Кто обязан проходить аттестацию ИС?

Аттестация обязательна для: государственных информационных систем (ГИС) всех классов по приказу ФСТЭК №17/№117; информационных систем персональных данных (ИСПДн) 1-го уровня защищённости; отдельных объектов КИИ по требованиям регулятора. Коммерческие организации вне этих категорий проходят аттестацию добровольно.

Кто может проводить аттестацию?

Аттестацию проводят организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ). Аттестатор должен быть независим от владельца системы и от организации, создавшей систему защиты информации.

Что входит в комплект документов для аттестации?

Основные документы: техническое задание на СЗИ, модель угроз, проектная документация на систему защиты, журналы и акты испытаний средств защиты, сведения об используемых СЗИ и СКЗИ, свидетельство об аттестации объекта информатизации (по результатам).

Что такое инспекционный контроль?

Инспекционный контроль — плановая проверка аттестованной системы, проводимая аттестатором в период действия аттестата (как правило, ежегодно). Цель — подтвердить, что система по-прежнему соответствует требованиям. При несоответствии аттестат может быть приостановлен.

Как SGRC-платформа помогает подготовиться к аттестации?

КиберОснова автоматизирует подготовку к аттестации: ведёт реестр мер защиты с доказательствами выполнения, рассчитывает КЗИ, формирует отчёты в форматах, принятых аттестаторами, и отслеживает сроки планового инспекционного контроля.

Глоссарий ИБ

Аттестация информационных систем — что это, зачем нужна и как проходит

Q: Сколько действует аттестат соответствия?

Аттестат соответствия выдаётся на 3 года. После истечения срока необходимо пройти переаттестацию. При существенных изменениях в системе (новое ПО, оборудование, изменение архитектуры) может потребоваться внеплановая переаттестация или инспекционный контроль.

Аттестация ИС — официальная процедура подтверждения, что система защищена по требованиям ФСТЭК. Разбираемся: кто обязан, из каких этапов состоит и что даёт аттестат.

Попробовать КиберОснова Все термины

Что такое аттестация ИС

Аттестация информационной системы — официальная процедура оценки соответствия системы защиты информации (СЗИ) установленным требованиям. По результатам аттестации выдаётся аттестат соответствия — документ, подтверждающий, что система может обрабатывать информацию ограниченного доступа.

Правовая основа аттестации: приказ ФСТЭК №17 (для ГИС по старым требованиям), приказ ФСТЭК №117 (для ГИС, введён в 2025), приказ ФСТЭК №21 (для ИСПДн), приказ ФСТЭК №239 (для КИИ). Подробное руководство — в нашем материале по аттестации ГИС.

Кто обязан проходить аттестацию

Государственные информационные системы (ГИС) всех классов — по приказу ФСТЭК №117
ИСПДн 1-го уровня защищённости — по приказу ФСТЭК №21
Автоматизированные системы управления производственными и технологическими процессами в ряде отраслей
Системы, обрабатывающие государственную тайну — по требованиям ФСБ и ФСТЭК

Виды аттестации

Первичная аттестация — проводится при вводе системы в эксплуатацию или создании СЗИ
Инспекционный контроль — плановая проверка в период действия аттестата (как правило, ежегодно)
Переаттестация — по истечении 3-летнего срока действия аттестата
Внеплановая переаттестация — при существенных изменениях в системе или СЗИ

Этапы аттестации (6 шагов)

Подготовка документации — техническое задание, модель угроз, проектная документация на СЗИ
Создание и настройка системы защиты — внедрение средств защиты, настройка политик
Предварительные испытания — внутренняя проверка выполнения всех требований
Выбор и заключение договора с аттестатором — организация с лицензией ФСТЭК на ТЗКИ
Аттестационные испытания — комплексная проверка аттестатором (документация, настройки, тесты)
Получение аттестата соответствия — действует 3 года, после — инспекционный контроль

Аттестат соответствия: что это и сколько действует

Аттестат соответствия — официальный документ, подтверждающий, что система защиты информации соответствует требованиям нормативных документов ФСТЭК.

Срок действия — 3 года с даты выдачи
Выдаётся аттестующей организацией (аттестатором)
Регистрируется в ФСТЭК России
Приостанавливается при выявлении несоответствий в ходе инспекционного контроля
При изменениях в системе требуется уведомление аттестатора

Как SGRC-платформа ускоряет подготовку к аттестации

Модуль аудита ИБ КиберОснова автоматизирует подготовку к аттестации:

Реестр мер защиты с отметками выполнения и прикреплёнными доказательствами
Автоматический расчёт КЗИ по требованиям приказа №117
Формирование отчётов для аттестатора в требуемых форматах
Отслеживание сроков планового инспекционного контроля
Контроль изменений в системе, требующих уведомления аттестатора

Вопросы об аттестации ИС

Связанные разделы

Подготовьтесь к аттестации с КиберОснова

Реестр мер, расчёт КЗИ, отчёты для аттестатора — всё в одной платформе. Сократите время подготовки к аттестации ГИС.