Добавить компанию
Получить консультацию рейтинг
  1. ТРТС24
  2. Статьи
  3. Оформление документов
  4. Аттестация автоматизированных рабочих мест
Аттестация автоматизированных рабочих мест фото
Проголосовано: 1
Прочитали: 7

Аттестация автоматизированных рабочих мест

Аттестация автоматизированных рабочих мест по требованиям ФСТЭК и ФСБ. Подготовка документов, проверка безопасности информации и официальное подтверждение соответствия.

Информационная безопасность — приоритет для организаций, работающих с персональными, конфиденциальными данными. Автоматизированное рабочее место (АРМ), как элемент информационной системы, требует подтверждения своей готовности к безопасной эксплуатации. Аттестация АРМ — это процедура, направленная на удостоверение соответствия технических, организационных параметров установленным нормам.

Что представляет собой аттестация автоматизированного рабочего места

Аттестация автоматизированных рабочих мест (АРМ) — это комплекс технических, организационных мероприятий, направленных на проверку соответствия информационной системы требованиям безопасности информации. Под АРМ понимается оборудованное место, на котором выполняется обработка сведений с использованием вычислительной техники, программных средств.

Процедура обязательна при наличии в системе конфиденциальных материалов, ограниченного доступа или персональных данных. Оформление аттестата подтверждает, что объект соответствует установленным стандартам, а условия его эксплуатации обеспечивают устойчивую защиту информации.

Если ваша организация обрабатывает персональные или конфиденциальные данные, обязательно пройдите аттестацию АРМ. Обратитесь к нашим экспертам — поможем обеспечить соответствие требованиям безопасности информации и оформить документы под ключ.

Основания для проведения оценки соответствия

Аттестация АРМ по требованиям безопасности информации требуется в следующих случаях:

  • обработка данных ограниченного распространения на технических средствах;
  • взаимодействие с персональной, коммерческой или служебной информацией;
  • получение либо продление лицензии на деятельность, связанную с криптографической защитой;
  • доступ к изолированным сегментам информационных систем с установленными мерами безопасности.

Аттестат необходим при работе в сферах, поднадзорных Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК). Без него использование автоматизированного рабочего места в указанных условиях считается нарушением установленного порядка.

Нормативные источники и регулирующие акты

Процедура аттестации регламентируется несколькими ключевыми документами:

  • Приказ ФСТЭК России №77 от 29.04.2021 — содержит требования к порядку оценки соответствия объектов информатизации;
  • Положение от 25.11.1994 — описывает общую структуру работы по подтверждению соответствия рабочих мест;
  • ГОСТ РО 0043-003-2012 — устанавливает технические критерии, организационные принципы;
  • Постановление Правительства №79 от 03.02.2012 — определяет лицензионные условия для организаций, работающих с защищаемой информацией.

Все документы обязательны к применению при оценке соответствия автоматизированного места требованиям безопасности, независимо от ведомственной принадлежности объекта.

АРМ при работе с данными ограниченного распространения

Если автоматизированное рабочее место используется для обработки сведений, отнесённых к категории «для служебного пользования» (ДСП) либо иной конфиденциальной информации, применяются усиленные требования.

Возможны два сценария:

  • при работе с тонким клиентом, который не хранит данные локально, допускается использование общего аттестата на защищённый сегмент;
  • если происходит выгрузка или локальная запись информации, каждый АРМ рассматривается как самостоятельный объект, требует отдельного подтверждения соответствия.

В подобных случаях процедура включает дополнительные этапы анализа, связанные с проверкой каналов утечки, устойчивости к воздействиям, оценкой организационных мер.

Категории автоматизированных рабочих мест, подлежащих аттестации

Подлежат проверке:

  • рабочие станции, обрабатывающие персональные данные;
  • узлы, обеспечивающие доступ к криптографическим модулям;
  • терминалы в государственных, ведомственных сетях;
  • объекты, взаимодействующие с информацией, подлежащей защите на законодательном уровне.

Исключение составляют места, выполняющие функцию интерфейсного доступа к внешним системам без хранения сведений локально. Однако при любом изменении условий, архитектуры или уровня угроз, необходимость аттестации пересматривается.

Порядок аттестации АРМ

Аттестация автоматизированных рабочих мест проходит поэтапно. Каждый шаг направлен на выявление рисков, подтверждение соответствия технической среды установленным требованиям. Стандартная последовательность:

  1. Первичный анализ объекта. Определяется состав автоматизированной системы, категория обрабатываемых сведений, особенности архитектуры, программно-аппаратные средства, наличие уязвимостей.
  2. Формирование методик проверки. Специалисты разрабатывают программу испытаний. Учитываются характеристики используемого оборудования, модели угроз, меры противодействия возможным инцидентам.
  3. Оценка защищённости компонентов. Проводится аудит межсетевых экранов, систем разграничения доступа, антивирусных решений, криптографических средств. Тестируются возможные каналы утечки.
  4. Проверка организационных мер. Анализируются документы: положения по защите сведений, внутренние регламенты, приказы о назначении ответственных, акты инструктажа.
  5. Оформление результатов. По итогам составляется экспертное заключение. При положительной оценке выдается аттестат соответствия. Устанавливается срок его действия, фиксируются условия его продления.
  6. Регистрация документа. Заключение вносится в реестр. Присваивается номер, указывается организация, проводившая проверку, сроки действия, список проверенных элементов.

Повторная проверка требуется в случае замены оборудования, обновления программного обеспечения, изменения условий эксплуатации либо истечения срока действия документа.

Подготовка к аттестации: что нужно заранее

Перед началом работ необходимо собрать пакет документов и провести внутреннюю подготовку:

  • перечень эксплуатируемого оборудования с техническими характеристиками;
  • проектные схемы подключения, топология сети;
  • регламенты внутреннего контроля, приказы, инструкции;
  • данные о специалистах, ответственных за техническую, организационную защиту;
  • сведения о программных средствах, версиях, лицензиях;
  • описание помещений, где размещаются автоматизированные комплексы;
  • документы на технические средства защиты (сертификаты, лицензии);
  • при необходимости — результаты предыдущих проверок или аудитов.

Подготовленный комплект проверяется на соответствие требованиям регуляторов. Наличие неточностей или неполноты может привести к задержке процедуры или отказу в выдаче заключения.

Условия соответствия требованиям, уровень защищенности

Для успешного прохождения процедуры необходимо выполнение комплекса условий. Они касаются как технической части, так и организационной структуры предприятия.

Минимальный перечень обязательных требований:

  • наличие системы контроля доступа;
  • разграничение прав пользователей;
  • использование средств антивирусной защиты;
  • функционирование межсетевых экранов;
  • шифрование каналов передачи чувствительных данных;
  • регистрация событий информационной безопасности;
  • регулярное резервное копирование;
  • физическая охрана помещений, где установлены средства обработки сведений.

Также потребуется формализовать процедуры реагирования на инциденты, порядок проверки журналов регистрации, правила хранения и уничтожения информации. Организация должна документально подтвердить устойчивость своей ИТ-среды к внутренним и внешним угрозам.

Работа с данными ограниченного распространения

Если автоматизированное рабочее место используется для работы с конфиденциальными сведениями или документами, отнесёнными к категории «Для служебного пользования», применяются усиленные меры контроля.

Дополнительные условия:

  • обязательное экранирование помещений;
  • установка технических средств контроля утечек;
  • разработка модели угроз для данного АРМ;
  • ограничения по подключению внешних устройств;
  • запрет на использование несертифицированного оборудования;
  • контроль всех внешних соединений, интерфейсов.

Для подтверждения соответствия применяются специализированные методы испытаний. В рамках оценки изучаются не только средства защиты, но и условия эксплуатации. При отклонении от требований аттестат не выдается.

Если автоматизированное место работает в режиме "тонкого клиента", не хранит, не обрабатывает сведения локально, может быть использована модель распространения действующего аттестата на соответствующий сегмент. Однако необходимо соблюдение всех условий, отсутствие нарушений регламентов.

Проведение технической экспертизы

Аттестацию вправе проводить только аккредитованная организация, обладающая лицензией ФСТЭК, ФСБ. Проверка осуществляется на основании официального договора. Все этапы фиксируются в рабочей документации.

Процедура включает:

  • подготовку методических материалов;
  • согласование перечня проверок;
  • испытания программного, аппаратного обеспечения;
  • оценку организационной модели защиты;
  • моделирование потенциальных инцидентов;
  • оформление заключения, регистрация результатов.

Срок действия аттестата — до 3 лет. По завершении периода необходимо инициировать новую проверку.

Пакет документов для аттестации автоматизированных рабочих мест

Для проведения процедуры оценки соответствия необходимо подготовить полный комплект документации, подтверждающий технические, организационные, правовые основания эксплуатации информационной системы.

Обязательные материалы:

  • проектные схемы, планы построения автоматизированной среды;
  • перечень оборудования, используемого в рамках объекта;
  • характеристики вычислительных систем, средств обработки, хранения данных;
  • эксплуатационная, техническая документация на оборудование;
  • сведения об используемом программном обеспечении;
  • описание архитектуры локальной вычислительной сети (ЛВС);
  • схемы подключения, взаимодействия компонентов;
  • штатное расписание сотрудников, задействованных в эксплуатации АРМ;
  • документы, регламентирующие политику информационной безопасности (приказы, положения, инструкции);
  • модель угроз, сценарии реагирования;
  • акты по результатам предварительных проверок;
  • лицензии на используемые средства защиты информации;
  • журналы инструктажей, обучения персонала;
  • протоколы предыдущих аудитов, если проводились ранее;
  • подтверждение на право пользования помещением (аренда или собственность);
  • акты о вводе оборудования в эксплуатацию.

Документы должны быть актуальны, оформлены по утвержденным шаблонам, заверены ответственными лицами. При отсутствии критически важных позиций или при наличии расхождений с требованиями ФСТЭК, ФСБ возможно приостановление процедуры до устранения недочетов.

Для крупных организаций с распределенной структурой или смешанным типом рабочих мест может потребоваться подготовка индивидуального пакета документов по каждому участку проверки. В ряде случаев дополнительно предоставляются сведения о смежных процессах: пожарной безопасности, электропитании, доступе в помещения, техническом обслуживании ИТ-инфраструктуры.

Разделы:
Нотификация
Лицензирование
Обучение и аттестация специалистов

(1) Нравится!
Прочитали: 7
Преимущества компании
Не пытаемся продать лишнее. Оформляем только те документы, которые запрашивает Роспотребнадзор
Все документы разрабатываются на бланках гос.образца по требованиям Таможенного союза и РФ
Документы регистрируются в реестре ФСА
Забота о клиентах. Осуществляем клиентскую поддержку после оформления документов
Предоставляем персональные консультации с экспертом
Запрос
Вы оставляете запрос на сайте
Консультация
Мы бесплатно консультируем
Выполнение
Вы предоставляете необходимые документы
Результат
Мы помогаем решить Вашу проблему

Комментарии

Оставьте Ваш комментарий

Введите только цифры. Пример: 8 800 000 00 00

Введите E-mail, чтобы получить извещение, когда на Ваш комментарий ответят.


Рассчитать стоимость документа

Тутасова Елена
Тутасова Елена

Ведущий специалист

Написано 6 статей

г. Новосибирск

Компания: Гортест Сибирь

Телефон: +7 (383) 235-90-30

Я согласен на обработку персональных данных

Отзывы о нас

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

ООО «Новосибирский механический завод» обратился в нашу компанию для оформления документа, подтверждающего качество продукции. В ходе работы было принято решение о получении Добровольного сертификата ГОСТ Р. Мы учли пожелания клиента в качестве и скорости выполнения работ. Благодарим Новосибирский Механический Завод за тёплые слова нашему коллективу

Новости

Читать все

Новые статьи

Читать все