Аттестация автоматизированных рабочих мест (АРМ)

Что такое АРМ

Это комплекс программно-аппаратных средств, предназначенный для работы специалистов в различных сферах. Включает в себя выделенный компьютер с установленным программным обеспечением, средствами защиты, периферийными устройствами, обеспечивающими выполнение профессиональных задач.

АРМы могут быть адаптированы под нужды конкретных пользователей или отраслей, работать автономно или в составе локальной сети.

Зачем проводить аттестацию АРМ

Аттестация соответствия требованиям информационной безопасности позволяет выявлять и устранять уязвимости в системе защиты информации рабочего места, а также оценивать соответствие оборудования и программного обеспечения установленным стандартам и требованиям.

Как правило, АРМ не относится к объектам защиты, для которых аттестация является обязательной. Владелец рабочего места может проводить ее для определения соответствия технических и программных средств установленным требованиям безопасности.

Нормативные документы

Меры по информационной безопасности АРМ зависят от характера обрабатываемой информации и функциональных возможностей рабочего места. Имеется целый ряд требований ФСТЭК, которые устанавливают стандарты обеспечение безопасности информации для разных типов АРМ:

• АРМ, участвующие в работе с персональными данными - Федеральный закон от 27.06.2006 152-ФЗ «О персональных данных», приказ ФСТЭК России от 11 февраля 2013 г. №21.
• Государственные информационные системы - приказ ФСТЭК России от 11 февраля 2013 г. №17.
• АСУ ТП на критически важных и опасных объектах, Приказ ФСТЭК России от 14 марта 2014 года № 31.

Независимо от типа рабочего места, нормативным документом, регулирующим процедурные основы и требования к его аттестации, является Приказ ФСТЭК от 29 апреля 2021 г. № 77 (Приказ 77).

Что подлежит аттестации

Аттестации подлежат следующие АРМ:

• обрабатывающие персональные данные;
• обрабатывающие документы для служебного пользования (ДСП);
• подключаемые к государственной информационной системе (ГИС).

Порядок аттестации

Процедура регулируется Приказом 77, устанавливающим требования к процессу, в том числе кем и в каком порядке проводится аттестация.

Орган аттестации

Аттестация АРМ требует профессионального подхода. Компания УЦ ПРОФИ обладает необходимыми разрешительными документами и имеет действующие лицензии ФСБ и ФСТЭК России, позволяющие осуществлять работы в сфере технической защиты конфиденциальных данных. Это дает нашим специалистам полное право на проведение аттестационных мероприятий и испытаний в области информационной безопасности.

Этапы аттестации

Аттестация АРМ выполняется в последовательности, соответствующей любой информационной системы:

Изучение документов.

Наши специалисты анализируют или составляют, в случае отсутствия, комплексный пакет документации, владельца АРМ. В состав пакета входят технический паспорт, модель угроз, комплект проектных материалов, а также документация по системе информационной защиты рабочего места.

Планирование.

Затем мы разрабатываем Программу и методику аттестационных испытаний. Это основной документ всей последующей работы. Он требует обязательного согласования с заказчиком для максимальной эффективности процесса.

Испытания.

Осуществляется комплексная проверка защищенности рабочего места. Специалисты проводят многоуровневое тестирование, включающее анализ технических каналов утечки данных, оценку эффективности систем контроля доступа и проверку соответствия всех компонентов АРМ установленным нормативам информационной безопасности. Особое внимание уделяется защите от несанкционированного доступа и устойчивости к различным видам киберугроз.

Отчетность.

На этом этапе создается комплект документов, включающий протоколы испытаний, экспертные заключения и рекомендации по улучшению системы защиты рабочего места (при их наличии). Каждый аспект безопасности тщательно документируется с указанием методов проверки и полученных результатов.

Выдача аттестата соответствия.

При условии успешного прохождения всех проверок и подтверждения полного соответствия ИС требованиям информационной безопасности АРМ получает аттестат соответствия. Аттестат является официальным подтверждением того, что объект информатизации обеспечивает надежную защиту данных и соответствует всем необходимым стандартам безопасности.

После аттестации

На АРМ выдается бессрочный аттестат, но после его получения требуется регулярный мониторинг рабочего места для поддержания заданного уровня защищенности информации и своевременного реагирования на новые угрозы.

Собственник АРМ должен периодически проводить контрольные мероприятия по проверке работоспособности и актуальности механизмов защиты

Особое внимание уделяется рабочим местам, подлежащим обязательной аттестации. В этом случае детальные протоколы проверок о текущем уровне защиты информации направляются во ФСТЭК России с периодичностью не реже одного раза в 24 месяца.

Преимущества обращения в УЦ ПРОФИ

Специалисты нашей организации обеспечат проведение диагностики, анализ и разработку всех необходимых мероприятий для успешного прохождения АРМ в различных сферах использования.

Деятельность УЦ ПРОФИ в сфере информационной безопасности лицензирована ФСБ и ФСТЭК России, что гарантирует эффективное решение ваших задач в сфере защиты информации.