Аттестация персональных компьютеров (ПК)

В каких случаях требуется аттестация компьютеров

Аттестация компьютеров обязательна для:

• ПК сотрудников, на которых ведётся работа с данными ограниченного доступа (ДСП);
• компьютеров, используемых для обработки персональных данных (ПДн);
• компьютеров, являющихся частью объектов информатизации защищаемой информационной системы (ГИС, МИС, АСУТП);
• ПК, взаимодействующих с государственными информационными ресурсами.

Законодательные требования

Комплекс защитных мер для компьютера определяется набором его возможностей и типом обрабатываемых данных. Основной документ, определяющий порядок аттестации всех типов компьютеров - Приказ ФСТЭК от 29 апреля 2021 г. № 77 (Приказ 77).

Другие важные документы:

• Федеральный закон от 27.06.2006 152-ФЗ «О персональных данных» - для информационных систем ПДн; 
• Приказы ФСТЭК России:
  • от 11 февраля 2013 г. №21 – определяет меры безопасности ПДн;
  • от 11 апреля 2025 г. - № 117 для государственных информационных систем (вступил в силу с 1 марта 2026 года);
  • от 14 марта 2014 г. № 31 - для АСУ ТП.

Порядок аттестации

Работы проводит орган по аттестации - организация, имеющая соответствующую лицензию ФСТЭК России. Собственник информационной инфраструктуры обращается с запросом и передаёт органу аттестации необходимую документацию.

Этапы аттестации

1. Подготовительный этап. Осуществляется всестороннее обследование ПК, формируется пакет необходимых документов (технический паспорт, акт классификации компьютера, модель потенциальных угроз и прочее).
2. Техническая реализация. На ПК устанавливаются либо модернизируются существующие программно-технические средства защиты. Проводится конфигурирование рабочего пространств, разграничение полномочий сотрудников, выстраивание системы контроля и фиксации активности пользователей в журналах событий.
3. Формирование программы и методик испытаний. Определяется перечень конкретных мероприятий и диагностических процедур, которые будут проводиться на ПК при аттестации
4. Экспертное обследование. Проводится изучение и анализ объекта информатизации на месте его установки.
5. Аттестационные испытания, включающие:
   • анализ корректности и полноты технической документации на ПК (паспорт системы, акты категорирования и классификации и т.д.);
   • определение уровня подготовки сотрудников, ответственных за безопасность информации;
   • проверку соответствия организационных мероприятий требованиям информационной безопасности;
   • анализ применяемых технических средств для предотвращения несанкционированного доступа к информации на ПК;
   • проверку функциональных возможностей средств защиты информации, выявление уязвимостей в инфраструктуре ПК, а также практические попытки преодоления реализованных механизмов защиты;
   • проверку мер по предотвращению утечки информации по техническим каналам.
6. Формирование пакета документов. Оформляются акты проведённых испытаний, итоговое экспертное заключение, а в случае успешного подтверждения соответствия компьютера установленным нормативам - свидетельство об аттестации ПК.
7. Сопровождение и актуализация защитных мер. Включает постоянное наблюдение за работой средств защиты. В случае модернизации технических или программных компонентов ПК проводятся новые испытания.

Особенности аттестации персональных компьютеров

Аттестация ПК - комплексная процедура. При ее проведении принимаются во внимание реальные условия эксплуатации устройства. Это требует постоянного мониторинга любых изменений в конфигурации ПК, поскольку они влияют на потенциальные угрозы и уязвимости.

Стационарные ПК

При аттестации персональных компьютеров уделяется внимание физической защите оборудования. Необходимо обеспечить надёжную блокировку USB-портов во избежание несанкционированного подключения внешних накопителей, а также для предотвращения аппаратных атак предусмотреть защиту корпуса системного блока ПК от несанкционированного вскрытия.

Портативные устройства

При аттестации этих устройств, в частности ноутбуков, основным становится сценарий выноса устройства за пределы охраняемого периметра организации. Если вынос устройства разрешён, необходимо, чтобы меры защиты данных оставались рабочими и не подвергались компрометации. Например, работало шифрование данных, осуществлялся контроль доступа, запускался антивирус.

При аттестации ноутбука сведения о запретах, ограничениях или разрешении смены местоположения должны быть отражены в аттестационной документации.

Правила перемещения техники за пределы рабочего пространства, её эксплуатации в удалённом режиме, обязательные условия сохранности сведений при транспортировке портативного компьютера включают во внутренние документы компании - регламенты по защите данных, трудовые соглашения, локальные инструкции.

Подключения оборудования к аттестованному ПК

Подключение незарегистрированных МФУ, принтеров или других периферийных устройств квалифицируется как изменение конфигурации программных, технических средств и средств защиты информации. Поэтому необходимо оценить, насколько эти изменения влияют на безопасность. Согласно Приказу 77:

• Если изменения не требуют повышения класса защищённости, проводятся дополнительные испытания для подтверждения уровня защиты. При этом действие аттестата соответствия не прекращается.
• Если подключение ПК приводит к необходимости повышения уровня защищённости, потребуется повторная аттестация.

Результаты

После того, как компьютер успешно проходит все необходимые испытания, он получает аттестат соответствия требованиям защиты информации. Этот документ служит гарантией того, что ПК в полной мере отвечает установленным стандартам безопасности объектов информатизации (ОИ) и автоматизированных рабочих мест (АРМ), что может обеспечить надёжную защиту данных и является основанием запуска в промышленную эксплуатацию.

Аттестат является бессрочным. Однако организация обязана регулярно проверять актуальность защитных мер на аттестованном ПК. Сведения о текущем состоянии информационной безопасности передаются во ФСТЭК России раз в два года.

Преимущества обращения в УЦ ПРОФИ

В рамках независимой проверки наши специалисты изучат инфраструктуру вашей организации, определят слабые места в системе защиты, предложат эффективные способы их устранения. Комплексный анализ состояния информационной безопасности позволит привести систему защиты данных ПК в соответствие с требованиями регуляторов и оптимизировать расходы на её поддержание.

Аттестация объектов информатизации и обеспечение информационной безопасности – основные ключевые направления деятельности нашей компании. Мы имеем действующие лицензии ФСТЭК и ФСБ России и можем выполнить полный цикл работ, в том числе по аттестации компьютеров для работы с ДСП.

Благодаря партнёрству с российскими производителями мы подберем отечественные средства защиты информации, которые обеспечат максимальную безопасность ваших компьютеров.