Если говорить проще, 77 приказ ФСТЭК зафиксировал единые правила игры для оценки соответствия как информационных систем, так и защищаемых помещений. Для помещения это означает формальный и вполне понятный маршрут с перечнем документов, измерений и контрольных точек. Важный нюанс в том, что теперь акцент не только на «бумагах», но и на реальном подтверждении эффективности защиты от утечки по техническим каналам. Это избавляет от ситуации, когда стены покрашены, таблички висят, а сигнал утекает.
В терминах приказа защищаемое помещение — это часть объекта информатизации, где обрабатывают конфиденциальные данные и на которое распространяются требования к защите информации. Для него предусмотрена собственная форма технического паспорта, а в составе аттестационных испытаний есть отдельный блок измерений, ориентированный именно на подтверждение эффективности защиты помещения. Такой подход помогает отстроить защиту без магии и догадок, опираясь на объективные замеры и зафиксированные методики.
Новый порядок не усложняет жизнь, а скорее приводит ее к нормальному стандарту качества. Владелец помещения заранее собирает документацию, орган по аттестации планирует программу и методики, затем проводится обследование и испытания. По итогам оформляется полный комплект — от протоколов до аттестата соответствия. И вот здесь у многих начинается волнение, хотя все решаемо, если готовиться с конца, то есть под аттестационные методики и контрольные измерения.
Наконец, хорошая новость. Аттестат соответствия теперь действует весь срок эксплуатации, а не «сгорает» через несколько лет, как это было в старых подходах. Но есть и обратная сторона. Владелец обязан поддерживать уровень защиты и регулярно это подтверждать периодическим контролем, а протоколы таких проверок нужно направлять в ФСТЭК не реже одного раза в два года. То есть бумагу выдали один раз, а работать по ней придется постоянно.
Что именно проверяют у помещения по 77 приказу
Первое, на что смотрят, — сам «паспорт» помещения. В 77 приказ включена официальная форма технического паспорта защищаемого помещения. В нем фиксируются назначение и расположение, сведения о проверках на предмет возможного внедрения средств перехвата, ввод в эксплуатацию, условия размещения и эксплуатации, а также состав установленных средств и систем. Это не просто инвентаризация. Паспорт задает структуру данных для дальнейших испытаний и периодического контроля.
Второе направление — привязка к контролируемой зоне. Для защищаемых помещений важно показать, как помещение расположено относительно границ КЗ, где проходят линии связи и инженерные сети, что стоит внутри и что уходит за пределы зоны. Эти сведения нужны для корректных измерений, выбора средств защиты и дальнейшего контроля. Они же помогают заранее увидеть слабые места типа «невинного» кабеля, уходящего к лифтовому холлу.
Третье — состав оборудования. Разделы паспорта делят технические средства на основные и вспомогательные, а также выделяют средства защиты информации. Для каждого элемента указывают наличие специальных проверок и, где требуется, сертификатов соответствия. Это облегчает жизнь не только при аттестации, но и при дальнейшей эксплуатации, когда нужно быстро понять, что поменяли, где стоит провести внеплановую проверку или как документально закрыть модернизацию.
Четвертое — сами испытания. По 77 приказу для защищаемых помещений предусмотрена оценка показателей эффективности защиты от утечки по техническим каналам с применением контрольно-измерительного и испытательного оборудования. Простыми словами, это не «галочка», а реальные замеры по утвержденным методикам. Результаты оформляются в протоколах и лягут в основу решения по выдаче аттестата.
Кто имеет право аттестовать и какие сроки
Работы выполняет организация, у которой есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации, с правом проведения аттестационных испытаний и аттестации. Это не формальность. Лицензия подтверждает наличие компетенций, средств измерений и методической базы. Для госорганов предусмотрен вариант выполнить работы своими силами, но только при наличии необходимых ресурсов и с обязательным информированием ФСТЭК.
Процедура начинается с того, что владелец передает комплект документов, а орган по аттестации разрабатывает и согласует программу и методики испытаний. В программу попадает обследование помещения, перечень измерений и общий график. Хороший практический прием на этом шаге — сразу свести требования методик к конкретным измеряемым величинам и расписать ответственность по сбору исходных данных. Это экономит недели на переписку и повторные визиты.
По времени тоже есть рамки. Срок проведения работ по аттестации устанавливается по согласованию с органом по аттестации, однако верхняя граница ограничена четырьмя месяцами. На бумаге звучит щедро, но на практике график быстро «съедают» проектные согласования, закупка СЗИ и доступ к площадям. Поэтому критические зависимости лучше закрывать заранее.
Наконец, про независимость экспертов. Тем, кто внедрял систему защиты или проектировал решения для этого же помещения, в аттестационной комиссии места нет. Идея проста. Те, кто строил, не должны проверять сами себя. Это защищает и заказчика, и исполнителя от конфликтов интересов и последующих вопросов со стороны регулятора.
Документы и артефакты, без которых аттестация не состоится
Ниже — минимальный «скелет» комплекта, который понадобится именно для защищаемого помещения. В реальных проектах он почти всегда дополняется локальными регламентами и описаниями процессов эксплуатации.
| Документ | Зачем нужен | Кто готовит |
|---|---|---|
| Технический паспорт защищаемого помещения (официальная форма) | Фиксирует назначение, расположение, границы КЗ, состав средств и систему контроля | Владелец помещения |
| Программа и методики аттестационных испытаний | Определяют, что именно измеряем и как доказуем эффективность защиты | Орган по аттестации |
| Протоколы измерений и испытаний | Доказывают выполнение требований и служат базой для решения по аттестату | Орган по аттестации |
| Аттестат соответствия требованиям по защите информации | Подтверждает допуск помещения к работе с защищаемой информацией на срок эксплуатации | Орган по аттестации |
| Протоколы периодического контроля | Подтверждают поддержание уровня защиты, направляются в ФСТЭК не реже одного раза в два года | Владелец помещения |
Форма техпаспорта закреплена приложением к 77 приказу. Это важно, потому что снимает «вольное творчество» и унифицирует содержание. Программа и методики тоже строго структурируются. Там будет «что, где, чем измеряем», а также общий срок и ответственные. По результатам испытаний готовятся протоколы, и если все ок, оформляется аттестат соответствия. Дальше вступает в игру эксплуатация и периодический контроль.
Отдельно про СЗИ. Если для ваших задач требуется применение сертифицированных средств защиты, орган по аттестации проверит наличие записей в государственном реестре ФСТЭК. Это проще закрывать заранее. Принцип простой. Что не сертифицировано или не подтверждено в иной установленных форме, то использовать нельзя. Ссылка на официальный реестр в конце материала поможет вам быстро проверить конкретные средства.
Периодический контроль, бессрочный аттестат и когда нужна переаттестация
Главное изменение, которое многие ждут. Аттестат соответствия выдают на весь срок эксплуатации объекта. Это звучит как «сделал и забыл», но в 77 приказе прямо прописана обязанность владельца поддерживать безопасность и проводить периодический контроль уровня защиты. То есть аттестат бессрочный, а работа по нему — нет.
Регулярность контроля вы определяете в своих документах по защите информации, но протоколы таких проверок нужно направлять в ФСТЭК не реже одного раза в два года. Непредставление протоколов — формальный повод приостановить действие аттестата. Это стоит учитывать при планировании бюджета и ресурсов службы эксплуатации. Лучше заложить «естественный» цикл аудитов, например ежегодный, чем потом наверстывать.
Когда потребуется дополнительная работа. Если в помещении меняют состав средств, конфигурацию, добавляют новые системы или заменяют их на аналогичные, могут потребоваться дополнительные аттестационные испытания. Логика ясная. Изменился состав и условия эксплуатации — нужно подтвердить, что защита осталась эффективной. Поэтому любые проектные инициативы имеет смысл заранее прогонять через ИБ и орган по аттестации.
Наконец, держите в голове простой принцип. Аттестация — это не «итоговая контрольная». Это точка замера текущего состояния, после которой вы сами отвечаете за поддержание уровня защиты и документирование изменений. При грамотной эксплуатации переаттестация превращается из «катастрофы» в плановое действие с минимальным стрессом для бизнеса.
Практические советы и частые ошибки
Совет номер один. Начните с плана измерений. Возьмите проект программы и методик, выделите список замеров и сведите под них исходные данные. Это дисциплинирует поставщиков и подрядчиков. Если вы видите, что нет актуальной схемы электропитания и заземления, или по КЗ нет свежей топологии, — закройте эти вопросы до старта испытаний.
Совет номер два. Договоритесь о доступах и временных окнах. Измерения — это не только приборы, это еще и отключения, люки, короба, иногда строительные работы. Календарь, в котором все эти «мелочи» не учтены, почти гарантирует срыв сроков. Лучше проговорить болезненные моменты заранее и зафиксировать в отдельном плане работ.
Ошибка, которая встречается чаще всего. «Заполняем паспорт в последний день». Технический паспорт — не приложение для отчетности, а рабочий инструмент эксплуатации. Чем аккуратнее вы его ведете, тем меньше рисков в будущем. Удобная практика — держать «эталон» в системе документооборота, а на площадке хранить актуальную выжимку с планами КЗ и отметками изменений.
Еще одна частая история. Изменили состав оборудования, «временно» подвинули шкаф, перекинули линию, забыли внести в документы. Потом приходит аттестация, а «временно» живет третий год. В таких ситуациях лучше сразу сделать мини-аудит и обновить паспорт, иначе вы будете спорить не с методиками, а с фактами на площадке.
Мини-чек-лист подготовки к аттестации ЗП
- Проверьте, что орган по аттестации имеет действующую лицензию ФСТЭК на ТЗКИ. Сохраняйте копию и реквизиты в деле.
- Соберите исходные данные под программу и методики. Топология КЗ, схемы питания и заземления, состав средств и СЗИ, журналы проверок.
- Актуализируйте технический паспорт защищаемого помещения. Обновите схемы и отметки минимальных расстояний и трасс.
- Зафиксируйте логистику измерений. Доступы, окна по инженерии, ответственных на площадке, контакты.
- Заложите «длинные» зависимости. Закупка сертифицированных СЗИ, настройка и ввод в эксплуатацию, внутренние согласования.
- Сразу внедрите цикл периодического контроля. Лучше ежегодно и по календарю, чем разово и в пожарном режиме.
Полезные официальные ссылки (для удобства откроются в новой вкладке):
Приказ ФСТЭК России №77 от 29.04.2021
Постановление Правительства РФ №79 от 03.02.2012 (лицензирование ТЗКИ)
Государственный реестр ФСТЭК (СЗИ, органы, лаборатории)
