Быть в курсе
Аватарка автора Редакция Рег.облако
БезопасностьОблако

Аттестация информационных систем персональных данных (ИСПДн) по требованиям ФСТЭК и 152-ФЗ

28 ноября 2025

11 минут

Телеграм

ВКонтакте

Работа с персональными данными (ПДн) — огромная ответственность. Каждый день компании собирают, обрабатывают и хранят гигабайты чувствительной информации: от паспортных данных сотрудников до покупательских предпочтений клиентов. Федеральный закон № 152-ФЗ «О персональных данных» четко определяет, что эти сведения должны быть надежно защищены.

А одним из весомых подтверждений такой защиты является аттестация. Для новичка этот процесс может показаться сложным и запутанным. Цель этой статьи — простыми словами объяснить, что такое аттестация, кому она нужна и как пройти ее с минимальными трудностями.

Что такое аттестация ИСПДн по ФСТЭК

Представьте, что вы построили сейф для хранения важных документов. Чтобы быть уверенным в его надежности, вы приглашаете эксперта-взломщика, который пытается его вскрыть всеми известными способами. Если сейф выдерживает — эксперт выдает заключение о его прочности.

Аттестация информационной системы персональных данных (ИСПДн) — это очень похожий процесс. Это комплексная проверка, в ходе которой независимые эксперты подтверждают, что ваша информационная система (серверы, компьютеры, программы), где обрабатываются личные данные, соответствует требованиям безопасности. Главным «ревизором» в этой области выступает Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Именно она устанавливает правила игры и выдает лицензии организациям, которые имеют право проводить такие проверки. По итогам успешных испытаний компания получает Аттестат соответствия.

Источник: Freepik. Аттестат соответствия официально удостоверяет, что ваша система защиты информации эффективна и отвечает всем нормам законодательства

Кому и когда нужно проходить аттестацию

Законодательство обязывает проходить аттестацию в первую очередь государственные информационные системы (ГИС). Если муниципальное учреждение, министерство или ведомство обрабатывает персональные данные граждан, их система должна быть аттестована в обязательном порядке.

Для коммерческих организаций процедура носит по большей части добровольный характер. Однако есть множество ситуаций, когда получение сертификации и аттестата соответствия становится насущной необходимостью или важным конкурентным преимуществом:

  • Работа с госструктурами. Если вы — подрядчик и ваша система интегрируется с государственной, от вас могут потребовать наличие аттестата.
  • Требования партнеров. Крупные корпорации, особенно в финансовой и телекоммуникационной сферах, часто требуют от своих партнеров подтверждения высокого уровня защиты данных.
  • Повышение доверия клиентов. Аттестат — это весомый аргумент, доказывающий, что вы серьезно относитесь к безопасности клиентских данных.
  • Минимизация рисков. Процесс подготовки к аттестации помогает выявить и устранить уязвимости, о которых вы могли даже не подозревать, тем самым снижая вероятность утечек и последующих штрафов.

Законодательные требования к аттестации АРМ, рабочих мест и сетей

Чтобы понимать суть процесса, достаточно знать несколько ключевых нормативных документов, на которые опираются эксперты при проверке:

  • Федеральный закон № 152-ФЗ «О персональных данных» — это основа основ, главный закон, регулирующий всю сферу обработки ПДн в России.
  • Постановление Правительства РФ № 1119 — определяет требования к защите персональных данных при их обработке в информационных системах.
  • Приказы ФСТЭК России № 17 и № 21 — это уже более технические документы. Приказ №17 касается государственных систем, а №21 — коммерческих.
Источник: Freepik. В приказах детально описаны меры и средства защиты, которые необходимо применять в зависимости от уровня угроз и типа данных

Процедура: этапы и процессы аттестации ИСПДн / информационных систем

Аттестация информационных систем (ИС) — это не одномоментное событие, а последовательный проект, который можно разделить на несколько ключевых стадий:

  1. Предварительный аудит и обследование. Эксперты приезжают к вам, чтобы понять, как устроена ваша система: какие данные вы обрабатываете, где они хранятся, кто имеет к ним доступ. На этом этапе определяется уровень защищенности вашей ИСПДн.
  2. Проектирование системы защиты. На основе аудита создается модель угроз (список потенциальных опасностей) и разрабатывается технический проект. В нем подробно описывается, какие средства защиты нужно внедрить или настроить.
  3. Внедрение технических решений и подготовка документации. На этом этапе устанавливаются и настраиваются необходимые программы (антивирусы, межсетевые экраны, системы обнаружения вторжений), а также готовится внушительный пакет внутренних документов: регламенты, инструкции, приказы.
  4. Аттестационные испытания. Это кульминация всего процесса. Эксперты проводят серию тестов: пытаются получить несанкционированный доступ, анализируют настройки оборудования и программ, проверяют, как сотрудники соблюдают регламенты.
  5. Выдача аттестата. Если все испытания прошли успешно, оформляется протокол и выдается заветный Аттестат соответствия, который обычно действует в течение трех лет.
Источник: Freepik. Для ГИС аттестат может быть бессрочным, но требует периодического контроля

Средства защиты информации и технические решения

Построение аттестованной ИСПДн начинается с надежной и контролируемой инфраструктуры. виртуальные серверы Рег.облако позволяют создать изолированное окружение для развертывания ваших приложений и сервисов, работающих с ПДн. Используя объектное хранилище, вы обеспечиваете безопасное хранение архивов и файлов, а сервис резервного копирования гарантирует восстановление данных в случае инцидента, что является обязательным требованием для построения отказоустойчивой системы.

Для успешного прохождения аттестации недостаточно просто установить антивирус. Система защиты должна быть комплексной и многоуровневой. Как правило, она включает:

  • Сертифицированные средства защиты от несанкционированного доступа (СЗИ от НСД): Специальные программы, которые контролируют вход в систему и права доступа пользователей на сайте.
  • Межсетевые экраны (Firewalls): Фильтруют сетевой трафик, пропуская разрешенные данные и блокируя подозрительные.
  • Антивирусная защита: Обязательный компонент для всех рабочих станций и серверов.
  • Системы обнаружения вторжений (IDS/IPS): Анализируют активность в сети и выявляют попытки атак.
  • Криптографические средства: Шифруют данные при их передаче по открытым каналам связи, например, через интернет.
  • Средства контроля и анализа защищенности: Сканеры уязвимостей, которые помогают найти «дыры» в безопасности.

Важный момент: многие из этих программных и аппаратных решений должны иметь сертификат ФСТЭК России, подтверждающий, что они прошли проверку и могут использоваться для защиты конфиденциальной информации.

Аттестация особых случаев / систем организации и независимость аттестации

Не все информационные системы одинаковы. Например, аттестация критической информационной инфраструктуры (КИИ) — систем в сфере энергетики, транспорта, финансов — проходит по еще более строгим правилам. Также отдельные нюансы есть при аттестации систем, обрабатывающих биометрические или иные специальные категории ПДн.

Документы, требования и критерии аттестации систем защиты информации

Чтобы получить аттестат, нужно не только настроить технику, но и привести в порядок бумаги. Пакет документов — это формальное доказательство того, что у вас выстроены все процессы безопасности. Вот лишь часть того, что потребуется:

  • Приказ о назначении ответственных за защиту ПДн.
  • Модель угроз и модель нарушителя.
  • Технический паспорт на ИСПДн.
  • Акт классификации системы.
  • Политики, регламенты и инструкции для сотрудников (например, инструкция по антивирусной защите или порядок доступа в помещения с серверами).
  • Журналы учета (например, журнал учета обращений пользователей).

Эксперты будут оценивать не только наличие этих документов, но и то, насколько они соответствуют реальному положению дел в компании.

Источник: Freepik. В каждом таком случае модель угроз и набор защитных мер будут уникальным

Типичные ошибки, риски и сложности

Путь к аттестату бывает тернист. Вот самые частые «грабли», на которые наступают компании:

  • Неправильная классификация системы. Неверно определили уровень защищенности — выбрали не те средства защиты, что ведет к отказу в аттестации.
  • Проблемы с документацией. Документы написаны «для галочки» и не отражают реальных процессов, либо их нет вовсе.
  • Использование несертифицированных средств защиты. Попытка сэкономить на ПО может обернуться провалом на испытаниях.
  • Человеческий фактор. Сотрудники не обучены правилам безопасности, используют простые пароли или игнорируют регламенты.
  • Неверный выбор подрядчика. Сотрудничество с компанией без должного опыта и лицензий — пустая трата времени и денег.
  • Одна из частых ошибок — неправильный выбор или настройка базовой инфраструктуры. Рег.облако помогает избежать этого, предоставляя управляемые сервисы. Например, управляемые базы данных избавляют от необходимости самостоятельной установки, настройки и обновления СУБД, снижая риск человеческой ошибки и обеспечивая стабильную работу ключевого компонента вашей ИСПДн на предсказуемой и производительной платформе.

Как выбрать организацию, которая проводит аттестацию

Доверять такую важную задачу можно только профессионалам. Вот на что обратить внимание при выборе подрядчика:

  1. Наличие лицензии ФСТЭК. Это первое и самое главное. В лицензии должно быть прямо указано право на проведение «аттестационных испытаний и аттестации на соответствие требованиям по защите информации».
  2. Опыт и репутация. Изучите портфолио компании, почитайте отзывы. Узнайте, есть ли у них опыт аттестации систем, похожих на вашу.
  3. Компетентность команды. Не стесняйтесь пообщаться с экспертами, которые будут проводить работы, задайте им вопросы.
  4. Прозрачность. Надежный подрядчик подробно распишет все этапы работ, их стоимость и сроки в договоре.

Аттестация в контексте облака и удаленной инфраструктуры

Все больше компаний переносят свои данные в облака. Возникает логичный вопрос: как аттестовать систему, если серверы физически находятся у провайдера? Здесь есть важный нюанс: ответственность за защиту данных делится между вами и облачным провайдером.

Выбор правильного облака может значительно упростить задачу. Например, провайдер Рег.облако предлагает инфраструктуру, которая уже аттестована по требованиям 152-ФЗ и соответствует самому высокому, первому, уровню защищенности (УЗ-1).

Что это дает на практике?

  • Готовый фундамент: Вы размещаете свои системы в уже защищенном и аттестованном сегменте дата-центра.
  • Снижение затрат: Вам не нужно с нуля строить всю систему защиты на уровне «железа» и сети — об этом уже позаботился провайдер.
  • Ускорение процесса: Значительная часть требований регулятора уже закрыта облачной платформой. Вам остается обеспечить защиту на уровне своих приложений и операционных систем, а также подготовить свою часть документации.

Использование такого подготовленного облака, как Reg.облако, позволяет рассматривать его как надежное основание для аттестации уже вашей собственной информационной системы, что экономит и время, и ресурсы.

Часто задаваемые вопросы

Когда аттестация ИСПДН обязательна?
Аттестация государственной или автоматизированной системы обязательна для государственных информационных систем, которые обрабатывают персональные данные. Для коммерческих организаций она является добровольной, но может требоваться по условиям контрактов или для повышения уровня доверия.

Что такое аттестация информационных систем?
Это процесс официального подтверждения того, что информационная система соответствует установленным государством требованиям по безопасности информации. Услугу проверки оказывает независимая организация с лицензией ФСТЭК.

Кто может проводить аттестацию информационных систем?
Проводить аттестацию могут только юридические лица, получившие специальную лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, с пунктом, разрешающим проведение аттестационных испытаний.

Какие документы необходимы для проведения аттестации ИСПДн?
Требуется большой пакет организационно-распорядительной и технической документации. Ключевые из них: модель угроз, технический паспорт, акт классификации ИСПДн, приказы о назначении ответственных, различные политики и регламенты безопасности.

Какие риски могут возникнуть при несоблюдении требований аттестации?
Основные риски — это уязвимость системы перед кибератаками, что может привести к утечке данных. За этим следуют финансовые потери (штрафы от Роскомнадзора), репутационный ущерб и потеря доверия со стороны клиентов и партнеров.

Как интерпретируются результаты аттестации ИСПДн?
Положительным результатом является выдача «Аттестата соответствия». Он подтверждает, что на момент проверки система защиты информации в компании полностью соответствует требованиям законодательства РФ. Если в ходе испытаний выявляются несоответствия, составляется протокол с перечнем замечаний, которые необходимо устранить для получения аттестата.

Андрей Лебедев

Аватарка автора Редакция Рег.облако

28 ноября 2025

Телеграм

ВКонтакте

Новые статьи