Главная / Кибербезопасность и Digital Reputation

Оценка соответствия требованиям по защите информации: аттестация и приемка

Услуги по оценке соответствия систем защиты информации требованиям ФСТЭК. Аттестация ГИС и ИСПДн, приемка значимых объектов КИИ. Проведение испытаний, поиск уязвимостей, выдача Аттестата соответствия. Помощь лицензиатов.
Консультация юриста Примеры из практики

Создание системы защиты информации (СЗИ) — это лишь половина пути. Чтобы система считалась легитимной, она должна пройти процедуру проверки эффективности. Оценка соответствия требованиям по защите информации — это обязательный этап жизненного цикла любой защищенной системы, будь то Государственная информационная система (ГИС), Информационная система персональных данных (ИСПДн) или Значимый объект КИИ. Без положительного заключения по результатам оценки эксплуатация системы является нарушением закона.

Оценка соответствия может проводиться в разных формах: обязательная аттестация, испытания (приемка) или декларирование. Выбор формы зависит от класса системы и нормативных требований (Приказ ФСТЭК № 17, № 21 или № 239). Главная цель процедуры — подтвердить, что внедренные меры защиты реально работают, перекрывают актуальные угрозы и соответствуют техническому заданию. Для госорганов аттестация обязательна, для коммерческих компаний — зависит от статуса системы.

Формы оценки соответствия

В зависимости от типа объекта выбирается правильная процедура.

1. Аттестация (Аттестат соответствия)

Самая строгая форма. Обязательна для ГИС и систем, обрабатывающих гостайну. Для ИСПДн и КИИ — добровольная (но рекомендуемая).
Проводится только организацией-лицензиатом ФСТЭК (органом по аттестации).
Включает:

  • Анализ технической документации.
  • Инструментальное обследование (поиск уязвимостей, попытки взлома).
  • Выдачу Аттестата соответствия на срок 3-5 лет (или на срок службы системы).

2. Приемка (Испытания)

Основная форма для Значимых объектов КИИ (согласно Приказу № 239).
Может проводиться субъектом самостоятельно или с привлечением подрядчика.
Этапы:

  • Разработка Программы и методик испытаний (ПМИ).
  • Проверка настроек СЗИ и организационных мер.
  • Оформление Акта приемки системы защиты в эксплуатацию.
VFS Consulting Юридические решения нового поколения
Оценка соответствия требованиям по защите информации: аттестация и приемка
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    3. Декларирование

    Редкая форма, применяется для некоторых типов продукции и систем, где ответственность берет на себя производитель/владелец.

    Этапы работ по оценке соответствия

    Независимо от формы, процесс включает:

    1. Аудит документов. Проверка наличия Модели угроз, Технического паспорта, Инструкций и Регламентов.
    2. Проверка средств защиты. Установлены ли сертифицированные СЗИ? Правильно ли они настроены? Обновлены ли базы сигнатур?
    3. Поиск уязвимостей. Сканирование портов, анализ веб-приложений, тестирование на проникновение (PenTest).
    4. Заключение. Выдача итогового документа (Аттестата или Акта), разрешающего обработку информации.

    Зачем это бизнесу?

    Оценка соответствия требованиям по защите информации решает несколько задач:

    • Легализация. Без оценки систему нельзя вводить в эксплуатацию. Использование неаттестованной ГИС — прямое нарушение закона.
    • Снятие ответственности. Наличие действующего Аттестата является доказательством того, что оператор принял все необходимые меры защиты. В случае утечки данных это ключевой аргумент для снижения или отмены штрафа.
    • Требование партнеров. Банки, госкомпании и крупные заказчики требуют от подрядчиков подтверждения защищенности их систем.

    Мы выступаем в роли консультантов и организаторов процесса, привлекая проверенных лицензиатов ФСТЭК для проведения аттестации и обеспечивая успешное прохождение испытаний с первого раза.

    Получить консультацию

    Другие услуги в направлении кибербезопасность и digital reputation

    Импортозамещение в КИИ: юридическое сопровождение перехода
    Защита деловой репутации в интернете: суды и удаление клеветы
    Право на забвение Яндекс: очистка поисковой выдачи
    Лингвистическая экспертиза отзыва: факт или мнение?
    Защита от промышленного шпионажа: правовые и технические меры
    Право на забвение Google: как удалить ссылки из поиска в 2026
    Значимые объекты КИИ требования: защита по Приказу № 239

    Кейсы из практики

    cs

    Аттестация ГИС регионального масштаба

    Разработчик государственной информационной системы (ГИС) для транспортного департамента не мог сдать проект из-за отсутствия Аттестата соответствия. Мы провели полный цикл работ по оценке соответствия: аудит документации, инструментальное сканирование уязвимостей, проверку настроек СЗИ. Были устранены критические уязвимости и оформлен Аттестат по требованиям 17 Приказа ФСТЭК, что позволило ввести систему в промышленную эксплуатацию.

    Результат

    Аттестат получен, акт приемки работ подписан заказчиком, оплата получена.

    cs

    Приемка подсистемы безопасности значимого объекта КИИ

    Промышленное предприятие завершило модернизацию АСУ ТП. Требовалось провести оценку соответствия в форме приемки (согласно Приказу № 239). Мы разработали Программу и методики испытаний, провели проверку внедренных организационных и технических мер. По итогам испытаний был составлен Акт приемки и Протоколы, подтверждающие выполнение требований по 2 категории значимости.

    Результат

    Система введена в действие легально, готовность к проверке ФСТЭК обеспечена.

    Часто задаваемые вопросы

    Ответы на вопросы о подтверждении защищенности.

    Обязательна ли аттестация для коммерческой компании (ИСПДн)?
    По закону (Приказ ФСТЭК № 21) для коммерческих ИСПДн обязательна «оценка эффективности принятых мер». Она может проводиться в форме самостоятельных испытаний или добровольной аттестации. Аттестация надежнее, так как выдается независимым лицензиатом и служит «броней» при проверках.
    Сколько действует Аттестат соответствия?
    Обычно Аттестат выдается на срок 3 года или на весь срок службы системы (если технология не меняется). Однако при существенных изменениях в системе (смена оборудования, ПО, архитектуры) требуется переаттестация или проведение дополнительных испытаний.
    Нужна ли лицензия ФСТЭК для проведения приемки своими силами?
    Если организация проводит приемку (оценку соответствия) собственной системы для собственных нужд, лицензия на ТЗКИ не требуется. Но если вы привлекаете стороннюю компанию для этих работ, она обязана иметь лицензию ФСТЭК.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности