Аттестация автоматизированных рабочих мест (АРМ)

Аттестация автоматизированных рабочих мест (АРМ) Аттестация информационных систем – целый комплекс мер организационно-технического характера, в результате которых устанавливается, насколько полно информационная инфраструктура отвечает требованиям регуляторных органов по защите данных. В текущих реалиях для большинства объектов информатизации обязательно требуется выполнение процедуры утверждения соответствия ФСТЭК РФ. 

Важно. Без наличия актуального аттестата, подтверждающего соблюдение требований информбезопасности, собственникам таких комплексов придется прекратить свою трудодеятельность.

Требования к аттестации зафиксированы в нормативах ФСТЭК России: 

  • Приказ № 17 «Об установлении требований по защите сведений, не отнесённых к гостайне, содержащихся в гос. информресурсах» (касательно ГИС); 
  • ПП РФ № 676 «О порядке проектирования, модернизации, запуска, обслуживания и закрытия государственных информационных платформ, а также хранения данных, находящихся в их базах» (касательно ГИС); 
  • ПП РФ № 79 «О порядке получения разрешения на деятельность по технической охране закрытой информации» (касательно ЗП, АРМ, АИС); 
  • Спецтребования по обеспечению сохранности закрытых сведений (проверка помещений).

Что такое аттестация АРМ по требованиям безопасности информации 

Аттестация автоматизированного рабочего места (АРМ) — комплекс мероприятий, предназначенных для подтверждения соответствия информационной системы требованиям безопасности, утвержденным регуляторами защиты персональных данных и конфиденциальной информации (Роскомнадзор, ФСТЭК, Центробанк).

Аттестация требуется:

  • если АРМ подключён к корпоративной, госсистеме или иной и обрабатывает защищаемые данные. Особенно при операциях по выгрузке, редактированию или хранению данных вне основной системы;
  • если политика информационной безопасности или стандарты СУИБ предписывают проверку раб.мест по внутренним актам;
  • при получении или продлении лицензии ФСБ на криптографические средства для организаций коммерческого и государственного секторов. 

Внимание! Аттестат действителен три года при неизменных условиях функционирования и технологии обработки защищаемой информации.

ФЗ №152 «О персональных данных» предусмотрена обязанность владельцев автоматизированных систем проверять эффективность мер безопасности в следующих случаях:

  • при проведении оценки принятых мер защиты информации;
  • при подготовке к инспекционным проверкам и выполнению условий, предусмотренных ФСБ и ФСТЭК;
  • для исполнения правовых актов.

Требования ФСТЭК и ФСБ к аттестации АРМ 

Коммерческим фирмам нужно проводить аттестацию раб.мест, если через них обрабатываются персональные данные, конфиденциальная информация, имеющая отношение к коммерческой или служебной тайне.

Оценку соответствия раб.мест нормативным требованиям нужно проводить по положениям ФЗ №152, ПП РФ №79 и нормативным актам ФСТЭК России.

Аттестация АРМ для работы с ДСП и конфиденциальной информацией 

Если АРМ применяется исключительно как тонкий клиент и не обрабатывает информацию ограниченного доступа, то аттестовывать его как самостоятельную информсистему необязательно. Необходимо расширить действие ранее выданного аттестата на сегмент информсистемы, выполнив необходимые меры по защите.

Но, если на рабочем месте производится обработка конфиденц. данных (например, пользователь переносит данные на собственный компьютер), то такое АРМ автоматически становится отдельным объектом информационной инфраструктуры и подлежит обязательной аттестации.

Аттестуют все АРМ, на которых обрабатывают информацию ограниченного доступа (ДСП, персональная информация, коммерческая тайна и т.д.).

Порядок аттестации АРМ 

Процедура регламентирована Приказом ФСТЭК №77. Процесс включает несколько ключевых этапов:

  1. Знакомство с объектом аттестации, с документацией. Эксперты изучают имеющиеся документы или формируют полный пакет бумаг хозяина раб.места. Пакет включает техпаспорт, разработанную модель угроз, документы проектные и по информзащите раб.пространства.
  2. Подготовка плана мероприятий. Составляется программа и методика испытаний. Этот документ согласуется с заявителем.
  3. Проверка защитных свойств. Проводится детальная оценка защищённости рабочего места. Осуществляется многоступенчатое исследование, охватывающее анализ возможных каналов утечки сведений, проверку эффективности систем контроля доступа и сопоставление всех компонентов АРМ с установленными нормативами информбезопасности.
  4. Формирование отчётности. Готовится документация, включающая протоколы проведённой экспертизы, заключения экспертов и советы по усовершенствованию защиты рабочего места (при необходимости). Вся информация фиксируется письменно с указанием применённых способов оценки и итогов.
  5. Передача документа. В случае успешного завершения проверок и подтверждения полной безопасности АРМ присваивается аттестат.

Как провести аттестацию АРМ

Мероприятие проходит поэтапно:

  • создание рабочей группы;
  • предварительный аудит текущего состояния защиты информации;
  • разработка плана мероприятий по повышению уровня защиты;
  • организация и осуществление лабораторных тестирований;
  • оформление итогового заключения, внесение его в реестр. Присваивается номер, указывается организация, проводившая проверку, сроки действия, список проверенных элементов;
  • выдача аттестата.

Перед началом работ подготовьте пакет документов:

  • список используемых устройств с описанием технических параметров;
  • чертежи подключения оборудования, сетевую конфигурацию;
  • внутренние распорядительные документы, руководства, распоряжения сотрудников;
  • сведения о сотрудниках, ответственных за меры защиты;
  • программные инструменты, версии и права владения;
  • описания помещений, где размещены автоматизированные комплексы;
  • документы на средства защиты (свидетельства, права использования);
  • при необходимости — итоги прошлых экспертиз или ревизий.

Выполнить такую процедуру самостоятельно невозможно, ее может осуществлять только уполномоченная компания, имеющая официальную лицензию ФСТЭК, ФСБ. Сама процедура реализуется на договорной основе. Целесообразно привлекать специализированные организации, имеющие лицензию ФСТЭК и ФСБ.

Аттестация АРМ защищает информацию и данные, включая права субъектов, через регулярные аудиты и укрепление защиты.

Компания «ВостокТест» поможет вам подготовить документы для проверки информационной безопасности в полном соответствии с законодательством. Мы обеспечим официальное подтверждение соответствия.

Обращайтесь к нам! Консультации предоставляются бесплатно! Заполните форму обратной связи на нашем сайте или позвоните. Наши специалисты предложат индивидуальное решение. Мы работаем под ключ. Ждем ваших заявок!