объекты с государственной тайной аттестуют по правилам серии ГОСТ РО 0043 и специальных требований, а заниматься такими работами могут только организации, имеющие лицензию ФСТЭК России на деятельность по технической защите информации, составляющей государственную тайну. Дальше в статье речь идёт о конфиденциальных объектах, если прямо не сказано иное.

Какие объекты подлежат аттестации

Это, пожалуй, самый главный практический вопрос темы. Приказ ФСТЭК России № 77 делит объекты на две группы. Для одних аттестация обязательна сама по себе. Для других она становится обязательной, если владелец сам выбрал именно эту форму оценки соответствия системы защиты.

Какие объекты информатизации подлежат аттестации по приказу ФСТЭК России № 77 — *Объекты обязательной аттестации и объекты, которые аттестуют по решению владельца.*

Обязательная аттестация: государственные системы, ОПК, помещения

В первую группу приказ ФСТЭК России № 77 относит три типа объектов. Сюда входят государственные и муниципальные информационные системы, включая государственные и муниципальные системы персональных данных; информационные системы управления производством предприятий оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением; защищаемые помещения, предназначенные для ведения конфиденциальных переговоров. Для всех трёх типов аттестация остаётся обязательным условием законной эксплуатации.

Аттестация по решению владельца: КИИ, ИСПДн, АСУ ТП

Вторая группа объектов устроена немного иначе. Для неё аттестация не единственный путь, но если владелец установил требование оценивать систему защиты именно в форме аттестации, то работы идут по тому же приказу ФСТЭК России № 77. Сюда входят значимые объекты критической информационной инфраструктуры, информационные системы персональных данных, кроме государственных и муниципальных, а также автоматизированные системы управления производственными и технологическими процессами на критически важных и потенциально опасных объектах. Для значимых объектов КИИ аттестация остаётся распространённым, хотя и не единственным способом подтвердить соответствие требованиям приказа ФСТЭК России № 239.

Тип объекта	Аттестация	Требования к защите
Государственные и муниципальные ИС, в том числе их ИСПДн	Обязательна	Приказ ФСТЭК России № 117
ИС управления производством ОПК, станки с ЧПУ	Обязательна	Приказ ФСТЭК России № 31 (2017)
Защищаемые помещения для переговоров	Обязательна	Защита от утечки по техническим каналам
Значимые объекты КИИ	По решению владельца	Приказ ФСТЭК России № 239
ИСПДн, кроме государственных и муниципальных	По решению владельца	Приказ ФСТЭК России № 21
АСУ ТП на критически важных и потенциально опасных объектах	По решению владельца	Приказ ФСТЭК России № 31 (2014)

Объекты, на которые распространяется приказ ФСТЭК России № 77. Для ГИС с 1 марта 2026 года действует приказ ФСТЭК России № 117.

Когда вместо аттестации применяют иные формы оценки соответствия

Для объектов из второй группы аттестация остаётся правом, а не безусловной обязанностью. Например, для коммерческой информационной системы персональных данных оценку эффективности принятых мер защиты можно проводить и самостоятельно, без обращения в орган по аттестации. То же касается значимых объектов КИИ, где оценка соответствия допускается в разных формах. Выбор формы остаётся за владельцем и зависит от его задач. Многие всё же выбирают аттестацию, потому что внешний аттестат остаётся понятным и признаваемым аргументом при проверках и в работе с контрагентами. Чтобы корректно описать угрозы, под которые строится защита, владельцу понадобится модель угроз, о которой мы писали в материале «Модель угроз безопасности информации: методика ФСТЭК России».

Кто проводит аттестацию

Аттестацию проводит не сам владелец, а независимая сторона. Приказ ФСТЭК России № 77 называет её органом по аттестации и предъявляет к ней понятные требования. Это сделано специально, чтобы оценка была объективной, а не превратилась в самопроверку с заранее известным результатом.

Лицензия ФСТЭК России на техническую защиту информации

Чтобы проводить аттестационные испытания, организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) с правом проведения работ и услуг по аттестационным испытаниям и аттестации. Лицензия выдаётся в соответствии с положением, утверждённым постановлением Правительства РФ от 03.02.2012 № 79. Без такой лицензии оказывать услуги по аттестации нельзя, и аттестат от организации без лицензии юридической силы не имеет. Проверить лицензиата можно по реестру лицензий ФСТЭК России на сайте регулятора reestr.fstec.ru.

Когда госорган вправе аттестовать свои системы сам

Из общего правила есть исключение для органов власти. По решению руководителя федерального органа, органа власти субъекта или местного самоуправления аттестацию принадлежащих этому органу объектов может проводить его собственное структурное подразделение, ответственное за защиту информации. Но действует это право не безусловно. Орган обязан предварительно проинформировать ФСТЭК России о таком решении и располагать всем необходимым. Это средства контроля эффективности защиты информации, нормативные и методические документы ФСТЭК России и национальные стандарты, а также работники с нужными знаниями и навыками. Если хотя бы одного из этих условий нет, без органа по аттестации не обойтись.

Аттестационная комиссия и независимость экспертов

Непосредственно аттестационные испытания проводит специальная комиссия. Орган по аттестации назначает её из своих работников в составе руководителя и не менее двух экспертов, которые разбираются в технической защите информации и аттестации. Ключевое требование здесь касается независимости экспертов. Они не должны зависеть от владельца объекта, иначе теряется смысл внешней проверки. Отдельно оговорено, что включать в комиссию работников, которые сами разрабатывали или внедряли систему защиты этого объекта, нельзя. Логика простая, разработчик защиты не может беспристрастно проверять собственную работу.

Какие документы готовит владелец объекта

Перед началом работ владелец передаёт органу по аттестации комплект документов на объект. Пункт 11 приказа ФСТЭК России № 77 перечисляет восемь позиций, и собрать их лучше заранее, потому что неполный комплект тормозит весь процесс. По решению владельца документы можно передать в электронном виде.

Технический паспорт на объект информатизации по форме из приказа ФСТЭК России № 77.
Акт классификации информационной системы или акт категорирования значимого объекта КИИ.
Модель угроз безопасности информации, если она разрабатывалась по требованиям к защите.
Техническое задание на создание, развитие или модернизацию объекта и системы защиты.
Проектная документация на систему защиты информации объекта.
Эксплуатационная документация на систему защиты и применяемые средства защиты информации.
Организационно-распорядительные документы по защите информации, включая план мероприятий по защите.
Документы с результатами анализа уязвимостей и приёмочных испытаний системы защиты.

Акт категорирования нужен только для значимых объектов КИИ, и как его готовят, мы разбирали в материале «Категорирование объектов КИИ: порядок и сроки в 2026 году». Для остальных объектов вместо него идёт акт классификации информационной системы. Модель угроз для комплекта удобно готовить по методике, разбор которой есть в статье «Методика оценки угроз безопасности информации ФСТЭК России». А организационные документы по защите, среди прочего, описывают порядок реагирования на инциденты, и эту тему мы раскрывали в материале «Реагирование на компьютерные инциденты: порядок, этапы и план реагирования».

Класс защищённости, уровень защищённости или категория значимости определяют, насколько строгие меры нужны объекту, а значит и каким будет объём аттестации. Для государственных информационных систем устанавливают один из трёх классов защищённости, от К1 до К3. Для информационных систем персональных данных определяют один из четырёх уровней защищённости, от УЗ1 до УЗ4. Значимым объектам КИИ присваивают одну из трёх категорий значимости. Чем выше класс, уровень или категория, тем строже требования и тем больше работы у аттестующего органа.

Порядок проведения аттестации: этапы

Путь от подачи документов до аттестата складывается из четырёх укрупнённых этапов, и владельцу объекта полезно понимать каждый, чтобы не сорвать сроки и бюджет. Вся последовательность задана приказом ФСТЭК России № 77, который описывает и состав работ, и формы документов на каждом шаге.

Этапы проведения аттестации объекта информатизации по приказу ФСТЭК России № 77 — *Четыре укрупнённых этапа аттестации, от подготовки документов до выдачи аттестата соответствия.*

Анализ документов и программа аттестационных испытаний

К началу аттестации система защиты объекта уже должна быть построена. Приказ ФСТЭК России № 77 требует от владельца готовую эксплуатационную документацию и результаты приёмочных испытаний системы защиты, поэтому аттестацию проводят после внедрения мер защиты, а не параллельно с их разработкой. Сначала орган по аттестации изучает переданный комплект документов и предварительно знакомится с объектом в условиях эксплуатации. На этой основе он разрабатывает программу и методики аттестационных испытаний. По пункту 13 приказа ФСТЭК России № 77 этот документ состоит из трёх разделов. Общие положения описывают архитектуру объекта, его класс защищённости, уровень защищённости или категорию значимости и актуальные угрозы. Программа перечисляет конкретные работы и сроки по каждой из них. Методики задают порядок, условия и средства для каждого испытания. Программу согласовывают с владельцем и утверждают у руководителя органа по аттестации до начала испытаний, а по ходу работ в неё можно вносить изменения по согласованию сторон.

Аттестационные испытания: что и как проверяют

Дальше начинается основная часть работы по аттестации. Пункт 15 приказа ФСТЭК России № 77 описывает десять видов проверок, которые в укрупнённом виде сводятся к нескольким направлениям.

Оценка соответствия документации требованиям по защите информации и самому порядку аттестации.
Обследование объекта в реальных условиях его эксплуатации.
Для государственных систем дополнительно проверяют согласование модели угроз и технического задания с ФСТЭК России.
Проверка применяемых средств защиты в реестре сертифицированных средств ФСТЭК России либо документов об оценке их соответствия в иных формах, если обязательная сертификация не требуется.
Проверка наличия и квалификации работников, ответственных за защиту информации.
Оценка организационных и технических мер на достаточность против актуальных угроз.
Оценка защиты от утечки информации по техническим каналам, для защищаемых помещений.

Сами проверки орган по аттестации проводит тремя способами. Часть работ выполняется как анализ документов экспертами. Меры защиты от несанкционированного доступа проверяют практически. Эксперты тестируют функции безопасности, ищут уязвимости специальными средствами контроля и пробуют обойти систему защиты, то есть проводят контролируемые попытки несанкционированного доступа в обход средств защиты. Защиту помещений от утечки по техническим каналам измеряют контрольно-измерительным и испытательным оборудованием. Для защищаемых помещений проводят также специальные проверки технических средств и специальные исследования на побочные электромагнитные излучения и наводки, которые специалисты называют ПЭМИН. Такая комбинация документальной оценки и практических испытаний и отличает аттестацию от простого аудита бумаг.

Заключение, протоколы и устранение недостатков

По итогам испытаний орган по аттестации оформляет заключение. В нём фиксируют состав объекта, его класс защищённости, уровень защищённости или категорию значимости, состав экспертов, результаты каждой проверки, рекомендации по устранению выявленных недостатков и главный вывод о том, можно ли выдать аттестат соответствия или систему защиты надо дорабатывать. По практическим испытаниям и инструментальным измерениям дополнительно составляют протоколы. Заключение и протоколы направляют владельцу в течение пяти рабочих дней после утверждения.

Если выявлены недостатки, которые можно устранить по ходу работ, владелец их устраняет, а орган по аттестации оценивает качество устранения и оформляет заключение повторно. Бывает и так, что недостатки устранить в процессе нельзя. Тогда работы по аттестации завершают, аттестат не оформляют, а владельцу остаётся доработать систему защиты и заказать аттестацию заново. Если владелец не согласен с выводами органа, у него есть пять рабочих дней с момента получения заключения, чтобы направить мотивированное обращение в ФСТЭК России, и ведомство в течение десяти календарных дней оценит документы, а при необходимости проведёт контрольные испытания на объекте.

Выдача аттестата соответствия и внесение в реестр

Когда все недостатки устранены, орган по аттестации оформляет аттестат соответствия по форме из приложения к приказу ФСТЭК России № 77. Номер аттестата строится в формате из трёх групп знаков, первая из которых указывает на номер лицензии органа по аттестации. Аттестат подписывает руководитель органа по аттестации, после чего документ вручают владельцу лично или направляют заказным письмом с уведомлением о вручении.

В течение пяти рабочих дней после подписания орган передаёт копии аттестата и сопутствующих документов в ФСТЭК России или её территориальный орган. Ещё через три рабочих дня сведения об объекте вносят в реестр аттестованных объектов информатизации, который ведёт ведомство. После этого ФСТЭК России проводит экспертно-документальную оценку материалов, и если найдёт недостатки, направит владельцу и органу заключение с рекомендациями. Так что выдача аттестата не закрывает тему окончательно, контроль со стороны регулятора продолжается и после неё.

Сроки аттестации

Срок самих работ по аттестации устанавливает владелец по согласованию с органом по аттестации, но приказ ФСТЭК России № 77 задаёт верхнюю границу. Он не может превышать четырёх месяцев. На практике длительность сильно зависит от масштаба объекта и готовности документов, и небольшое защищаемое помещение проходит аттестацию заметно быстрее, чем распределённая информационная система. Помимо общего срока, приказ задаёт несколько процедурных сроков, которые полезно держать в голове.

Действие	Срок
Общий срок работ по аттестации	Не более 4 месяцев
Направление заключения и протоколов владельцу	5 рабочих дней после утверждения
Обращение владельца в ФСТЭК России при несогласии	5 рабочих дней с момента получения заключения
Оценка обращения в ФСТЭК России	10 календарных дней
Передача копий аттестата органом в ФСТЭК России	5 рабочих дней после подписания
Внесение объекта в реестр аттестованных	3 рабочих дня после получения документов
Представление протоколов периодического контроля в ФСТЭК России	Не реже одного раза в 2 года
Выдача дубликата аттестата	20 рабочих дней с момента заявления

Сроки по приказу ФСТЭК России от 29.04.2021 № 77.

Аттестат соответствия: срок действия, контроль, реестр

Получить аттестат означает пройти лишь половину пути. Дальше его нужно поддерживать, и здесь приказ ФСТЭК России № 77 ввёл важное изменение по сравнению с прежней практикой.

На какой срок выдаётся аттестат

По пункту 31 приказа ФСТЭК России № 77 аттестат соответствия выдаётся на весь срок эксплуатации объекта информатизации. Фиксированных трёх лет, как было в более ранней практике аттестации, больше нет. Но бессрочность не означает, что про объект можно забыть. Владелец обязан поддерживать его защищённость в течение всего срока, выполнять требования по защите информации в ходе эксплуатации и проводить периодический контроль уровня защиты информации. Результаты такого контроля оформляют протоколами и отражают в техническом паспорте объекта.

Периодический контроль защищённости

Протоколы периодического контроля владелец представляет в ФСТЭК России не реже одного раза в два года. ФСТЭК России подготовила проект изменений приказа, который увеличивает этот интервал до трёх лет, с планируемым сроком вступления в силу 1 сентября 2026 года, но пока действует требование о двух годах. Это требование вовсе не пустая формальность. Если протоколы не представить, действие аттестата могут приостановить. По сути регулятор перенёс акцент с разовой проверки раз в несколько лет на постоянную поддержку защищённости. Так что бессрочный аттестат скорее обязывает держать объект в порядке, чем разрешает расслабиться.

Приостановление, прекращение и дубликат аттестата

Действие аттестата ФСТЭК России может приостановить по нескольким основаниям, которые перечислены в приказе ФСТЭК России № 77.

Установленное несоответствие объекта требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз.
Неустранение недостатков, ранее выявленных ФСТЭК России.
Непредставление протоколов периодического контроля защищённости.
Изменение архитектуры системы защиты, из-за которого объект перестал соответствовать аттестату.
Обращение самого владельца объекта о приостановлении.

Приостановить аттестат могут на срок не более девяноста календарных дней. На время приостановки владелец прекращает обработку информации на объекте или принимает согласованные с ФСТЭК России меры, исключающие угрозы. Если владелец так и не устранит причины в отведённый срок, действие аттестата прекращается, и тогда эксплуатацию объекта придётся остановить. Когда же причины устранены и подтверждены, действие аттестата возобновляют. Отдельно приказ предусмотрел и вполне бытовой случай. Если аттестат утрачен, владелец вправе обратиться за дубликатом, и орган по аттестации оформит его в течение двадцати рабочих дней с пометкой о том, что оригинал считается недействующим.

Аттестация при модернизации объекта

Информационные системы не стоят на месте, и любой развивающийся объект рано или поздно меняется. Приказ ФСТЭК России № 77 различает два сценария таких изменений, и от того, какой из них наступил, зависит объём работ.

Когда хватает дополнительных испытаний, а когда нужна повторная аттестация

Если при модернизации изменилась конфигурация программных и технических средств, какие-то средства исключили, добавили аналогичные или заменили на аналогичные, проводят дополнительные аттестационные испытания. Действие аттестата при этом не прекращается, а сведения об изменениях и проведённых испытаниях вносят в технический паспорт объекта. Это щадящий сценарий, объект продолжает работать.

Сценарий тяжелее наступает, когда модернизация повышает класс защищённости, уровень защищённости или категорию значимости объекта, либо меняет саму архитектуру системы защиты. Здесь имеется в виду изменение видов и типов средств защиты, структуры системы защиты, состава и мест размещения объекта и его компонентов. В этом случае нужна повторная аттестация по полной процедуре. Поэтому крупные изменения в защищаемой системе стоит планировать заранее, с учётом будущих аттестационных работ.

От чего зависят сроки и стоимость

Конкретную цену аттестации в нормативных документах не найти, и приказ ФСТЭК России № 77 её не регулирует. Он задаёт порядок и сроки, но не тарифы, поэтому стоимость формируется рынком и зависит от параметров объекта. На практике на цену и длительность работ влияет несколько факторов.

Тип и масштаб объекта. Распределённая информационная система с десятками рабочих мест требует больше испытаний, чем одно защищаемое помещение.
Класс защищённости, уровень защищённости или категория значимости. Чем выше класс, тем строже требования и объём проверок.
Готовность документов. Если модель угроз, проектная документация и организационно-распорядительные документы уже в порядке, работы идут быстрее.
Состояние системы защиты. Применение сертифицированных средств и зрелые процессы защиты сокращают доработки.
Необходимость инструментальных измерений. Оценка защиты помещений от утечки по техническим каналам требует специального оборудования и времени.

Общая закономерность здесь прослеживается довольно простая. Чем лучше владелец подготовил объект и документы до прихода органа по аттестации, тем дешевле и быстрее проходит сама аттестация. Большая часть задержек возникает не на испытаниях, а на этапе устранения недостатков, которых можно было избежать заранее.

Чтобы представлять порядок сумм, можно ориентироваться на предложения коммерческих исполнителей. Аттестация одного автоматизированного рабочего места обходится примерно в 70-100 тысяч рублей, минимальная стоимость работ по объекту начинается от 90-100 тысяч, а аттестация государственной информационной системы стоит от миллиона рублей и выше. Это рыночные ориентиры лицензиатов, государственной пошлины за саму аттестацию нет, а при большом числе рабочих мест цена за одно место заметно снижается.

Ответственность за нарушение требований

Вопрос ответственности возникает у владельцев закономерно. Что будет, если эксплуатировать объект, требующий аттестации, без неё, или нарушить требования по защите информации. Отдельного штрафа именно за отсутствие аттестата в КоАП РФ нет, но эксплуатация объекта с нарушением обязательных требований по защите подпадает под статью 13.12 КоАП РФ «Нарушение правил защиты информации». Среди должностных лиц, которых это касается, может оказаться и директор по информационной безопасности (CISO).

Нарушение требований о защите информации (статья 13.12 КоАП РФ)

Базовый состав для конфиденциальных объектов закреплён в части 6 статьи 13.12 КоАП РФ. Она наказывает за нарушение требований о защите информации, кроме государственной тайны, установленных законами и принятыми в соответствии с ними нормативными актами. Отдельно выделено использование несертифицированных средств защиты там, где сертификация обязательна, по части 2 той же статьи. Нарушение условий лицензии в области защиты информации наказывается по части 1, а нарушения, связанные с государственной тайной, по частям 3, 4 и 7.

Состав (статья 13.12 КоАП РФ)	Граждане	Должностные лица	Юридические лица
Ч. 6. Нарушение требований о защите информации (кроме гостайны)	от 5 000 до 10 000 ₽	от 10 000 до 50 000 ₽	от 50 000 до 100 000 ₽
Ч. 2. Использование несертифицированных средств защиты информации	от 5 000 до 10 000 ₽ с конфискацией	от 10 000 до 50 000 ₽	от 50 000 до 100 000 ₽ с конфискацией
Ч. 1. Нарушение условий лицензии в области защиты информации	от 1 000 до 1 500 ₽	от 1 500 до 2 500 ₽	от 15 000 до 20 000 ₽
Ч. 7. Нарушение требований о защите гостайны	от 10 000 до 20 000 ₽	от 20 000 до 50 000 ₽	от 50 000 до 100 000 ₽

Административные штрафы по статье 13.12 КоАП РФ в редакции, действующей на 2026 год.

Когда подключаются составы по КИИ и предписания

Если объект относится к критической информационной инфраструктуре, добавляются специальные составы. За нарушение требований по обеспечению безопасности значимых объектов КИИ отвечают по статье 13.12.1 КоАП РФ, а в случаях, когда нарушение правил эксплуатации повлекло вред, наступает уголовная ответственность по статье 274.1 Уголовного кодекса РФ. Подробнее об этом мы писали в материале «Безопасность значимых объектов КИИ: требования приказа ФСТЭК № 239». Отдельно стоит помнить, что невыполнение в срок законного предписания ФСТЭК России, выданного по итогам проверки, влечёт ответственность по статье 19.5 КоАП РФ.

Помимо штрафа, есть и более чувствительные последствия. Государственную систему без действующего аттестата по сути нельзя законно ввести в промышленную эксплуатацию, а значит, под вопросом оказывается вся работа на ней. Если же аттестат приостановлен или прекращён, обработку информации на объекте приходится останавливать. Для бизнеса остановка ключевой системы обычно дороже любого административного штрафа.

Частые вопросы об аттестации объектов информатизации

Сколько действует аттестат соответствия

По приказу ФСТЭК России от 29.04.2021 № 77 аттестат выдаётся на весь срок эксплуатации объекта, то есть фактически бессрочно. При этом владелец обязан проводить периодический контроль защищённости и не реже одного раза в два года представлять протоколы контроля в ФСТЭК России, иначе действие аттестата может быть приостановлено.

Нужно ли проходить аттестацию заново каждые несколько лет

Нет, регулярная переаттестация по сроку приказом ФСТЭК России № 77 не предусмотрена. Повторная аттестация нужна только при серьёзной модернизации, которая повышает класс или категорию значимости объекта либо меняет архитектуру системы защиты. При менее значимых изменениях достаточно дополнительных аттестационных испытаний без прекращения действия аттестата.

Обязательна ли аттестация для коммерческой системы персональных данных

Для информационных систем персональных данных, кроме государственных и муниципальных, аттестация обязательной не является. Оценку эффективности принятых мер защиты владелец вправе проводить в иных формах. Но если владелец сам установил требование оценивать систему защиты в форме аттестации, работы проводят по приказу ФСТЭК России № 77.

Можно ли аттестовать систему, размещённую в облаке

Да, и приказ ФСТЭК России № 77 это учитывает. Если информационная система работает на базе центра обработки данных, аттестованного по требованиям защиты информации, сведения об аттестате инфраструктуры и модели предоставляемых услуг указывают в техническом паспорте системы. Это позволяет опереться на аттестацию инфраструктуры провайдера при аттестации самой системы.

Кто имеет право проводить аттестацию

Аттестацию проводит орган по аттестации, то есть организация с лицензией ФСТЭК России на техническую защиту конфиденциальной информации с правом аттестационных работ. Орган власти по решению руководителя может аттестовать собственные объекты силами своего подразделения после информирования ФСТЭК России и при наличии нужных средств контроля, методической базы и подготовленных работников.

Чем аттестация отличается от сертификации

Аттестуют объект информатизации целиком, то есть конкретную систему или помещение в условиях эксплуатации. Сертифицируют отдельное средство защиты информации, подтверждая соответствие самого продукта требованиям по безопасности. При аттестации как раз проверяют, что на объекте применяются сертифицированные средства защиты, если их применение обязательно.

Выводы

Аттестация объектов информатизации представляет собой внешнюю проверку, которая подтверждает, что система защиты построена под реальные угрозы и работает в условиях эксплуатации. Для государственных и муниципальных систем, объектов оборонно-промышленного комплекса и защищаемых помещений она обязательна. Для значимых объектов КИИ, коммерческих систем персональных данных и АСУ ТП аттестация проводится, если владелец выбрал именно эту форму оценки соответствия.

Порядок работ задаёт приказ ФСТЭК России от 29.04.2021 № 77, а требования к защите берутся из профильных приказов под каждый тип системы. Здесь важно держать в голове свежий сдвиг. С 1 марта 2026 года государственные системы аттестуют на соответствие приказу ФСТЭК России № 117, который заменил прежний приказ ФСТЭК России № 17. Аттестат теперь выдаётся на весь срок эксплуатации объекта, но эта бессрочность держится на периодическом контроле и протоколах, которые представляют в ФСТЭК России не реже одного раза в два года.

Тем, кто планирует аттестацию, разумно начинать с подготовки. Привести в порядок модель угроз, проектную и эксплуатационную документацию, убедиться в применении сертифицированных средств защиты, которые удобно подбирать в каталоге продуктов CISOCLUB, и выбрать орган по аттестации с действующей лицензией ФСТЭК России. Чем лучше объект готов до прихода экспертов, тем быстрее, дешевле и спокойнее проходит сама процедура, а аттестат соответствия становится не разовой формальностью, а отражением реально выстроенной защиты.

Автор: Игорь

Представитель редакции CISOCLUB. Пишу статьи по ИБ, ИТ.

Комментарии: