Аттестация КИИ (критической информационной инфраструктуры)

Что такое аттестация КИИ

Процедура представляет собой комплексную систему мероприятий по оценке защищенности стратегически важных активов страны. Она включает многоуровневую проверку технических средств защиты, анализ организационных мер безопасности, оценку соответствия требованиям регулирующих органов.

Конечной целью аттестации КИИ является обеспечение устойчивого функционирования объектов критической информационной инфраструктуры государства, защита от кибератак, предотвращение потенциальных угроз национальной безопасности.

Законодательные требования

При аттестации субъекты критической информационной инфраструктуры должны учитывать требования следующих нормативных документов:

• Федеральный закон №187-ФЗ от 26 июля 2017 года - основной документ, определяющий принципы обеспечения безопасности КИИ.
• Приказ ФСТЭК России №239 от 25 декабря 2017 года (Приказ 239) - устанавливает требования к безопасности значимых объектов критической информационной инфраструктуры и к оценке защищенности этих объектов. Требования могут применяться для защиты незначимых объектов КИИ по решению владельца.
• Приказ ФСТЭК России №77 от 10 августа 2021 (Приказ 77) детально регламентирует процедуру аттестации объектов информатизации.
• Приказ ФСТЭК России №17 от 11 февраля 2013 (Приказ 17) используется в случае, если объект критической информационной инфраструктуры одновременно является государственной ИС (ГИС).

Объекты, подлежащие аттестации

В существующей нормативно-правовой базе в части необходимости проведения аттестации критической информационной инфраструктуры есть противоречия. В законе 187-ФЗ отсутствуют чёткие формулировки об обязательности аттестации объектов КИИ.

Более детальное разъяснение представлено в Приказе 239. Согласно документу, обязательная аттестация предусмотрена для объектов КИИ, относящихся к ГИС. В этом случае оценка защищенности КИИ должна проводиться в соответствии с требованиями Приказа 17.

Для остальных категорий объектов критической информационной инфраструктуры вопрос аттестации остается на усмотрение владельца КИИ. Это создает определенную гибкость, но одновременно может привести к различным подходам в обеспечении безопасности КИИ.

Порядок аттестации

Проведение аттестационных мероприятий регулируется государством. Процедура основана на Приказе 77, который устанавливает методологию проверки систем безопасности критической информационной инфраструктуры, описывает технические аспекты проверки, регламентирует документальное оформление всех этапов процедуры.

Орган аттестации

Успех процедуры аттестации во многом зависит от профессионализма привлеченных специалистов. Право на проведение процедуры имеют организации, получившие лицензию ФСТЭК России по технической защите конфиденциальной информации. Это требование закреплено в Приказе 77. Наша компания обладает всеми необходимыми лицензиями и компетенциями для выполнения аттестационных работ на объектах КИИ.

Этапы

Структура аттестации критической информационной инфраструктуры включает несколько последовательных стадий:

Подготовка

Сначала необходимо подготовить всю техническую документацию и определить состав экспертной комиссии. Организация, являющаяся собственником объекта критической информационной инфраструктуры, должна предоставить комиссии стандартный пакет документов, перечисленный в Приказе 77. Для объекта КИИ дополнительно понадобится акт категорирования значимого объекта.

Предварительный анализ данных

Специалисты изучают техническую документацию, проводят сверку описанных в ней параметров с реальными условиями функционирования ИС.

Аудит системы

Включает анализ архитектуры, изучение применяемых технологий, оценку механизмов защиты, проверку настроек и конфигурации на соответствие требованиям ИБ.

Планирование

После первичного анализа системы разрабатывается программа и методика испытаний, учитывающая специфику конкретного объекта критической информационной инфраструктуры. В ней определяются методы тестирования, временные рамки, необходимые ресурсы, ответственные лица.

Проведение испытаний

Моделируются различные сценарии атак, проверяется устойчивость системы к внешним и внутренним угрозам.

Отчетность

По результатам проверок формируется развернутый аналитический отчет, содержащий детальное описание выявленных недостатков, оценку рисков, рекомендации по усилению защиты.

Выдача аттестата соответствия

На этом этапе принимается решения о выдаче аттестата с учетом результатов проведенного исследования. В случае положительного решения объект критической информационной инфраструктуры получает официальное подтверждение соответствия требованиям ИБ.

Итоги

Согласно Приказу 239 только после получения аттестата соответствия организация может официально вводить объект критической информационной инфраструктуры эксплуатацию и использовать его для обработки защищаемой информации. Владелец должен обеспечить безопасность КИИ: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

Аттестат выдается на весь срок эксплуатации при сохранении неизменности условий эксплуатации, технологического процесса обработки данных и системы защиты информации. Обязательным условием эксплуатации КИИ является периодическое подтверждение действия аттестата:

• В соответствии с 77-м Приказом проверки КИИ следует выполнять каждые два года, направляя результаты в виде протоколов во ФСТЭК.
• При совмещении статусов КИИ и ГИС периодичность проверок регламентируется 17-м Приказом, где ИС первого класса должны проверяться ежегодно, а второго и третьего классов – раз в два года.
• Модернизация объекта КИИ, влекущая за собой повышение категории значимости, уровня защищенности или модификацию архитектуры системы ИБ, требует обязательного проведения новой аттестации.

Преимущества обращения в УЦ ПРОФИ

Защита критической информационной инфраструктуры - комплексная задача, требующая профессионального подхода и глубокой экспертизы. Наша организация является экспертом в сфере информационной безопасности, подтвержденный лицензиями ФСТЭК и ФСБ России.

Мы берем на себя полное сопровождение процесса аттестации КИИ. Это включает подготовку всей необходимой документации, проведение специальных исследований, внедрение технических средств защиты, обучение персонала.

Результатом нашей работы будет работающий объект критической информационной инфраструктуры с официальным аттестатом соответствия.