ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 29 апреля 2021 года N 77
В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2020, N 35, ст.5554),
приказываю:
1. Утвердить прилагаемый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
2. Установить, что настоящий приказ вступает в силу с 1 сентября 2021 г.
Директор Федеральной службы
по техническому и
экспортному контролю
В.Селин
Зарегистрировано
в Министерстве юстиции
Российской Федерации
10 августа 2021 года,
регистрационный N 64589
УТВЕРЖДЕН
приказом ФСТЭК России
от 29 апреля 2021 года N 77
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну
I. Общие положения
1. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее - требования по защите информации), а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.
________________
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933), приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924), приказом ФСТЭК России от 27 апреля 2020 г. N 61 (зарегистрирован Минюстом России 12 мая 2020 г., регистрационный N 58322).
Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31 (зарегистрирован Минюстом России 18 мая 2017 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 14 января 2019 г. N 5 (зарегистрирован Минюстом России 27 февраля 2019 г., регистрационный N 53916), приказом ФСТЭК России от 28 октября 2020 г. N 122 (зарегистрирован Минюстом России 25 марта 2021 г., регистрационный N 62868).
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071), приказом ФСТЭК России от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443), приказом ФСТЭК России от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).
Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 46769), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный N 28375), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), приказом ФСТЭК России от 14 мая 2020 г. N 68 (зарегистрирован Минюстом России 8 июля 2020 г., регистрационный N 58877).
Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. N 191 (зарегистрирован Минюстом России 6 июля 2009 г., регистрационный N 14230).
2. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее - владельцы объектов информатизации).
3. Настоящий Порядок распространяется на аттестацию на соответствие требованиям по защите информации (далее - аттестация) следующих объектов информатизации:
________________
Пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения", утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. N 374-ст (Москва: Стандартинформ, 2007).
государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
помещений, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения).
________________
Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2020, N 49, ст.7943).
Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
значимых объектов критической информационной инфраструктуры Российской Федерации;
информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
4. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
II. Организация работ по аттестации объектов информатизации
5. Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (далее - орган по аттестации).
6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:
а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее - информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);
б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2020, N 35, ст.5554), национальных стандартов в области технической защиты информации;
в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее - эксперты органа по аттестации).
8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.
Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.
Эксперты органа по аттестации проводят анализ документов, представляемых владельцем объекта информатизации в соответствии с пунктом 11 настоящего Порядка, и аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.
Выводы экспертов органа по аттестации по результатам проведенных аттестационных испытаний не должны противоречить требованиями по технической защите информации.
9. Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.
10. Информация об объекте информатизации, полученная органом по аттестации в ходе аттестации объекта информатизации, подлежит защите в соответствии с частью 4 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448, 2014, N 30, ст.4243).
III. Проведение работ по аттестации объектов информатизации
11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:
а) технический паспорт на объект информатизации по форме согласно приложениям N 1, 2 к настоящему Порядку;
б) акт классификации информационной (автоматизированной) системы по форме согласно приложению N 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее - акт категорирования значимого объекта);
в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);
д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);
е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;
ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее - документы по защите информации владельца объекта информатизации);
з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.
12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.
13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:
а) общие положения;
б) программа аттестационных испытаний объекта информатизации;
в) методики аттестационных испытаний объекта информатизации.
13.1. Раздел, касающийся общих положений, должен включать следующие сведения:
а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;
б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;
в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;
г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.
