Приказ ФСТЭК России №77 от 29.04.2021 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о ЗИ ограниченного доступа, не составляющей гостайну»

Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»

Суть

Установлен порядок аттестации ГИС, МИС, ИС ОПК (включая АС станков с ЧПУ), помещений, ЗО КИИ, ИСПДн, АСУ ТП.

Ссылки

Обзоры документа

Аналитический центр УЦСБ

Порядок, установленный Приказом ФСТЭК России № 77, распространяется на аттестацию следующих объектов информатизации:

государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн);
ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
защищаемых помещений;
значимых объектов критической информационной инфраструктуры (далее – КИИ);
ИСПДн;
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнение требований, установленных Приказом ФСТЭК России № 77 для проведения работ по аттестации.

Приказом ФСТЭК России № 77 определен минимальный состав аттестационной комиссии: руководитель комиссии и не менее двух экспертов; установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации.

Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

аттестата соответствия объекта информатизации;
технического паспорта на объект информатизации;
акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ;
программы и методик аттестационных испытаний объекта информатизации;
заключения и протоколов.

Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения об аттестованных им объектах информатизации.

В случае развития (модернизации) объекта информатизации, приводящей к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

Гарант ПРАЙМ

ФСТЭК установила порядок аттестации на соответствие требованиям по защите информации ограниченного доступа следующих объектов:

государственных и муниципальных информсистем;
информсистем управления производством организаций ОПК, в том числе автоматизированных систем станков с ЧПУ;
помещений для ведения конфиденциальных переговоров.

Порядок может применяться также для аттестации:

значимых объектов критической информационной инфраструктуры РФ;
информсистем персональных данных;
автоматизированных систем управления производственными и технологическими процессами на критически важных, потенциально опасных объектах и объектах повышенной опасности.

Приказ вступает в силу с 1 сентября 2021 г.

Текст документа

Быстрый просмотр сохранённой копии

🧩 Хаб Злонова

Недавние новости

Ключевые носители Esmart Token совместимы с приложением «Окуляр ГОСТ»

Сервис шифрования каналов связи от «Солара» аттестован по высшему классу защиты данных

«Гарда» в 3 раза сократила время обработки данных при проверке контрагентов и сотрудников

ПТК «КВАНТ-ЧЭАЗ» от АО «ЧЭАЗ» и программный комплекс «Аркан 2.0»

Ссылки

Обзоры документа

Аналитический центр УЦСБ

Гарант ПРАЙМ

Текст документа

Граф связей

Обратные ссылки

Оглавление

Реклама (эксперимент)