Аттестация и защита информации
Аттестация и защита информации
Документы для аттестации СЗИ: перечень ЛПА
Документы для аттестации СЗИ — это пакет из примерно 11 локальных правовых актов (ЛПА), которые описывают, как организация защищает информацию: от политики безопасности до регламентов реагирования на инциденты. Без этого комплекта аттестация невозможна — именно отсутствие или формальность документов чаще всего становится причиной отказа с первого раза. В этой статье разбираем, какие документы нужны, кто их готовит и в какой момент.
Ключевые выводы
- Пакет ЛПА — обязательная часть аттестации наравне с технической защитой.
- Типовой комплект — около 11 документов: политики, положения, инструкции, регламенты.
- Документы должны отражать реальные процессы, а не существовать «для галочки».
- Несоответствие или отсутствие ЛПА — самая частая причина отказа в аттестации.
- Документы готовят параллельно с технической защитой, а не после неё.
Если вы ещё не знакомы с процессом в целом, посмотрите что такое аттестация СЗИ и этапы аттестации — анализ документов там один из девяти шагов испытаний.
Что такое локальные правовые акты (ЛПА)
ЛПА — это внутренние документы организации, которые закрепляют правила работы с защищаемой информацией. Технические средства защиты отвечают на вопрос «чем защищаем», а ЛПА — «по каким правилам». На аттестации проверяют и то, и другое: средства защиты должны соответствовать классу системы, а документы — реально регулировать процессы и не противоречить установленным мерам.
Полный перечень документов для аттестации СЗИ
Состав пакета зависит от класса системы и специфики организации, но типовой комплект включает:
| Документ | Назначение |
|---|---|
| Политика информационной безопасности | Базовый документ, определяющий цели и принципы защиты. |
| Положение об обработке и защите персональных данных | Правила работы с ПДн в соответствии с Законом № 99-З. |
| Перечень защищаемой информации и ресурсов | Что именно подлежит защите в системе. |
| Положение о разграничении доступа | Кто и к каким ресурсам имеет доступ. |
| Инструкции пользователей и администратора | Правила работы и ответственности персонала. |
| Порядок резервного копирования и восстановления | Регламент защиты от потери данных. |
| Регламент реагирования на инциденты ИБ | Действия при нарушениях безопасности. |
| Положение об антивирусной защите | Правила применения средств защиты от вредоносного ПО. |
| Журналы учёта | Учёт носителей, средств защиты, событий. |
Многие из этих документов напрямую связаны с техническими мерами: например, положение о разграничении доступа опирается на управление доступом к информационным ресурсам, а порядок резервного копирования — на настроенное резервное копирование данных. Документ и реализованная мера должны совпадать.
Кто готовит документы
Готовить ЛПА может сама организация, но на практике это требует профильной экспертизы: документы должны соответствовать приказу ОАЦ № 66 и при этом отражать реальные процессы. Поэтому чаще их разрабатывает подрядчик в рамках комплексного обеспечения информационной безопасности — параллельно с настройкой защиты информации от несанкционированного доступа. Так документы и технические меры создаются согласованно.
Типичные ошибки в документах
- Шаблоны без адаптации: скачанные из интернета политики, не отражающие реальную систему.
- Расхождение с техникой: документ описывает одни меры, а внедрены другие.
- Неполный комплект: отсутствует один или несколько обязательных ЛПА.
- Устаревшие данные: в документах перечислены средства, которых уже нет в системе.
- Отсутствие журналов учёта носителей и событий безопасности.
Любое из этих несоответствий аттестующая организация фиксирует как замечание, которое нужно устранить до выдачи аттестата.
Когда готовить документы
Главное правило — параллельно с технической частью, а не после неё. Если оставить документы «на потом», то к моменту аттестационных испытаний выяснится, что их нужно срочно писать с нуля, и это растянет сроки. Оптимально: по мере внедрения каждой меры защиты сразу закреплять её в соответствующем регламенте. Проверить полноту защиты до испытаний помогает анализ защищённости информационной системы.
Часто задаваемые вопросы о документах для аттестации СЗИ
Сколько документов нужно для аттестации СЗИ?
Типовой комплект — около 11 локальных правовых актов, но точный состав зависит от класса системы и специфики организации. На аттестации проверяют как наличие документов, так и их соответствие реальным мерам защиты.
Можно ли использовать готовые шаблоны ЛПА?
Шаблон — только основа. Документ должен отражать вашу конкретную систему и внедрённые меры. Неадаптированные шаблоны — частая причина замечаний на аттестации.
Кто должен готовить документы?
Организация может готовить ЛПА сама, но обычно это делает подрядчик с лицензией ОАЦ — параллельно с построением технической защиты, чтобы документы и меры совпадали.
Что будет, если документ не соответствует реальной системе?
Аттестующая организация выдаёт замечание. Пока расхождение не устранено, аттестат не выдаётся.
Когда начинать готовить документы?
Параллельно с внедрением технической защиты. Откладывание документов «на потом» — одна из главных причин срыва сроков аттестации.
Заключение
Документы для аттестации СЗИ — это не формальность, а зеркало вашей защиты информации. Они должны точно описывать внедрённые меры и реальные процессы. Готовить их нужно параллельно с технической частью и силами специалистов, понимающих требования ОАЦ.
Нужна помощь с комплектом документов? Специалисты Genesis Systems разработают пакет ЛПА и проведут аттестацию системы защиты информации под ключ — по лицензии ОАЦ, с гарантией 12 месяцев. Свяжитесь с нами: +375 (17) 336-07-67, info@genesis-systems.by.
Оставьте заявку на подготовку документов
Оставьте заявку — специалисты Genesis Systems помогут подготовить полный комплект документов и пройти аттестацию СЗИ.
Читайте также
Похожие статьи
Аттестация и защита информации
Стоимость аттестации СЗИ: цены и сроки в Беларуси
Аттестация и защита информации