Аттестация ИСПДн: полный порядок проведения, 7 этапов и документы

Аттестация ИСПДн — комплекс организационно-технических мероприятий, по результатам которых подтверждается соответствие информационной системы персональных данных требованиям безопасности информации. Проще говоря, независимая организация проверяет, действительно ли система защищена так, как требуют нормативные акты.

Процедура регламентируется Приказом ФСТЭК России № 77 от 29.04.2021 (Порядок организации и проведения работ по аттестации), а также стандартами ГОСТ РО 0043-003-2012 (общие требования к аттестации) и ГОСТ РО 0043-004-2013 (программа и методики аттестационных испытаний).

Цель аттестации — получить аттестат соответствия, который подтверждает:

• В системе реализованы все необходимые меры защиты информации, предусмотренные приказами ФСТЭК
• Применяемые средства защиты информации (СЗИ) функционируют корректно и имеют действующие сертификаты
• Организационные меры (документация, регламенты, инструкции) разработаны и введены в действие
• Остаточные риски находятся на приемлемом уровне для эксплуатации системы

Аттестат выдаётся на конкретную информационную систему в конкретной конфигурации. При существенных изменениях — замене серверного оборудования, изменении сетевой архитектуры, замене или добавлении СЗИ — требуется дополнительная проверка или повторная аттестация. Это важный момент: аттестат привязан к «фотографии» системы на момент испытаний.

Обязательность аттестации определяется типом информационной системы и обрабатываемой информации:

Ключевой нюанс для коммерческих организаций: Приказ ФСТЭК № 21 (п. 6) требует проведения «оценки эффективности реализованных мер по обеспечению безопасности персональных данных», но не предписывает форму этой оценки. Оценка может быть проведена в форме аттестации, внешнего аудита или самооценки.

Однако на практике аттестат — это самый весомый документ при проверках Роскомнадзора и ФСТЭК. Если регулятор задаёт вопрос «чем подтверждаете безопасность?», аттестат закрывает его полностью. Акт самооценки — существенно слабее.

Когда аттестация фактически необходима:

• Организация работает с госзаказчиками, которые требуют аттестат как условие контракта
• ИСПДн обрабатывает специальные или биометрические категории ПДн
• Организация — оператор связи, финансовая организация или медучреждение
• Необходимо подтвердить соответствие для страховой компании или в рамках due diligence

Подробнее о требованиях к защите — в статьях Приказ ФСТЭК № 21: требования к защите ПДн и Уровни защищённости ПДн.

Аттестация и сертификация — два разных процесса, которые часто путают даже специалисты по ИБ. Разберём отличия:

Как это работает на практике: вендор (например, Kaspersky, Positive Technologies, «Код Безопасности») проходит сертификацию своего продукта — получает сертификат ФСТЭК. Оператор закупает этот сертифицированный продукт, внедряет его в свою ИСПДн вместе с другими мерами защиты и проходит аттестацию всей системы.

Важно: для успешной аттестации все применяемые СЗИ должны иметь действующие сертификаты ФСТЭК (или ФСБ для средств криптографической защиты). Если сертификат на СЗИ истёк — это основание для отказа в выдаче аттестата.

Процедура аттестации по Приказу ФСТЭК № 77 включает 7 последовательных этапов:

Этап 1. Подача заявки и заключение договора. Оператор ИС подаёт заявку в организацию-лицензиат ФСТЭК. В заявке указываются: наименование ИСПДн, её назначение, класс/уровень защищённости, перечень обрабатываемых ПДн. Заключается договор на проведение аттестационных испытаний.

Этап 2. Предварительное обследование. Аттестующая организация изучает систему: архитектуру, состав технических средств, топологию сети, применяемые СЗИ, организационные меры. Проверяется полнота документации. По результатам формируется перечень объектов аттестации и определяется объём работ.

Этап 3. Разработка программы и методик испытаний. Разрабатывается документ, определяющий: какие требования будут проверяться, какими методами (анализ документации, проверка настроек, инструментальный контроль, тестирование на проникновение), в какой последовательности. Программа согласовывается с заказчиком.

Этап 4. Проведение аттестационных испытаний. Самый объёмный этап. Аттестационная комиссия выполняет:

• Анализ полноты и качества организационно-распорядительной документации
• Проверку соответствия реальной конфигурации СЗИ требованиям эксплуатационной документации
• Проверку настроек операционных систем и СУБД
• Тестирование механизмов идентификации, аутентификации и разграничения доступа
• Проверку защиты каналов связи (VPN, TLS)
• Инструментальное сканирование уязвимостей
• Проверку журналирования и аудита событий безопасности
• При необходимости — попытки несанкционированного доступа (тестирование на проникновение)

Этап 5. Оформление протоколов испытаний. По каждому пункту программы фиксируется: что проверялось, каким методом, результат (соответствует / не соответствует / частично соответствует). Протоколы подписываются всеми членами аттестационной комиссии.

Этап 6. Оформление заключения и выдача аттестата. При положительных результатах по всем пунктам выдаётся аттестат соответствия требованиям безопасности информации. При выявлении несоответствий — заключение с перечнем замечаний. Оператор устраняет замечания и проходит повторную проверку по «проблемным» пунктам.

Этап 7. Периодический контроль. После выдачи аттестата проводится регулярный контроль: не реже 1 раза в 2 года (для ГИС — обязательно). Проверяется неизменность аттестованной конфигурации, работоспособность СЗИ, актуальность сертификатов. Результаты оформляются актом.

Для прохождения аттестации необходим комплект организационно-распорядительных и проектных документов. Неполнота документации — причина №1 задержек и замечаний. Полный перечень:

Обязательные документы:

1. Модель угроз безопасности ПДн — определяет актуальные угрозы для конкретной ИСПДн, базовый документ для выбора мер защиты
2. Технический паспорт ИСПДн — описание состава, архитектуры, характеристик системы, перечень технических и программных средств
3. Акт определения уровня защищённости ПДн — классификация системы по УЗ-1 — УЗ-4 в соответствии с ПП 1119
4. Политика информационной безопасности — основополагающий документ ИБ организации
5. Техническое задание на создание системы защиты информации — требования к проектируемой СЗИ
6. Технический проект системы защиты — как именно реализуются требования ТЗ
7. Приказ о назначении ответственного за безопасность ПДн
8. Приказ об утверждении перечня лиц, допущенных к обработке ПДн

Эксплуатационная документация:

9. Инструкция администратора безопасности ИСПДн
10. Инструкция пользователя ИСПДн
11. Инструкция по антивирусной защите
12. Порядок резервного копирования и восстановления
13. Порядок реагирования на инциденты безопасности
14. Журнал учёта носителей информации
15. Журнал учёта средств защиты информации

Документы на СЗИ:

16. Копии сертификатов соответствия ФСТЭК (ФСБ) на все применяемые СЗИ
17. Формуляры на СЗИ с отметками о вводе в эксплуатацию

Большинство организационно-распорядительных документов можно подготовить в конструкторе документов Кибероснова — модель угроз, паспорт ИСПДн, политику ИБ, приказы, инструкции и журналы. Это ускоряет подготовку и снижает стоимость аттестации. Полный каталог документов содержит более 90 шаблонов.

Аттестацию проводит организация-лицензиат ФСТЭК России, имеющая лицензию на деятельность по технической защите конфиденциальной информации (ТЗКИ). Самостоятельно аттестовать собственную систему оператор не вправе — это принципиальное отличие от самооценки.

Как проверить лицензию:

• Реестр лицензиатов на официальном сайте ФСТЭК: fstec.ru → Лицензирование → Реестр лицензий
• В лицензии должен быть указан вид деятельности: аттестация объектов информатизации
• Лицензия должна быть действующей (не приостановлена, не аннулирована)

Критерии выбора аттестующей организации:

• Опыт: количество проведённых аттестаций, особенно аналогичных систем (ИСПДн вашего профиля)
• Специализация: организация, которая занимается именно аттестацией, а не «всем подряд»
• Стоимость: слишком низкая цена — повод насторожиться (формальная аттестация «для галочки» не защитит при проверке)
• Сопровождение: помощь в устранении замечаний, периодический контроль
• Репутация: отзывы, рекомендации от коллег по отрасли

На рынке работают как крупные интеграторы (с ценами от 500 000 руб.), так и специализированные компании (от 200 000 руб.). Стоимость зависит от масштаба системы, а не от «бренда» исполнителя.

Анализ практики аттестационных испытаний показывает устойчивый набор типичных ошибок. Зная их заранее, можно избежать повторных проверок и дополнительных затрат.

1. Неактуальная модель угроз. Модель разработана 3-5 лет назад и не пересматривалась. Не учтены актуальные типы угроз из БДУ ФСТЭК, не соответствует текущей архитектуре системы. Решение: актуализировать модель угроз под текущую конфигурацию ИСПДн.

2. Несоответствие документации реальности. В техническом паспорте указаны одни серверы, а в стойке стоят другие. Схема сети не соответствует реальной топологии. Решение: провести инвентаризацию перед подачей заявки, актуализировать паспорт ИСПДн.

3. Истёкшие сертификаты на СЗИ. СЗИ установлено и настроено, но сертификат ФСТЭК истёк год назад. Формально это не сертифицированное СЗИ. Решение: отслеживать сроки действия сертификатов, планировать замену или обновление версий.

4. Дефолтные настройки СЗИ. Средство защиты установлено «из коробки», но не настроено под конкретные требования: не включён аудит событий, не настроена парольная политика, не ограничены порты. Решение: настроить СЗИ в соответствии с эксплуатационной документацией и руководством ФСТЭК.

5. Отсутствие разграничения доступа. Все пользователи работают под учётной записью администратора или имеют одинаковые права. Решение: реализовать ролевую модель доступа, задокументировать матрицу прав.

6. Неполнота эксплуатационной документации. Есть политика ИБ, но нет инструкций для пользователей и администраторов. Нет журналов учёта. Решение: подготовить полный комплект в конструкторе документов.

7. Отсутствие процедуры реагирования на инциденты. Нет документированного порядка действий при выявлении утечки, несанкционированного доступа или сбоя СЗИ. Решение: разработать и утвердить порядок реагирования, провести учебную тренировку.

Аттестационная комиссия проверяет реализацию мер защиты по Приказу ФСТЭК № 21 (для ИСПДн) или № 17 (для ГИС). Проверка охватывает три направления:

Документационный контроль:

• Наличие и актуальность модели угроз
• Соответствие технического паспорта реальной конфигурации системы
• Наличие полного комплекта ОРД (приказы, инструкции, журналы)
• Действительность сертификатов на применяемые СЗИ
• Корректность определения уровня защищённости

Технический контроль:

• Идентификация и аутентификация — проверяется парольная политика (длина, сложность, периодичность смены), блокировка при неудачных попытках входа
• Управление доступом — соответствие реальных прав пользователей утверждённой матрице доступа
• Регистрация событий безопасности — настройка аудита в ОС, СУБД, СЗИ; наличие и хранение журналов
• Антивирусная защита — актуальность баз, настройка автоматического обновления и сканирования
• Межсетевое экранирование — правила фильтрации, закрытие неиспользуемых портов
• Обнаружение вторжений — настройка СОВ/IDS, реакция на инциденты
• Защита каналов связи — использование VPN/TLS для передачи ПДн по сети
• Контроль целостности — механизмы обнаружения несанкционированных изменений

Инструментальный контроль:

• Сканирование уязвимостей (XSpider, RedCheck, MaxPatrol и аналоги)
• Проверка открытых портов и сервисов
• Анализ конфигурации ОС на соответствие benchmark (CIS, ФСТЭК)
• При УЗ-1 и УЗ-2 — возможно тестирование на проникновение

Результаты каждой проверки фиксируются в протоколе. Для получения аттестата требуется соответствие по всем пунктам программы испытаний. Даже одно критическое несоответствие — основание для отказа.

Стоимость аттестации ИСПДн зависит от масштаба системы, уровня защищённости и готовности документации:

Ориентировочные цены в 2026 году:

• Небольшая ИСПДн (до 10 АРМ, УЗ-3/УЗ-4): 200 000 — 400 000 руб.
• Средняя ИСПДн (10-50 АРМ, УЗ-2/УЗ-3): 400 000 — 600 000 руб.
• Крупная ИСПДн (50+ АРМ, УЗ-1/УЗ-2, несколько площадок): 600 000 — 1 200 000+ руб.

Как сэкономить: подготовьте документацию самостоятельно — это снижает стоимость на 100 000-300 000 руб. Используйте конструктор документов для генерации модели угроз, паспорта ИСПДн, политик, приказов и инструкций. Полный каталог документов для аттестации — более 90 шаблонов.

Сроки по этапам:

• Предварительное обследование: 1-2 недели
• Разработка программы и методик: 1-2 недели
• Аттестационные испытания: 2-4 недели
• Оформление протоколов и заключения: 1-2 недели
• Устранение замечаний (если есть): 2-4 недели

Итого: от 1,5 до 3 месяцев. При полностью готовой документации и настроенных СЗИ — 1-1,5 месяца. При необходимости устранения замечаний — до 4-5 месяцев.

Пошаговый план подготовки, который минимизирует риск замечаний:

1. Определите уровень защищённости — от него зависит набор обязательных мер. Используйте критерии ПП 1119 (подробное руководство)
2. Проведите инвентаризацию — зафиксируйте все серверы, АРМ, сетевое оборудование, ПО. Это основа для технического паспорта
3. Подготовьте полный пакет документов — используйте конструктор для генерации модели угроз, паспорта ИСПДн, политики ИБ, приказов и инструкций
4. Проверьте сертификаты СЗИ — все средства защиты должны иметь действующие сертификаты ФСТЭК/ФСБ. Запросите копии у вендоров
5. Настройте СЗИ по требованиям — не «из коробки», а в соответствии с руководством по эксплуатации и требованиями приказа ФСТЭК
6. Настройте разграничение доступа — реализуйте ролевую модель, задокументируйте матрицу прав
7. Включите аудит — настройте журналирование событий безопасности в ОС, СУБД, СЗИ
8. Проведите внутреннее сканирование уязвимостей — устраните критичные уязвимости до прихода аттестующей организации
9. Актуализируйте модель угроз — она должна соответствовать текущей конфигурации и актуальным угрозам из БДУ ФСТЭК
10. Выберите аттестующую организацию — проверьте лицензию ФСТЭК на ТЗКИ в реестре на fstec.ru

Главный совет: качественная подготовка документации — залог успешной аттестации. По статистике, 70% замечаний при аттестации связаны с документацией (неполнота, несоответствие реальности, устаревшие данные), а не с техническими проблемами. Перед подачей заявки на аттестацию рекомендуется провести внутренний аудит на соответствие 152-ФЗ — он выявит пробелы в документации заранее.