Введение
Регулярно нам направляют множество вопросов по ИБ — из практики, для более детального понимания законодательства, а также для решения спорных моментов.
Мы собрали вопросы от наших читателей, а также участников Межрегионального круглого стола 2025 года, обратились к регуляторам и делимся ответами с вами в этой, первой части статьи.
Аттестация объектов информатизации и контроль защищённостиВопрос. Кто вправе проводить аттестацию объектов информатизации? Может ли это делать сама организация (заказчик), если у неё есть компетентные специалисты и оборудование?
Ответ. По действующему законодательству работы по аттестации могут выполнять:
1. Организации-лицензиаты (юридические лица, обладающие действующей лицензией ФСТЭК России и входящие в таких лицензий);
2. Органы власти, если они включены ФСТЭК России в соответствующий реестр.
Для проведения работ по аттестации требуются квалифицированные специалисты в штате, измерительная аппаратура и комплект нормативных/методических документов, определяющих порядок и методики проведения аттестационных испытаний.
Вопрос. Можно ли выполнять «контроль эффективности/контроль защищённости» собственными силами организации, если в аттестате рекомендовано делать это «своими силами (возможно с привлечением лицензиата)»?
Ответ. Информационная безопасность — это процесс, а не разовая аттестация. Периодический контроль необходим. Формально его может организовывать владелец системы, но часто регулятор и практика требуют участия лицензиата и документального подтверждения. Оптимально опираться на формулировки из аттестата и методические документы.
Для надёжности многие заказчики привлекают лицензиата (пентест, сканирование на наличие уязвимостей, анализ эффективности реализуемых мер). Прямой универсальной нормы «только лицензиат» для любого контроля нет. Однако:
- в части аттестации и работ, составляющих лицензируемый вид деятельности, — только лицензиаты (или уполномоченные органы);
- по периодическому контролю в ряде случаев допустима организация силами владельца, если это предусмотрено документацией/аттестатом;
- чтобы исключить претензии, в контрактной и внутренней документации целесообразно закреплять порядок и исполнителей работ.
Вопрос. На какие документы опираться при планировании работ по внедрению СЗИ (помимо «17-го» приказа ФСТЭК и методик)? Что с Постановлением Правительства № 79?
Ответ. Необходимо ориентироваться в том числе на стандарты, например, ГОСТ РО 0043-004-2013, ГОСТ Р ИСО/МЭК 15408-1-2008, ГОСТ Р ИСО/МЭК 15408-2-2008, ГОСТ Р ИСО/МЭК 15408-3-2008. Постановление правительства № 79 напрямую не всегда касается «внедрения СЗИ», но оно помогает корректно комплектовать состав работ, специалистов и средств измерений.
Вопрос. В связи со вступлением в законную силу нового приказа (Приказ ФСТЭК № 117), придётся ли переаттестовывать ГИС?
Ответ. Нет, при наличии действующего аттестата соответствия переаттестовывать ГИС не потребуется.
Вопрос. Обязательна ли модель угроз при выдаче аттестата соответствия?
Ответ. Да, согласно , модель угроз безопасности информации входит в перечень документов, необходимых для аттестации объектов информатизации на соответствие требованиям по защите информации.
Вопрос. Каким образом организации, получившие аттестат присоединения, должны быть отражены в контроле эффективности?
Ответ. Формулировки «аттестат присоединения» не предусмотрено, однако существует аттестат соответствия, в заключении к которому указано, что его действие может быть распространено на другие сегменты этой информационной системы при выполнении определённых условий. Данная процедура определена . В информационной системе, где присутствует множество сегментов, находящихся по разным адресам, необходимо реализовать все меры защиты информации, предусмотренные в основном сегменте.
Вопрос. Должен ли составляться отдельный протокол для организаций, где в ИС присутствует множество сегментов?
Ответ. В случае, если в протоколах отражаются единые типовые наборы мер защиты информации (такие как параметры работы ОС, сетевые конфигурации, перечни адресов доступа, требования к парольной защите и аутентификации, настройки СЗИ и т. д.) как для удалённых сегментов, так и для основного сегмента ИС, их можно объединить в один протокол с указанием перечня проверяемых сегментов.
Вопрос. Есть ли регламент составления протокола выполнения контроля соответствия информационной системы требованиям защиты информации?
Ответ. Отдельного регламента, определяющего форму протокола контроля соответствия информационной системы требованиям защиты информации, нет. Однако, в 77 приказе ФСТЭК утверждается порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну. Контроль осуществляется в соответствии с аттестатом, а его результаты оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Вопрос. Может ли оператор при подключении внешних информационных систем принять оценку эффективности мер ЗИ, проведённую собственными силами организации?
Ответ. Если такое условие отражено в регламенте проведения контроля внешних информационных систем, оператор может принять такую оценку. Однако информационные системы, используемые в государственных учреждениях, установленные аттестационные мероприятия с привлечением лицензиатов ФСТЭК России для получения аттестата соответствия.
Переподготовка и повышение квалификации в области защиты информацииВопрос. Должны ли в обязательном порядке согласовываться со ФСТЭК программы переподготовки и повышения квалификации?
Ответ. Темы, рассматриваемые при повышении квалификации, должны быть согласованы с регуляторами. Если речь идёт, например, о вопросах криптографии, то они должны быть согласованы с ФСБ России. Вопросы, касающиеся информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, а также персональных данных, согласовываются со ФСТЭК России и должны соответствовать требованиям регуляторов согласно
Вопрос. Могут ли организации по переподготовке требовать наличие высшего технического образования?
Ответ. Учебные заведения могут предъявлять требование о наличии высшего образования при проведении переподготовки по узкопрофильным направлениям.
Вопрос. Можно ли обучение разбивать на модули?
Ответ. В соответствии с Приказом Минобрнауки РФ от 24.03.2025 № 266 «Об утверждении Порядка организации и осуществления образовательной деятельности по дополнительным профессиональным программам», вступившим в силу 01.09.2025, обучение по дополнительным профессиональным программам может проводиться как единовременно и непрерывно, так и поэтапно (дискретно) — посредством освоения отдельных учебных предметов, курсов, дисциплин (модулей), прохождения практики и применения сетевых форм в порядке, установленном образовательной программой и (или) договором об образовании.
Вопрос. С какой периодичностью сотрудники по информационной безопасности должны проходить повышение квалификации?
Ответ. Один раз в три года согласно
Вопрос. Могут ли программы обучения, согласованные со ФСТЭК, быть заочными/дистанционными?
Ответ. Обучение может проводиться дистанционно, то есть заочно, включая блок открытых данных и тестирование по модулям, не относящимся к информации для служебного пользования. Для прохождения блока «ДСП» обучающимся необходимо лично посетить учебное заведение на одну-две недели в зависимости от объёма информации. Итоговый экзамен проводится только очно.
Вопрос. Какие меры предпринимаются для комплектования специалистов в области информационной безопасности в госсекторе?
Ответ. Вопрос комплектования квалифицированными специалистами рассматривается на региональном уровне. Например, в Ростовской области — это заседания полномочных представителей и советы по информационной безопасности при полномочных представителях Президента в Южном и Северо-Кавказском федеральных округах. Параллельно проводится работа с советами в субъектах, отслеживается динамика в регионах. Наблюдается положительная тенденция: добавлены штатные единицы специалистов, создана координационная рабочая группа по подготовке кадров.
Другие вопросы по выполнению требований по защите информацииВопрос. Можно ли использовать аналоги СЗИ при применении проектных решений?
Ответ. Нет. Если в аттестате прописано конкретное наименование продукта, использование его аналога не допускается. При замене СЗИ на аналогичные проводятся дополнительные аттестационные испытания (п. 33 Приказа ФСТЭК № 77).
Вопрос. Как часто проверяются лицензиаты, которым выдана лицензия?
Ответ. Не ранее чем через три года после проведения предыдущей проверки или выдачи лицензии.
Вопрос. Какие основные требования в области информационной безопасности предъявляются к облачным хранилищам при включении их в состав аттестуемых ИС?
Ответ. Отдельных требований по информационной безопасности к облачным хранилищам и центрам обработки данных (ЦОД) нет. Однако при их использовании необходимо уведомить оператора ЦОД об обработке персональных данных в облаке. При этом требуется наличие аттестата соответствия не ниже, чем у вашей системы. Например, если у вас ГИС К1 или УЗ2, то облако с ГИС К3 или УЗ4 вам не подходит.
Также следует обратить внимание на соглашение об уровне сервиса. В договоре должно быть чётко прописано, какие угрозы блокируются ЦОД и какие средства защиты применяются.
Если планируется хранить персональные данные, необходимо указать в согласии на обработку, что данные сотрудников или клиентов будут передаваться оператору облачного хранилища для хранения. Хранение в данном случае приравнивается к обработке персональных данных, что влечёт за собой необходимость корректировки внутренней документации организации.
Также необходимо учитывать требования по применению средств криптографической защиты информации. Если обрабатываются персональные данные, то в соответствии с приказом ФСБ № 378 и приказом ФСБ № 117 для ГИС при передаче данных по каналам связи, выходящим за пределы контролируемой зоны, обязательно использование сертифицированной криптографии.
Вопрос. Насколько правомерно создание органа криптографической защиты информации (ОКЗИ) в организации, не имеющей лицензии ФАПСИ (ФСБ)?
Ответ. Получение лицензии ФСБ России необходимо при выполнении работ и оказании услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, перечисленных в приложении к «Положению о лицензировании…», утверждённому
Однако при осуществлении организацией технического обслуживания шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищённых с их использованием, для обеспечения собственных нужд возможно создание в такой организации органа криптографической защиты (ОКЗ) без наличия лицензии ФСБ России.
Вопрос. Возможно ли самостоятельно (без лицензии ФСБ) проводить обучение пользователей работе со средствами криптографической защиты информации (СКЗИ) или проводить инструктаж по работе с ними?
Ответ. В соответствии с пунктом 7 Инструкции об организации и обеспечении безопасности хранения, обработки и передачи данных по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (утверждена приказом ФАПСИ от 13 июля 2001 г. № 152), ОКЗ осуществляет обучение пользователей СКЗИ правилам работы с ними. Так как данная деятельность не подпадает под действие , оформление лицензии ФСБ России на обучение пользователей СКЗИ не требуется.
ЗаключениеЭто лишь некоторые вопросы, на которые мы получили ответы от регуляторов и экспертов. Скоро выйдет вторая часть — следите за анонсами в нашем Вы также можете направлять свои вопросы нам в с пометкой «вопрос в редакцию».
