Со второй попытки ФСТЭК утвердила Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" (Зарегистрирован 10.08.2021 № 64589). Странно, что на сайте ФСТЭК приказ не опубликован да настоящего момента.
Первая попытка была неудачной и повлекла существенные изменения в проекте Порядка аттестации, подробнее разбирал - https://valerykomarov.blogspot.com/2020/12/blog-post_24.html
Вторая редакция принята в редакторских правках и не сильно отличается от опубликованного документа - https://valerykomarov.blogspot.com/2021/05/2.html
Основные отличия:
Было - "Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России сделан вывод о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации и в орган по аттестации."
Стало - "Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется. Результаты проведенной оценки направляются ФСТЭК России (территориальным органом ФСТЭК России) владельцу объекта информатизации для устранения недостатков, выявленных органом по аттестации.
Забыли пронумеровать п.32, сразу п.33 идет.
Итоги:
1. Порядок аттестации установлен впервые, вступает в силу 01.09.2021. Изменения в ранее действующие НПА по аттестации не внесены, они продолжают действовать. Хотя от ГОСТ мы все дальше и дальше.
3. Появилась возможность органа власти проводить аттестацию собственными силами, при наличии подготовленного подразделения ИБ в своей структуре (не в подведомственном учреждении). И только в отношении собственных ГИС.
4. Установлен максимальный срок проведения работ по аттестации ГИС – не более 4 месяцев. Необходимо учитывать при составлении календарного плана контрактов с лицензиатами ТЗКИ.
5. Введена форма акта классификации ГИС. Необходимо учесть в работе комиссии по классификации. С 1 сентября 2021 года все акты классификации ГИС должны оформляться по утвержденной форме.
6. Подрядчик по аттестации (аттестационный орган) в течении 5 рабочих дней направляет в ФСТЭК пакет документов по каждой аттестованной ГИС + ежегодно отчет за прошедший год. ФСТЭК проводит анализ документов и может приостановить выданный аттестат до устранения недостатков. Сделать это может ФСТЭК в любой момент, никаких ограничений по срокам в Порядке не указано.
7. Аттестат выдается бессрочно.
8. Оператор ГИС раз в два года направляет в ФСТЭК протоколы контроля защиты информации на аттестованной ГИС. Субъектам КИИ стоит учесть этот пункт, если решат подтверждать соответствие ЗОКИИ требованиям 235/239 приказа в форме аттестации.
9. Если замечания ФСТЭК к ГИС не устранены в течении 90 дней (действие аттестата приостановлено), то аттестат отзывается и аннулируется.
10. Субъектам КИИ стоит помнить, что в законодательстве установлен срок на отправку результатов категорирования ОКИИ. И этот срок отсчитывается от даты утверждения акта категорирования. За его нарушение предусмотрена административная ответственность. Срок давности - 1 год с момента выявления правонарушения! https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/shtraf-za-kategorirovanie-okii-60b336a5a471d16dac4c947e
Орган по аттестации передает в ФСТЭК копию акта категорирования ОКИИ и у ФСТЭК появляется возможность сравнить дату на акте категорирования и исходящий реквизиты сведений о категорировании, направленные ранее субъектом КИИ. Обращайте внимание на соответствие реквизитов документов!
Другой момент для субъектов КИИ, пока перспективный. ФСТЭК анонсировала изменения законодательства, в части ответственности субъекта КИИ за актуализацию сведений о ЗОКИИ. Подробнее - https://valerykomarov.blogspot.com/2021/07/127_29.html. Сроки указаны сжатые на направление информации. И опять же, орган по аттестации предоставит всю информацию о ЗОКИИ (техпаспорт) по своей линии.
11. Запрещено проводить обработку информации в ГИС, в случае обнаружения инцидента безопасности.
Неопределенности в Порядке:
1. Непонятный акт классификации ИС/АС. По наполнению он соответствует только классификации ГИС. Не учитываются ГИС с ПДН, просто ИСПДн. Место ему в приложение к 17 приказу, а не в порядке аттестации.
2. Непонятно как теперь быть оператору ГИС. Есть подрядчики по госконтрактам на создание ГИС и на аттестацию. Аттестат бессрочный, замечания от ФСТЭК может прилететь и через год и через два, тоже бессрочно. Как принимать работы по контракту? Какой срок гарантийных исправлений по замечаниям ФСТЭК прописывать?
3. В приказе об утверждении Порядка нет указаний по переходному периоду. Получается, что даже уже действующие контракты по аттестации должны будут пересмотрены на предмет соответствия новому Порядку? Логично предположить, что все аттестационные испытания после 1 сентября 2021 должны быть по новому Порядку.
4. Должен ли аттестационный орган в январе 2022 года направить в ФСТЭК отчетные документы по аттестации за 2021 год целиком или только за аттестаты выданные с 01.09.2021 по 31.12.2021?
5. Аттестация лицензиатом ТЗКИ собственных ИС теперь под запретом? Явно она разрешена в Порядке только органам власти. Как трактовать требование о независимости аттестационного органа от владельца ИС?
* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.
** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Этот комментарий был удален автором.
ОтветитьУдалить