Порядок аттестации ИСПДн по требованиям ФСТЭК: когда обязательна, этапы проведения, необходимые документы, стоимость и сроки. Скачайте образец акта аттестации или создайте в конструкторе за 15 минут.
* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.
Аттестация информационной системы персональных данных — это комплекс организационно-технических мероприятий, по результатам которых подтверждается соответствие системы защиты информации требованиям безопасности. Аттестация проводится аккредитованным органом по аттестации (лицензиатом ФСТЭК).
Правовая основа аттестации:
Аттестация — это не разовая проверка, а подтверждение того, что спроектированная и внедрённая система защиты действительно нейтрализует актуальные угрозы из модели угроз.
Ключевое различие — тип информационной системы:
Для государственных информационных систем (ГИС) аттестация обязательна по Приказу ФСТЭК № 17 (п. 17.1). Эксплуатация ГИС без аттестата соответствия запрещена. Срок действия аттестата — 3 года, после чего требуется повторная аттестация.
Для ИСПДн коммерческих организаций Приказ ФСТЭК № 21 (п. 6) устанавливает, что оценка соответствия может проводиться в форме аттестации или иных форм (приёмо-сдаточные испытания, испытания системы защиты). Однако аттестация — наиболее надёжная и юридически значимая форма.
Аттестация ИСПДн проводится в несколько последовательных этапов. Весь процесс занимает от 2 до 8 недель в зависимости от сложности системы.
Этап 1. Предпроектное обследование. Анализ ИСПДн: инвентаризация ПДн, описание архитектуры, определение границ контролируемой зоны. Составляется перечень ИСПДн и паспорт ИСПДн.
Этап 2. Разработка документации. Модель угроз, акт определения уровня защищённости, техническое задание на СЗИ, проект системы защиты, организационно-распорядительные документы.
Этап 3. Внедрение средств защиты. Установка и настройка сертифицированных СЗИ: антивирус, межсетевой экран, СОВ, средства контроля доступа. Настройка политик безопасности.
Этап 4. Аттестационные испытания. Лицензиат ФСТЭК проводит: анализ документации, проверку настроек СЗИ, тестирование на уязвимости, проверку выполнения организационных мер.
Этап 5. Выдача аттестата соответствия. При успешном прохождении испытаний выдаётся аттестат соответствия требованиям по безопасности информации.
Конструктор сформирует полный пакет документов, необходимых для аттестации ИСПДн: модель угроз, акт УЗ, паспорт ИСПДн и другие.
Открыть конструктор| № | Документ | Основание | Статус |
|---|---|---|---|
| 1 | Модель угроз безопасности ПДн | Приказ ФСТЭК № 21, ПП 1119 | Обязателен |
| 2 | Акт определения уровня защищённости | ПП 1119 | Обязателен |
| 3 | Техническое задание на СЗИ | ГОСТ 34.602 | Обязателен |
| 4 | Технический проект системы защиты | Приказ ФСТЭК № 21 п. 8 | Обязателен |
| 5 | Паспорт ИСПДн | Приказ ФСТЭК № 17/21 | Обязателен |
| 6 | Перечень ИСПДн | Приказ ФСТЭК № 21 | Обязателен |
| 7 | Приказ об обработке ПДн | ФЗ-152 ст. 18.1 | Обязателен |
| 8 | Инструкция пользователя ИС | Приказ ФСТЭК № 21 (УПД.13) | Обязателен |
Аттестацию ИСПДн проводит организация-лицензиат ФСТЭК, имеющая лицензию на деятельность по технической защите конфиденциальной информации (ТЗКИ) с правом проведения аттестационных испытаний. Список аккредитованных органов по аттестации публикуется на сайте ФСТЭК.
В стоимость обычно входит: обследование, разработка документации (если отсутствует), проведение аттестационных испытаний, оформление аттестата. Существенно сократить расходы можно, подготовив документацию самостоятельно — модель угроз, акт УЗ, ОРД — в конструкторе Кибероснова.
Операторы ИСПДн часто путают аттестацию и оценку соответствия. Это разные процедуры.
Оценка соответствия — общий термин из Приказа ФСТЭК № 21 (п. 6). Оператор вправе выбрать любую форму: аттестация, приёмо-сдаточные испытания, внутренний аудит. Для коммерческих ИСПДн допускается упрощённая форма — приказ руководителя о вводе в эксплуатацию с протоколом испытаний.
Аттестация — наиболее формализованная и юридически значимая форма оценки соответствия. Проводится только лицензиатом ФСТЭК по установленной методике. Результат — аттестат соответствия (официальный документ).
Когда достаточно оценки соответствия:
Когда нужна именно аттестация:
Проверьте готовность вашей ИСПДн к аттестации с помощью бесплатного аудита.
ИСПДн «Бухгалтерия» — 1С:Зарплата и кадры
Категории ПДн: иные + биометрические (фото в личных делах) Объём: до 1 000 субъектов (сотрудники) Уровень защищённости: УЗ-3 Тип угроз: 3-й
Средства защиты: антивирус (сертификат ФСТЭК), межсетевой экран, средство контроля съёмных носителей, резервное копирование, парольная политика Организационные меры: назначен ответственный, утверждена модель угроз, инструкции пользователей, журнал учёта доступа
Результат: аттестат соответствия выдан на бессрочный период с условием переаттестации при изменении инфраструктуры.
Скачать образец
Актуальный бланк 2026 года в формате DOCX
Подготовим полный пакет документов для аттестации, поможем выбрать и настроить сертифицированные СЗИ, сопроводим до получения аттестата.
Заказать подготовкуПодготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.
