Порядок аттестации действует уже полгода, пришло время ФСТЭК уточнить применение приказа 77 на местах. Информационное сообщение более направлено на лицензиатов ТЗКИ ФСТЭК с видом работы по аттестации, чем на владельцев объектов информатизации.
Учитывая последние требования законодательства по письменному уведомлению ФСТЭК о каждом изменении состава любого объекта КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9
, возникает ощущение что кто то решил повысить востребованность Почты России в стране. Все по старинке, бандеролью носитель электронных документов направлять потребно. С учетом предстоящей переаттестации, вызванной прекращением действия сертификатов СрЗИ и требованиями по обеспечению технологической независимости, почтальонам придется тяжко.
name='more'>Отмечу самый важный момент для владельца объекта информатизации:
Результаты аттестации направляются лицензиатом в ФСТЭК по месту нахождения объекта информатизации, а не по месту регистрации лицензиата. Если контракт на аттестацию выиграл лицензиат с другого федерального округа, то путь почтового отправления может быть очень долгим. При этом,
29. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.
30. В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации.
Контракт давно закрыт, работы приняты. А тут "письмо счастья" от ФОИВ, что работы выполнены лицензиатом с ненадлежащим качеством и вообще аттестат отозвать могут. Работнику, поставившему подпись в актах сдачи-преимки, не позавидуешь. Здесь уже речь может идти о уголовных делах.
И удаленность исполнителя контракта от объекта информатизации приведет к еще большему цейтноту по устранению нарушений.
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ О ПОРЯДКЕ ПРЕДСТАВЛЕНИЯ ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ, ОБРАБАТЫВАЮЩИХ ИНФОРМАЦИЮ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩУЮ ГОСУДАРСТВЕННУЮ ТАЙНУ
от 11 апреля 2022 г. N 240/24/1950
Приказом ФСТЭК России от 29 апреля 2021 г. N 77 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее — Порядок аттестации).
В целях разъяснения порядка и формы представления материалов с результатами аттестации объектов информатизации в ФСТЭК России сообщаем следующее.
Порядок аттестации распространяется на аттестацию на соответствие требованиям по защите информации объектов информатизации, указанных в пункте 3 Порядка аттестации.
В соответствии с пунктом 27 Порядка аттестации, орган по аттестации в течении 5 рабочих дней после подписания аттестата соответствия должен представить в территориальный орган ФСТЭК России в электронном виде копии следующих документов: аттестата соответствия объекта информатизации;
технического паспорта на объект информатизации;
акта категорирования объекта информатизации;
акта классификации информационной (автоматизированной) системы;
программы и методик аттестационных испытаний объекта информатизации;
заключения по результатам аттестационных испытаний объекта информатизации;
протоколов аттестационных испытаний.
Материалы с результатами аттестации федеральных государственных информационных систем необходимо представлять в центральный аппарат ФСТЭК России по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17.
Материалы с результатами аттестации региональных государственных информационных систем и иных объектов информатизации, указанных в пункте 3 Порядка аттестации необходимо направлять в управление ФСТЭК России по федеральному округу, на территории которого расположены объекты информатизации.
Представление копий документов, перечисленных в пункте 27 Порядка аттестации в ФСТЭК России (территориальный орган ФСТЭК России) осуществляется почтовым отправлением. Сведения о почтовых адресах управлений ФСТЭК России по федеральным округам приведены на официальном сайте Службы www.fstec.ru. Представление материалов с результатами аттестации объектов информатизации с использованием электронной почты не допускается.
К письму необходимо прилагать машинный носитель информации (оптический диск или иной носитель), содержащий файлы с электронными копиями (образами) документов в форматах doc, docx, pdf и других форматах.
Аттестация объектов информатизации, не указанных в пункте 3 Порядка аттестации, проводится в соответствии с Порядком аттестации по решению владельца объекта информатизации. В случае принятия такого решения положения Порядка аттестации должны реализовываться в полном объеме за исключением пунктов 27 и 32 Порядка аттестации.
Получается, что при такой добровольной аттестации не требуется:
27. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии документов
32. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
А вот в ежегодную отчетность такие аттестаты включаются.
45. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.
P.S. В «Клубе любителей КИИ» развивается цикл заметок про планирование действий персонала субъекта КИИ в нештатной ситуации (мера ДНС.1). Присоединяйтесь к обсуждению, комментируйте и делитесь опытом, распространяйте полезные наработки.
Нештатные ситуации. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-ot-nas-trebuiut-npa-62058490047813262a1fcf8d
Нештатные ситуации. Что надо сделать? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531
Нештатные ситуации. Что от нас требуют НПА? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470
Нештатные ситуации. Принципы формирования плана действий. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470
Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
