Этапы аттестации СЗИ: 3 фазы и 9 шагов процесса

Этапы аттестации СЗИ — это последовательность из девяти шагов, объединённых в три фазы: проектирование защиты, её внедрение и сами аттестационные испытания. Процесс начинается с обследования информационной системы и разработки программы испытаний, а завершается выдачей аттестата соответствия, который действует до 5 лет. Понимание каждого этапа помогает заранее подготовить инфраструктуру и документы — и пройти аттестацию с первого раза, без переделок и просрочек.

Ключевые выводы

• Аттестация проходит в три фазы: проектирование СЗИ, внедрение мер защиты и аттестационные испытания.
• Аттестационные испытания состоят из 9 последовательных шагов — от разработки методики до выдачи аттестата.
• Дольше всего занимает не сама проверка, а подготовка: построение защиты и комплект из ~11 локальных правовых актов.
• Типовой срок — 2–4 месяца, максимум 180 календарных дней; аттестат действует до 5 лет.
• Корректное определение класса системы на старте решает исход: ошибка ведёт к отказу или лишним затратам.

В этой статье разбираем каждый этап аттестации по порядку. Если вы ещё не знакомы с базовыми понятиями — кому аттестация обязательна и на каких законах основана — начните с обзорного материала что такое аттестация СЗИ, а затем возвращайтесь сюда за деталями процесса.

Три фазы аттестации СЗИ

Хотя формально аттестационные испытания — это отдельная процедура, на практике организацию интересует весь путь от «у нас ничего нет» до аттестата в руках. Этот путь делится на три фазы:

Перепрыгнуть через первые две фазы нельзя: аттестующая организация проверяет уже построенную систему защиты. Поэтому если защита ещё не выстроена, реальная работа начинается с построения системы информационной безопасности, а аттестация становится финальным аккордом.

Фаза 1. Обследование и проектирование

Первая фаза отвечает на вопрос «что и от чего защищаем». Без неё невозможно оценить ни объём работ, ни стоимость, ни сроки.

Обследование информационной системы

Специалисты инвентаризируют технические и программные средства, определяют, какая защищаемая информация обрабатывается, какие потоки данных существуют и где границы информационной системы. Параллельно полезно провести анализ защищённости информационной системы — он показывает реальное состояние защиты до начала работ.

Классификация системы

Систему относят к определённому классу (например, «3-ин» или «3-юл») — от него зависит набор обязательных мер защиты. Это один из самых ответственных моментов: заниженный класс приведёт к отказу в аттестации, завышенный — к лишним расходам на избыточные меры.

Разработка проекта СЗИ

На основе класса и результатов обследования формируется техническое задание и проект системы защиты: какие средства защиты применить, как разграничить доступ, как организовать резервное копирование и реагирование на инциденты.

Фаза 2. Внедрение средств защиты и документов

На второй фазе проект превращается в работающую защиту. Устанавливаются и настраиваются технические средства, выстраивается управление доступом к информационным ресурсам, внедряется защита информации от несанкционированного доступа, настраивается резервное копирование данных.

Параллельно готовится пакет локальных правовых актов (ЛПА) — около 11 внутренних документов: политика информационной безопасности, положение об обработке персональных данных, перечень защищаемой информации, инструкции пользователей, регламенты реагирования на инциденты. Именно отсутствие или формальность этих документов чаще всего тормозит аттестацию.

Чтобы фазы 1 и 2 не растягивались, их объединяют в рамках комплексного обеспечения информационной безопасности — когда одна команда проектирует, внедряет и готовит документы под будущую аттестацию.

Фаза 3. Аттестационные испытания: 9 шагов

Когда защита построена, а документы готовы, начинается собственно аттестация. Она проходит по девяти последовательным шагам:

1. Разработка программы и методики аттестационных испытаний — что и как будет проверяться.
2. Проверка инвентаризации технических и программных средств информационной системы.
3. Подтверждение класса информационной системы.
4. Оценка достаточности мер защиты относительно класса.
5. Анализ локальных правовых актов — соответствуют ли внутренние документы требованиям.
6. Тестирование выполнения функциональных требований к СЗИ.
7. Сканирование уязвимостей — внутреннее и внешнее, в рамках управления уязвимостями.
8. Оформление технического отчёта и протокола испытаний.
9. Выдача аттестата соответствия.

Каждый шаг фиксируется документально. Если на каком-то этапе обнаруживается несоответствие — например, недостаточность мер защиты или незакрытые уязвимости — выдаётся перечень замечаний, который нужно устранить до выдачи аттестата.

Сколько времени занимает каждый этап

• Фаза 1 (проектирование): от 2 недель до 1–1,5 месяцев в зависимости от размера системы.
• Фаза 2 (внедрение): самая вариативная — от пары недель до 2 месяцев, если защиту строят с нуля.
• Фаза 3 (испытания): обычно 2–4 недели на сами проверки и оформление.

В сумме типовая аттестация занимает 2–4 месяца, а максимальный срок ограничен 180 календарными днями. Главный фактор — стартовое состояние защиты: если инфраструктура и документы уже в порядке, остаётся только третья фаза.

Пример из практики

Организация с медицинской информационной системой обратилась за аттестацией, имея «голую» инфраструктуру без регламентов. Сами аттестационные испытания (фаза 3) заняли около трёх недель — но им предшествовали полтора месяца на построение защиты и разработку документов. Вывод простой: чем раньше начать фазы 1 и 2, тем предсказуемее срок аттестации. Откладывание подготовки «на потом» — главная причина срыва сроков.

Типичные ошибки на этапах аттестации

• Неверная классификация системы на фазе 1 — ведёт к переделке всего проекта.
• Формальные документы: ЛПА «для галочки», не отражающие реальные процессы.
• Незакрытые уязвимости на шаге сканирования — результат отсутствия регулярного контроля защищённости.
• Изменение инфраструктуры в процессе аттестации — обнуляет уже пройденные шаги.
• Старт аттестации до построения защиты — самая дорогая ошибка по времени.

Часто задаваемые вопросы об этапах аттестации СЗИ

Заключение: с чего начать

Аттестация СЗИ — это не один шаг, а цепочка из трёх фаз и девяти этапов. Большая часть сроков и рисков сосредоточена не в самих испытаниях, а в подготовке. Поэтому планировать аттестацию нужно с обследования и проектирования, а не с финального этапа.

• На этой неделе: проведите инвентаризацию системы и предварительно определите её класс.
• В этом месяце: оцените, что из защиты и документов уже готово, а что предстоит создать.
• Дальше: закройте пробелы фаз 1–2, чтобы аттестационные испытания прошли с первого раза.

Хотите пройти все этапы без переделок и срыва сроков? Специалисты Genesis Systems проведут аттестацию системы защиты информации под ключ — от обследования до выдачи аттестата соответствия — по лицензии ОАЦ и с гарантией 12 месяцев на работы. Свяжитесь с нами: +375 (17) 336-07-67, info@genesis-systems.by.

Оставьте заявку на аттестацию СЗИ

Оставьте заявку — специалисты Genesis Systems оценят готовность вашей системы к аттестации и рассчитают сроки и стоимость работ по этапам.