Аттестация информационных систем — обязательная процедура для государственных органов, эксплуатирующих ГИС, и субъектов КИИ со значимыми объектами первой категории. Без действующего аттестата соответствия эксплуатация системы — нарушение требований ФСТЭК России, влекущее административную ответственность. При этом подготовка к аттестации остаётся одной из наиболее трудоёмких задач ИБ-подразделения: сбор доказательной базы вручную занимает недели, а типичные ошибки в документации приводят к предписаниям и отказу в выдаче аттестата.
В этой статье разберём процедуру аттестации информационных систем пошагово: кто обязан проходить, кто имеет право проводить, шесть этапов аттестационных испытаний, полный чеклист документов, сроки и стоимость, а также типичные ошибки при подготовке. Отдельный блок посвящён тому, как SGRC-платформа сокращает время подготовки доказательной базы с нескольких недель до одного дня.
Что такое аттестация информационной системы и зачем она нужна
Аттестация информационной системы — официальное подтверждение соответствия системы защиты информации установленным требованиям безопасности, проводимое аккредитованным аттестационным органом. Результат аттестации — аттестат соответствия, документ, удостоверяющий, что ИС защищена в соответствии с требованиями нормативных актов ФСТЭК России.
Аттестация — не формальность и не «бумажная» проверка. Аттестационный орган проводит технические испытания: проверяет работоспособность средств защиты, соответствие конфигурации техническому заданию, наличие и актуальность документации, а для систем высоких классов — испытания на проникновение.
Зачем нужна аттестация:
- Юридическое требование. Государственные органы обязаны обеспечить аттестацию своих ГИС до ввода в эксплуатацию (приказ ФСТЭК №117). Без аттестата эксплуатация системы незаконна.
- Доказательство защищённости. Аттестат — независимое подтверждение того, что система защищена. Это важно при взаимодействии с контрагентами, регуляторами и в случае инцидентов.
- Дисциплинирующий эффект. Процесс подготовки к аттестации выявляет реальные пробелы в защите и стимулирует их устранение.
- Планирование безопасности. Аттестационный цикл создаёт ритм для регулярного пересмотра системы защиты: инфраструктура меняется, угрозы эволюционируют, меры должны обновляться.
Кто обязан проходить аттестацию
Государственные информационные системы (ГИС)
Все государственные органы и органы местного самоуправления, являющиеся операторами ГИС, обязаны провести аттестацию до ввода системы в эксплуатацию. Требование установлено приказом ФСТЭК России №117 (вступил в силу с 1 марта 2026 года, заменил приказ №17), который распространяется на все ГИС — федеральные, региональные и муниципальные. Класс системы определяет объём требований, но не отменяет обязанность проходить аттестацию.
Типичные ГИС, подлежащие аттестации: региональные порталы государственных услуг, системы межведомственного электронного взаимодействия (СМЭВ), системы учёта в органах исполнительной власти, информационные системы в сфере образования и здравоохранения.
Значимые объекты КИИ
Субъекты критической информационной инфраструктуры (КИИ) обязаны обеспечить защиту значимых объектов в соответствии с требованиями приказа ФСТЭК №239 и Федерального закона 187-ФЗ. Для значимых объектов КИИ 1 категории аттестация обязательна. Для объектов 2 и 3 категории аттестация рекомендуется, но формальным требованием не считается.
Субъекты КИИ: организации в сфере здравоохранения, транспорта, связи, энергетики, финансового рынка, топливно-энергетического комплекса, промышленности.
ИСПДн и коммерческие системы
Для информационных систем персональных данных (ИСПДн) и коммерческих систем аттестация добровольная. Вместо аттестации операторы ИСПДн проводят оценку эффективности принятых мер (приказ ФСТЭК №21). Тем не менее многие организации выбирают аттестацию ИСПДн: она даёт более весомое доказательство защищённости при проверках Роскомнадзора и в случае утечек данных.
Этапы аттестации ИС по ФСТЭК (пошагово)
Шаг 1. Выбор аттестационного органа
Аттестацию вправе проводить только организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) с видом работ «аттестационные испытания». Перечень лицензиатов публикуется на официальном сайте ФСТЭК.
При выборе аттестационного органа учитывайте:
- Опыт в вашей отрасли. Аттестатор, специализирующийся на ГИС в сфере здравоохранения, лучше понимает специфику защиты медицинских данных, чем универсальный игрок.
- Наличие необходимых средств испытаний. Для проведения испытаний на проникновение требуется специализированный инструментарий.
- Сроки. Популярные аттестационные органы загружены на несколько месяцев вперёд. Планируйте заблаговременно.
- Стоимость. Запросите коммерческое предложение с детализацией по этапам.
Подпишите договор, определите область аттестации (перечень аттестуемых объектов, их расположение, состав защищаемой информации) и согласуйте план-график работ.
Шаг 2. Разработка программы и методики аттестационных испытаний
Аттестационный орган разрабатывает программу и методику аттестационных испытаний (ПМИ) — документ, определяющий:
- состав испытаний (проверка документации, технические испытания, анализ конфигурации, испытания на проникновение);
- критерии оценки выполнения каждой меры защиты;
- перечень проверяемых компонентов ИС;
- методы проверки (анализ документов, инструментальная проверка, демонстрация функций, тестирование);
- ожидаемые результаты испытаний.
Оператор ИС согласовывает ПМИ. Это важный шаг: ПМИ фиксирует объём работ и критерии, по которым будет оцениваться соответствие. Несогласованная ПМИ может создать неожиданные сюрпризы при испытаниях.
Шаг 3. Подготовка доказательной базы
Самый трудоёмкий этап со стороны оператора ИС. Необходимо собрать и актуализировать полный пакет документации, подтверждающей выполнение каждой меры защиты из перечня применимых мер (см. чеклист ниже).
Типичная картина при ручной подготовке: за 3 года эксплуатации системы ответственные сменились, политики устарели, акты на СрЗИ не переоформлены, журналы ведутся нерегулярно. Восстановление документации — от 2 до 8 недель напряжённой работы.
SGRC-платформа переводит этот процесс в иное измерение: доказательная база формируется непрерывно в ходе эксплуатации системы, а аттестационный пакет генерируется автоматически за 1 рабочий день. Запросите демо и убедитесь сами.
Шаг 4. Аттестационные испытания
Аттестационные испытания проводятся на объекте оператора ИС. Продолжительность — от 1 дня (небольшая система К3) до 2–3 недель (крупная распределённая ГИС К1).
Что проверяется в ходе испытаний:
Проверка документации. Аттестатор проверяет наличие, актуальность и полноту всех обязательных документов. Устаревшее техническое задание, неподписанные акты, отсутствующие регламенты — каждый из этих недостатков фиксируется как замечание.
Анализ конфигурации. Фактические настройки компонентов ИС (серверов, рабочих станций, сетевого оборудования, средств защиты) сравниваются с эталонными конфигурациями и требованиями политики безопасности. Аттестатор использует специализированные инструменты анализа конфигурации и уязвимостей.
Технические испытания СрЗИ. Проверяется корректность настройки и работоспособность каждого применённого средства защиты: антивируса, МЭ, СОВ, средств криптографической защиты, системы управления доступом.
Испытания на проникновение (для К1–К2). Анализ защищённости с моделированием действий злоумышленника. Включает: сетевое сканирование, анализ веб-приложений, проверку социальной инженерии (для К1), попытки эксплуатации выявленных уязвимостей в контролируемых условиях.
Проверка журналов. Аттестатор проверяет наличие и полноту журналов событий безопасности, журналов физического доступа, журналов действий администраторов. Отсутствие журналов за последние месяцы — типичная причина замечаний.
Шаг 5. Оформление протоколов и заключения
По результатам каждого вида испытаний составляется протокол. Протоколы фиксируют: что проверялось, каким методом, что было обнаружено, соответствует ли обнаруженное требованиям.
На основе протоколов аттестационный орган составляет заключение по результатам аттестационных испытаний. Заключение содержит перечень выявленных соответствий и несоответствий, сводную оценку уровня защищённости и рекомендацию о выдаче или отказе в выдаче аттестата.
Если выявлены несоответствия, оператор ИС устраняет их в согласованные сроки и уведомляет аттестационный орган. Проводится дополнительная проверка устранённых несоответствий.
Шаг 6. Выдача аттестата соответствия
При положительных результатах испытаний аттестационный орган оформляет и выдаёт аттестат соответствия. Аттестат содержит:
- наименование и характеристики аттестованной ИС;
- класс защищённости и область аттестации;
- перечень применённых нормативных документов;
- срок действия аттестата (как правило, 3 года);
- реквизиты аттестационного органа и руководителя организации-оператора.
Аттестат хранится у оператора ИС и предъявляется при проверках регулятора. Копии протоколов и заключения хранятся как часть документации на систему.
Документы для аттестации: полный чеклист
Подготовьте следующий комплект документации до начала аттестационных испытаний.
Проектная документация
- □ Техническое задание (ТЗ) на создание или модернизацию ИС
- □ Технический проект системы защиты информации
- □ Рабочая документация (эксплуатационная документация на систему)
Документация по системе защиты
- □ Технический паспорт информационной системы (актуальный)
- □ Модель угроз и нарушителя безопасности информации
- □ Перечень применяемых мер защиты информации с обоснованием
- □ Акты ввода в эксплуатацию каждого применяемого средства защиты информации
- □ Формуляры (эксплуатационная документация) на каждое СрЗИ
Организационно-распорядительная документация
- □ Политика информационной безопасности (утверждённая, актуальная)
- □ Регламент управления доступом
- □ Регламент управления конфигурациями
- □ Регламент управления обновлениями и уязвимостями
- □ Регламент реагирования на инциденты ИБ
- □ Регламент резервного копирования и восстановления
- □ Приказ о назначении администратора безопасности
- □ Должностные инструкции пользователей по работе с ИС
Доказательства выполнения мер
- □ Матрица разграничения доступа (актуальная)
- □ Результаты последнего сканирования уязвимостей (не старше 30 дней)
- □ Журналы событий безопасности (выгрузка за последние 3 месяца)
- □ Журнал физического доступа в серверное помещение
- □ Журнал учёта носителей информации
- □ Акты инструктажей и обучения персонала
- □ Результаты тестирования процедур восстановления
- □ Отчёты о выполнении плана мероприятий по защите информации
Дополнительно (для К1–К2)
- □ Отчёт о последнем внутреннем аудите ИБ
- □ Результаты анализа защищённости (пентест или анализ кода)
- □ Документация СКУД (журналы, настройки)
- □ Схема информационных потоков
Сроки и стоимость аттестации
Сроки и стоимость аттестации варьируются в зависимости от класса ГИС, числа аттестуемых объектов и их территориального распределения.
| Тип системы | Подготовка доказательной базы | Аттестационные испытания | Общий срок | Ориентировочная стоимость |
|---|---|---|---|---|
| ГИС К4 (до 20 АРМ, 1 площадка) | 1–2 недели | 1–2 дня | 1–2 месяца | от 200 тыс. руб. |
| ГИС К3 (до 50 АРМ) | 2–4 недели | 3–5 дней | 2–3 месяца | от 300 тыс. руб. |
| ГИС К2 (50–200 АРМ) | 4–8 недель | 1–2 недели | 3–5 месяцев | 500 тыс.–1 млн руб. |
| ГИС К1 / КИИ 1 категории (крупная, распределённая) | 8–16 недель | 2–4 недели | 5–8 месяцев | от 1 млн руб. |
| Переаттестация (инспекционный контроль) | 1–2 недели | 2–5 дней | 1–2 месяца | 30–50% от первичной |
Ориентировочные значения. Точные сроки и стоимость уточняются у аттестационного органа после обследования системы.
Что влияет на стоимость:
- Число автоматизированных рабочих мест и серверов в области аттестации.
- Число территориально распределённых площадок (выезды аттестатора тарифицируются отдельно).
- Класс защищённости: аттестация К1 с пентестом значительно дороже К4.
- Состояние документации: чем больше работы по восстановлению документации — тем выше стоимость.
- Наличие применённых импортных СрЗИ, требующих дополнительного анализа.
Как снизить стоимость аттестации:
- Поддерживать документацию в актуальном состоянии непрерывно, а не восстанавливать к аттестации.
- Использовать SGRC-платформу для автоматического формирования доказательной базы.
- Провести внутренний аудит по чеклисту аттестатора за 2–3 месяца до аттестации и устранить очевидные несоответствия.
- Работать с одним аттестационным органом на протяжении нескольких циклов: накопленный контекст снижает трудоёмкость каждой последующей аттестации.
Как SGRC-платформа формирует доказательную базу
Ключевая проблема при подготовке к аттестации — разрыв между фактическим состоянием защиты и документальным подтверждением этого состояния. Средства защиты настроены корректно, меры выполняются — но доказательства не собирались системно, и аттестатор видит лишь слабо оформленные бумаги.
Непрерывное накопление доказательств
SGRC-платформа переводит управление соответствием из режима «аврал перед аттестацией» в режим непрерывного процесса. Каждая мера защиты из перечня имеет:
- Статус выполнения — выполнено / в процессе / не выполнено / не применимо.
- Ответственного — конкретный сотрудник, отвечающий за поддержание меры.
- Доказательства — привязанные документы, отчёты, скриншоты, подтверждения.
- Срок актуализации — когда доказательства нужно обновить.
Когда администратор выполняет настройку межсетевого экрана, он прикладывает скриншот конфигурации к мере МЭ.1 в платформе. Когда специалист ИБ проводит сканирование уязвимостей — отчёт сканера прикладывается к мерам ОБС. Доказательная база накапливается в ходе повседневной работы, без дополнительных усилий.
Автоматическое формирование аттестационного пакета
При подготовке к аттестации платформа генерирует полный пакет документов:
- Перечень применимых мер — структурированный по группам I–XI с указанием класса ГИС.
- Реестр доказательств — таблица «мера → документ → дата → ответственный» с возможностью выгрузки в PDF.
- Технический паспорт ИС — формируется на основе данных реестра активов с актуальными характеристиками инфраструктуры.
- План мероприятий по защите — с отметками о выполнении каждого пункта.
- Отчёт о КЗИ — коэффициент защищённости информации с разбивкой по группам мер.
Вместо 4–8 недель ручной работы пакет документов готов за 1 рабочий день. Аттестатор получает структурированную доказательную базу — это ускоряет проверку и снижает риск предписаний из-за неполноты документации.
Устранение несоответствий до аттестации
Платформа выявляет несоответствия заблаговременно. За 3–6 месяцев до аттестации CISO видит на дашборде:
- перечень мер, для которых доказательства устарели или отсутствуют;
- меры без назначенного ответственного;
- меры с просроченным сроком актуализации;
- критические несоответствия, которые гарантированно вызовут замечания аттестатора.
Команда получает чёткий план устранения — и приходит на аттестацию подготовленной, а не обнаруживает проблемы вместе с аттестатором.
Подробнее о функциях платформы: аудит ИБ и подготовка к проверкам, соответствие требованиям ФСТЭК. Запросите демо и увидите, как платформа формирует аттестационный пакет в действии.
Типичные ошибки при подготовке к аттестации
Многолетний опыт аттестаций выявил устойчивые паттерны ошибок. Большинство из них устранимы при системном подходе к управлению соответствием.
1. Устаревшее техническое задание и технический паспорт.
За 3 года между аттестациями инфраструктура меняется: добавляются серверы, обновляется ПО, появляются новые сервисы. Если ТЗ и паспорт не обновлялись, аттестатор фиксирует расхождение между документацией и реальностью. Это одна из самых частых причин предписаний.
Как избежать: Фиксируйте все существенные изменения в инфраструктуре в техническом паспорте сразу после их введения. SGRC-платформа ведёт реестр активов — основу актуального паспорта.
2. Устаревшая или неполная модель угроз.
Модель угроз, разработанная 5 лет назад, не отражает актуальный ландшафт угроз и изменения в архитектуре системы. Аттестатор проверяет актуальность модели.
Как избежать: Пересматривайте модель угроз при существенных изменениях в системе и не реже одного раза в 3 года. Используйте актуальные данные БДУ ФСТЭК.
3. Отсутствие доказательств фактического выполнения мер.
Регламент есть — но нет доказательств, что он исполняется. Правило парольной политики настроено — но нет отчёта о проверке, что все учётные записи соответствуют требованиям. Для аттестатора «мера есть в документах, но не подтверждена доказательствами» = мера не выполнена.
Как избежать: Собирайте доказательства выполнения мер непрерывно, не только к аттестации. Используйте платформу для хранения и актуализации доказательной базы.
4. Нерегулярные или неполные журналы событий.
Журналы либо не велись (отключили по ошибке), либо ведутся, но с пробелами, либо хранятся менее установленного срока. Аттестатор запрашивает журналы за последние 3–6 месяцев.
Как избежать: Настройте централизованный сбор журналов с автоматическим мониторингом доступности источников. Отсутствие событий от источника на протяжении суток — автоматический алерт ответственному.
5. СрЗИ без актуальных актов ввода в эксплуатацию.
Средство защиты установлено и работает, но акт ввода в эксплуатацию не оформлен или оформлен на предыдущую версию. Аттестатор проверяет соответствие между эксплуатируемой версией и документацией.
Как избежать: При каждом обновлении или замене СрЗИ оформляйте новый акт ввода в эксплуатацию. Ведите учёт СрЗИ в реестре активов SGRC-платформы.
6. Несертифицированные средства защиты в системах, где сертификация обязательна.
Для ГИС К1 и К2 большинство применяемых СрЗИ должны быть сертифицированы ФСТЭК по требованиям безопасности. Использование несертифицированных средств — грубое нарушение, аттестат не выдаётся.
Как избежать: При закупке СрЗИ проверяйте наличие действующего сертификата ФСТЭК для вашего класса системы. Реестр сертифицированных продуктов — на сайте ФСТЭК России.
7. Игнорирование физических мер защиты.
Документально и технически всё выглядит хорошо, но при выезде аттестатор обнаруживает: серверная комната не закрывается на ключ, журнал физического доступа не ведётся, стойка с оборудованием стоит в общем помещении.
Как избежать: Включите физические меры в перечень проверяемых при внутреннем аудите. Проведите внутренний «обход» серверных помещений за 1–2 месяца до аттестации.
FAQ
Кто обязан проходить аттестацию ИС по ФСТЭК?
Аттестация обязательна для двух категорий систем. Первая — государственные органы и органы местного самоуправления, эксплуатирующие государственные информационные системы (ГИС), в соответствии с требованиями приказа ФСТЭК №117. Вторая — субъекты критической информационной инфраструктуры (КИИ) для значимых объектов 1 категории в соответствии с приказом ФСТЭК №239 и 187-ФЗ. Для информационных систем персональных данных (ИСПДн) и коммерческих систем аттестация добровольная, однако регуляторы настоятельно рекомендуют её прохождение для подтверждения уровня защищённости.
Кто имеет право проводить аттестацию ИС?
Аттестацию информационных систем вправе проводить только организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) с правом проведения аттестационных испытаний. Самостоятельная аттестация силами оператора информационной системы без соответствующей лицензии не допускается и не имеет юридической силы. Актуальный реестр организаций-лицензиатов размещён на официальном сайте ФСТЭК России.
Сколько стоит аттестация информационной системы?
Стоимость аттестации зависит от класса защищённости ГИС, числа автоматизированных рабочих мест, числа серверов и структурных подразделений, включённых в область аттестации. Ориентировочные рыночные диапазоны: небольшая ГИС класса К3 (до 50 АРМ) — от 300 тыс. руб.; средняя ГИС класса К2 (50–200 АРМ) — 500 тыс.–1 млн руб.; крупная или распределённая ГИС класса К1 — от 1 млн руб. Стоимость переаттестации (инспекционного контроля) обычно составляет 30–50% от первичной аттестации.
Как долго действует аттестат соответствия?
Стандартный срок действия аттестата соответствия — 3 года. Для объектов с повышенными требованиями к безопасности аттестационный орган может установить меньший срок — 1 или 2 года. По истечении срока действия аттестата необходимо прохождение переаттестации: полный цикл аттестационных испытаний либо инспекционный контроль (при отсутствии существенных изменений в системе). Эксплуатация системы с истёкшим аттестатом — нарушение требований ФСТЭК.
Какие документы нужны для аттестации ИС?
Для прохождения аттестации необходимы: техническое задание на создание (модернизацию) информационной системы; технический паспорт ИС с актуальной схемой инфраструктуры; модель угроз и нарушителя безопасности информации; план мероприятий по защите информации с отметками о выполнении каждой меры; акты ввода в эксплуатацию средств защиты информации; эксплуатационная документация на каждое применённое СрЗИ; журналы регистрации событий и инцидентов; результаты последнего сканирования уязвимостей; политики и регламенты в области ИБ.
Что проверяет аттестатор при аттестации ГИС?
В ходе аттестационных испытаний аттестационный орган проверяет: соответствие фактической конфигурации системы техническому заданию и техническому паспорту; выполнение всех мер защиты из перечня, соответствующего классу ГИС; наличие, актуальность и полноту технической документации; работоспособность и корректность настройки средств защиты информации; для систем класса К1 и К2 — испытания на проникновение (пентест) и анализ защищённости. По результатам испытаний составляется протокол с перечнем выполненных и невыполненных мер.
Как SGRC-платформа ускоряет подготовку к аттестации?
SGRC-платформа КиберОснова автоматически формирует полный комплект доказательной базы для аттестатора: перечень применимых мер с привязкой к классу ГИС и актуальному статусу выполнения; реестр доказательств выполнения каждой меры (ссылки на документы, скриншоты настроек, отчёты); технический паспорт ИС с актуальными данными об инфраструктуре; план мероприятий по защите информации с отметками о выполнении. Вместо недель ручной подготовки аттестационный пакет формируется за 1 рабочий день.
Что делать, если аттестатор нашёл нарушения?
Если в ходе аттестационных испытаний выявлены несоответствия, аттестационный орган выдаёт предписание с перечнем нарушений, их описанием и сроком устранения. Аттестат соответствия не выдаётся до устранения всех замечаний, признанных критическими. После устранения нарушений проводится повторная проверка в форме инспекционного контроля — без прохождения полного цикла аттестации. Если нарушения носят несущественный характер, аттестат может быть выдан с условием устранения замечаний в установленный срок.
