Приказ № 77
Приказ ФСТЭК России № 77 от 29 апреля 2021 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
Последние изменения
с 1 августа 2023
Описание приказа ФСТЭК № 77
Кого касается
Порядок распространяется на аттестацию на соответствие требованиям по защите информации следующих объектов информатизации:
- государственные и муниципальные информационные системы (в том числе государственных, муниципальных информационных систем персональных данных);
- информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
- помещения, предназначенные для ведения конфиденциальных переговоров;
- значимые объекты КИИ, информационные системы персональных данных, автоматизированные системы управления производственными и технологическими процессами на критически важных объектах — при решении проведения аттестации на этих объектах.
Самое главное
Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.
Сокращения и определения
Объект информатизации (ОИ) — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (здания, сооружения, технические средства), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
Краткое изложение
Приказ N 77 определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.
Основные положения
Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационные испытания), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Для проведения аттестационных испытаний привлекается специализированная организация, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России.
Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия, состоящая минимум из трех человек, в состав которой не должны входить эксперты, участвовавшие в разработке и внедрении системы защиты информации объекта информатизации.
Срок проведения работ по аттестации ОИ не может превышать четырех месяцев.
Эксперты органа по аттестации проводят анализ документов, которые должен предоставить владелец объекта информатизации, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.
Необходимые документы для предоставления органу по аттестации:
- технический паспорт на объект информатизации;
- акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;
- модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
- техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта;
- проектная документация на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания ОИ);
- эксплуатационная документация на систему защиты информации объекта информатизации и применяемые средства защиты информации;
- организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее — «документы по защите информации владельца объекта информатизации»);
- документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.
Указанные выше документы (их копии) по решению владельца объекта информатизации могут быть представлены в орган по аттестации в виде электронных документов.
На основе анализа документов и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.
Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:
а) общие положения;
б) программа аттестационных испытаний объекта информатизации;
в) методики аттестационных испытаний объекта информатизации.
Программа и методики аттестационных испытаний согласовываются с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.
Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу ОИ.
После подписания аттестата соответствия орган по аттестации в течение 5 рабочих дней представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
- аттестат соответствия объекта информатизации;
- технический паспорт на объект информатизации;
- акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта;
- программы и методики аттестационных испытаний объекта информатизации;
- заключение и протоколы.
Копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.
ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней вносит сведения об аттестованном ОИ в реестр аттестованных объектов информатизации, ведение которого осуществляется ФСТЭК России.
ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений в реестр проводит экспертно-документальную оценку документов, представленных органом по аттестации.
Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.
Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Владелец ОИ должен не реже одного раза в 2 года предоставлять протоколы контроля защиты информации на аттестованном ОИ в ФСТЭК России (территориальный орган ФСТЭК России).
Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия.
Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, предоставляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие: наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.