Главная → Новости → Аттестация информационных систем по 117 приказу ФСТЭК России

Аттестация информационных систем по 117 приказу ФСТЭК России

Аттестация информационной системы — это официальное подтверждение того, что система, ее инфраструктура, документы, организационные и технические меры защиты соответствуют установленным требованиям по защите информации.

Для государственных информационных систем и ряда иных информационных систем такая процедура является не формальностью, а обязательным этапом перед вводом системы в эксплуатацию или началом обработки информации.

С 1 марта 2026 года применяются требования, утвержденные приказом ФСТЭК России от 11.04.2025 № 117. Документ устанавливает требования к защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений.

При этом прежний приказ ФСТЭК России № 17 утратил силу, а аттестаты, выданные до вступления приказа № 117 в силу, считаются действительными.

Что такое аттестация информационной системы

Аттестация — это комплекс работ, в ходе которых независимый орган по аттестации проверяет, соответствует ли объект информатизации требованиям аттестации ФСТЭК по защите информации. Проверяется не только наличие средств защиты информации, но и то, как система реально эксплуатируется: кто имеет доступ, как ведутся учетные записи, как настроены средства защиты, как регистрируются события безопасности, как устраняются уязвимости, как обучены ответственные сотрудники и какие документы утверждены у оператора.

Порядок проведения таких работ установлен приказом ФСТЭК России от 29.04.2021 № 77. Он определяет, как организуется аттестация, какие документы анализируются, как разрабатываются программа и методики испытаний, какие проверки проводятся, как оформляются заключение, протоколы и аттестат соответствия.

Иными словами, приказ № 117 отвечает на вопрос: какие требования по защите информации нужно выполнить, а приказ № 77 — как подтвердить выполнение этих требований в рамках аттестации.

Кому нужна аттестация по 117 приказу ФСТЭК

Аттестация требуется в первую очередь государственным информационным системам. Согласно приказу № 117, до начала обработки или хранения информации в государственных информационных системах должна быть проведена аттестация на соответствие требованиям аттестации ФСТЭК.

Аттестация может быть необходима следующим категориям организаций и систем.

  1. Государственные информационные системы. Например, ведомственные, региональные, отраслевые и межведомственные системы, в которых обрабатывается информация ограниченного доступа, служебная информация, персональные данные или иные сведения, требующие защиты.
  2. Информационные системы государственных органов. Это могут быть внутренние системы документооборота, кадрового учета, финансового учета, обращения граждан, ведомственные порталы и иные ИС, используемые в деятельности госоргана.
  3. Информационные системы государственных учреждений и ГУПов. Например, системы образовательных, медицинских, социальных, культурных, административных и иных государственных учреждений.
  4. Муниципальные информационные системы. Приказ № 117 указывает, что в муниципальных информационных системах защита информации обеспечивается по этим требованиям, если иное не установлено законодательством.
  5. Системы, в которых обрабатываются персональные данные. Если в информационной системе обрабатываются персональные данные, дополнительно применяются требования к защите персональных данных, в том числе постановление Правительства РФ № 1119. При этом для систем, подпадающих под приказ № 117, требования 117 приказа также должны учитываться.

Для иных информационных систем государственных органов, ГУПов и государственных учреждений решение о необходимости аттестации принимает руководитель оператора или ответственное лицо.

Что дает аттестация информационной системы

Аттестат соответствия подтверждает, что информационная система соответствует требованиям аттестации ФСТЭК по защите информации в заявленных условиях эксплуатации. Для заказчика это важно по нескольким причинам:

  • система может использоваться для обработки защищаемой информации;
  • снижаются риски претензий со стороны регуляторов;
  • появляется документальное подтверждение выполнения требований ФСТЭК;
  • фиксируется состав системы, ее архитектура, класс защищенности, применяемые средства защиты и реализованные меры;
  • у организации появляется понятный комплект документов для эксплуатации и периодического контроля.

Важно понимать: аттестация — это не разовая «бумага», а подтверждение того, что система действительно подготовлена к безопасной эксплуатации.

Этапы аттестации информационной системы

1. Первичный анализ информационной системы

Работы начинаются с обследования и анализа текущего состояния системы. На этом этапе определяется:

  • назначение информационной системы;
  • состав обрабатываемой информации;
  • есть ли информация ограниченного доступа;
  • обрабатываются ли персональные данные;
  • кто является оператором и обладателем информации;
  • где расположены серверы, рабочие места, сетевое оборудование;
  • есть ли удаленный доступ, подключение к другим системам, интеграции, каналы связи;
  • какие средства защиты уже используются;
  • какие документы по защите информации уже утверждены;
  • какие требования ФСТЭК необходимо выполнить.

Результат этапа — понимание фактической архитектуры системы, границ аттестации, состава объекта информатизации и перечня доработок, необходимых для получения аттестата.

2. Определение класса защищенности

Для информационной системы определяется класс защищенности: К1, К2 или К3. Самый высокий класс — первый, самый низкий — третий. Класс зависит от уровня значимости информации и масштаба информационной системы: федерального, регионального или объектового.

При определении класса оценивается возможный ущерб от нарушения:

  • конфиденциальности;
  • целостности;
  • доступности информации;
  • функционирования информационной системы.

Результаты классификации оформляются актом классификации. В нем указываются наименование системы, уровень значимости информации, масштаб системы и присвоенный класс защищенности.

3. Анализ угроз безопасности информации

Далее проводится выявление и оценка угроз безопасности информации. Для этого анализируются архитектура системы, состав пользователей, способы доступа, сетевые взаимодействия, применяемое программное обеспечение, внешние подключения, актуальные уязвимости и возможные действия нарушителей.

По результатам формируется или актуализируется модель угроз безопасности информации, если ее разработка требуется для конкретной системы. Модель угроз используется как исходная база для выбора мер защиты, средств защиты информации и функциональных возможностей системы защиты.

4. Проектирование системы защиты информации

На этом этапе определяется, какие организационные и технические меры необходимо реализовать, чтобы информационная система соответствовала требованиям аттестации ФСТЭК (приказа №117).

Обычно проектирование включает:

  • определение состава мер защиты;
  • подбор средств защиты информации;
  • разработку целевой архитектуры системы защиты;
  • подготовку требований к настройкам ОС, СУБД, прикладного ПО, сетевого оборудования;
  • определение требований к доступу пользователей;
  • определение требований к регистрации событий безопасности;
  • разработку порядка администрирования и контроля;
  • подготовку перечня необходимых организационно-распорядительных документов.

Приказ № 117 предусматривает реализацию базовых мер защиты с учетом класса защищенности, архитектуры системы, применяемых технологий, актуальных угроз и возможностей нарушителя.

5. Поставка и внедрение средств защиты информации

Если действующих средств защиты недостаточно, выполняется подбор, поставка и внедрение необходимых решений.

В зависимости от архитектуры и класса защищенности могут потребоваться:

  • средство защиты от несанкционированного доступа;
  • антивирусная защита;
  • межсетевой экран;
  • средство регистрации и анализа событий безопасности;
  • средство обнаружения и предотвращения вторжений;
  • средство доверенной загрузки;
  • средство контроля устройств;
  • средство анализа защищенности;
  • средство защиты каналов связи;
  • сертифицированная операционная система;
  • СКЗИ, если используются криптографические механизмы защиты;
  • средства резервного копирования и восстановления.

По приказу № 117 для защиты информации должны применяться сертифицированные средства защиты информации, а их уровень должен соответствовать классу защищенности системы: для К1 — не ниже 4 класса защиты и уровня доверия, для К2 — не ниже 5, для К3 — 6 класса защиты и уровня доверия.

6. Настройка системы и устранение несоответствий

После поставки и внедрения средств защиты выполняется настройка системы в соответствии требованиям аттестации ФСТЭК и эксплуатационной документацией.

На практике этот этап включает:

  • настройку учетных записей и прав доступа;
  • разделение полномочий пользователей и администраторов;
  • настройку политик паролей и аутентификации;
  • настройку журналирования событий безопасности;
  • настройку антивирусной защиты;
  • настройку межсетевого экранирования;
  • ограничение неиспользуемых сервисов и портов;
  • настройку резервного копирования;
  • настройку обновлений;
  • проверку удаленного доступа;
  • проверку защиты рабочих станций и серверов;
  • устранение выявленных уязвимостей.

Если отдельные меры невозможно реализовать в стандартном виде, оператор должен разработать и внедрить компенсирующие меры, а при аттестации подтвердить их эффективность для блокирования актуальных угроз.

7. Разработка комплекта документов

Для успешной аттестации важно подготовить не только техническую часть, но и комплект документов. Документы подтверждают, что защита информации организована не только «в настройках», но и в процессах эксплуатации.

Обычно для аттестации готовятся:

  • технический паспорт объекта информатизации;
  • акт классификации информационной системы;
  • модель угроз безопасности информации;
  • техническое задание на создание или модернизацию системы защиты информации;
  • проектная документация на систему защиты информации;
  • эксплуатационная документация;
  • документы по управлению доступом;
  • документы по управлению учетными записями;
  • документы по антивирусной защите;
  • документы по регистрации событий безопасности;
  • документы по управлению уязвимостями;
  • документы по управлению обновлениями;
  • документы по реагированию на инциденты;
  • документы по резервному копированию и восстановлению;
  • документы по физической защите;
  • документы по обучению и информированию пользователей;
  • приказы о назначении ответственных лиц;
  • журналы учета и контроля, если они предусмотрены внутренними процедурами.

Приказ № 77 прямо предусматривает предоставление в орган по аттестации технического паспорта, акта классификации, модели угроз при ее разработке, технического задания, проектной и эксплуатационной документации, организационно-распорядительных документов, а также документов с результатами анализа уязвимостей и приемочных испытаний, если такие работы проводились.

8. Разработка программы и методик аттестационных испытаний

Перед испытаниями орган по аттестации разрабатывает программу и методики аттестационных испытаний. Они определяют, что именно будет проверяться, какими методами, в какие сроки и по каким критериям.

Программа и методики включают:

  • общие сведения об объекте информатизации;
  • описание архитектуры;
  • сведения о классе защищенности;
  • перечень нормативных требований;
  • перечень работ по аттестации;
  • порядок проведения обследования;
  • методики оценки документации;
  • методики оценки организационных мер;
  • методики проверки технических мер;
  • порядок функционального тестирования;
  • порядок анализа уязвимостей;
  • порядок оформления результатов.

Программа и методики согласовываются с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала испытаний.

9. Проведение аттестационных испытаний

Аттестационные испытания — ключевой этап, на котором проверяется фактическое соответствие системы требованиям аттестации ФСТЭК.

В ходе испытаний выполняются:

  • анализ технического паспорта и акта классификации;
  • проверка состава и содержания эксплуатационной документации;
  • проверка организационно-распорядительных документов;
  • обследование объекта информатизации;
  • проверка условий эксплуатации;
  • проверка наличия и корректности настроек средств защиты;
  • проверка сведений о сертифицированных средствах защиты;
  • оценка организационных мер;
  • оценка технических мер;
  • проверка ответственных лиц и распределения обязанностей;
  • оценка знаний и умений работников, отвечающих за защиту информации;
  • анализ уязвимостей;
  • функциональное тестирование реализованных механизмов защиты.

Приказ № 77 предусматривает оценку соответствия организационных и технических мер требованиям по защите информации и их достаточности для защиты от актуальных угроз.

10. Устранение замечаний

Если в ходе аттестационных испытаний выявлены недостатки, которые можно устранить в процессе аттестации, владелец объекта информатизации устраняет их, а орган по аттестации проверяет качество устранения.

На практике это может быть:

  • донастройка средств защиты;
  • корректировка прав доступа;
  • включение журналирования;
  • устранение уязвимостей;
  • доработка документов;
  • назначение ответственных лиц;
  • уточнение состава системы;
  • актуализация технического паспорта;
  • корректировка модели угроз или проектной документации.

После устранения недостатков орган по аттестации повторно оценивает состояние системы и отражает результаты в заключении.

11. Оформление заключения, протоколов и аттестата

По результатам испытаний оформляются:

  • заключение по результатам аттестационных испытаний;
  • протоколы аттестационных испытаний;
  • аттестат соответствия.

Заключение содержит сведения об объекте информатизации, классе защищенности, составе программно-технических средств и средств защиты информации, проведенных испытаниях, результатах проверок, выявленных недостатках и итоговый вывод о возможности или невозможности выдачи аттестата.

Если система соответствует требованиям, орган по аттестации оформляет аттестат соответствия. Аттестат подписывается руководителем органа по аттестации и передается владельцу объекта информатизации.

12. Передача сведений во ФСТЭК России

После подписания аттестата орган по аттестации в течение 5 рабочих дней представляет во ФСТЭК России или территориальный орган ФСТЭК России копии установленных документов, включая аттестат, технический паспорт, акт классификации, программу и методики, заключение и протоколы.

Какие требования необходимо выполнить для соответствия 117 приказу ФСТЭК

Чтобы информационная система соответствовала требованиям приказа № 117, необходимо обеспечить выполнение комплекса организационных и технических мероприятий.

Организационные требования

Организация должна:

  • определить цели и задачи защиты информации;
  • определить состав защищаемой информации и объектов защиты;
  • назначить ответственных за защиту информации;
  • установить обязанности пользователей, администраторов и ответственных лиц;
  • утвердить внутренние документы по защите информации;
  • определить порядок управления учетными записями;
  • определить порядок управления привилегированным доступом;
  • определить порядок удаленного доступа;
  • определить порядок взаимодействия с подрядчиками;
  • определить порядок управления уязвимостями;
  • определить порядок управления обновлениями;
  • определить порядок реагирования на инциденты;
  • определить порядок резервного копирования и восстановления;
  • организовать обучение и информирование пользователей;
  • проводить контроль уровня защищенности.

Приказ № 117 прямо предусматривает разработку политики защиты информации, внутренних стандартов и регламентов, включая требования к учетным записям, удаленному доступу, конфигурациям, резервному копированию, регистрации событий, управлению уязвимостями и обновлениям.

Технические требования

В системе должны быть реализованы базовые меры защиты, в том числе:

  • идентификация и аутентификация;
  • управление доступом;
  • регистрация событий безопасности;
  • защита виртуализации и облачных вычислений;
  • защита контейнерных сред;
  • защита электронной почты;
  • защита веб-технологий;
  • защита программных интерфейсов;
  • защита конечных устройств;
  • защита мобильных устройств;
  • защита беспроводного доступа;
  • антивирусная защита;
  • обнаружение и предотвращение вторжений;
  • сегментация и межсетевое экранирование;
  • защита от атак типа «отказ в обслуживании»;
  • защита каналов передачи данных и сетевого взаимодействия.

Конкретный набор мер зависит от класса защищенности, архитектуры системы, актуальных угроз, используемых технологий и фактических условий эксплуатации.

Какие документы нужны для получения аттестата

Для прохождения аттестации обычно требуется следующий комплект документов.

Базовые документы по объекту информатизации

  • технический паспорт объекта информатизации;
  • акт классификации информационной системы;
  • описание архитектуры информационной системы;
  • перечень программных и технических средств;
  • перечень средств защиты информации;
  • сведения о размещении компонентов системы;
  • сведения о сетевых подключениях и информационном взаимодействии.

Документы по анализу угроз и проектированию защиты

  • модель угроз безопасности информации;
  • техническое задание на создание или модернизацию системы защиты информации;
  • проектная документация на систему защиты информации;
  • обоснование выбора мер защиты;
  • описание реализованных организационных и технических мер;
  • документы по анализу уязвимостей;
  • документы по приемочным испытаниям системы защиты, если они проводились.

Организационно-распорядительные документы

  • политика защиты информации;
  • приказ о назначении ответственных лиц;
  • регламент управления доступом;
  • регламент управления учетными записями;
  • регламент управления привилегированным доступом;
  • регламент антивирусной защиты;
  • регламент регистрации событий безопасности;
  • регламент управления уязвимостями;
  • регламент управления обновлениями;
  • регламент резервного копирования и восстановления;
  • регламент реагирования на инциденты;
  • регламент физической защиты;
  • инструкция пользователя;
  • инструкция администратора;
  • порядок взаимодействия с подрядчиками;
  • порядок контроля уровня защищенности.

Документы, оформляемые в ходе аттестации

  • программа и методики аттестационных испытаний;
  • протоколы аттестационных испытаний;
  • заключение по результатам аттестационных испытаний;
  • аттестат соответствия.

Периодический контроль после получения аттестата

Получение аттестата не означает, что работы по защите информации завершены навсегда. Владелец аттестованного объекта обязан поддерживать его безопасность в процессе эксплуатации, выполнять требования по защите информации и проводить периодический контроль уровня защиты.

По приказу № 77 аттестат соответствия выдается на весь срок эксплуатации объекта информатизации, но результаты периодического контроля оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации на аттестованном объекте должны представляться во ФСТЭК России или территориальный орган ФСТЭК России не реже одного раза в два года. Непредставление таких протоколов является основанием для приостановления действия аттестата.

Периодический контроль позволяет подтвердить, что система продолжает соответствовать требованиям после изменений в инфраструктуре, обновлений, подключения новых пользователей, замены оборудования или внедрения новых программных компонентов.

Когда нужна повторная аттестация

Повторная аттестация или дополнительные аттестационные испытания могут потребоваться, если в системе произошли существенные изменения.

Например:

  • изменилась архитектура системы защиты информации;
  • изменился класс защищенности;
  • изменился состав защищаемой информации;
  • появились новые сегменты системы;
  • изменились места размещения компонентов;
  • заменены или добавлены средства защиты информации;
  • изменилась структура сетевого взаимодействия;
  • появились новые внешние подключения;
  • система была модернизирована;
  • изменились условия эксплуатации.

Приказ № 77 предусматривает дополнительные аттестационные испытания при изменениях конфигурации, состава программных, программно-технических средств и средств защиты. Если изменения приводят к повышению класса защищенности или изменению архитектуры системы защиты, проводится повторная аттестация.

Как мы помогаем пройти аттестацию

Мы выполняем полный комплекс работ по подготовке и аттестации информационных систем в соответствии с требованиями ФСТЭК России.

В состав работ может входить:

  • первичный аудит информационной системы;
  • определение границ аттестации;
  • определение класса защищенности;
  • анализ актуальных угроз;
  • разработка модели угроз;
  • подбор и поставка средств защиты информации;
  • внедрение и настройка средств защиты;
  • разработка организационно-распорядительной документации;
  • подготовка технического паспорта;
  • разработка программы и методик аттестационных испытаний;
  • проведение аттестационных испытаний;
  • оформление протоколов и заключения;
  • выдача аттестата соответствия;
  • сопровождение при периодическом контроле;
  • помощь в устранении замечаний регулятора.

Наша задача — не просто подготовить документы, а привести информационную систему в состояние, при котором она действительно соответствует требованиям ФСТЭК и может безопасно эксплуатироваться.

Часто задаваемые вопросы

Сколько действует аттестат соответствия?

Аттестат выдается на весь срок эксплуатации объекта информатизации. При этом необходимо поддерживать систему в защищенном состоянии и проводить периодический контроль.

Как часто проводится периодический контроль?

Протоколы контроля защиты информации на аттестованном объекте представляются во ФСТЭК России не реже одного раза в два года.

Можно ли пройти аттестацию без покупки новых средств защиты?

Да, если уже имеющиеся организационные и технические меры достаточны для выполнения требований. На практике часто требуется донастройка существующих средств, актуализация документов и устранение уязвимостей. Новые средства защиты подбираются только тогда, когда без них невозможно закрыть обязательные требования.

Что будет, если в ходе аттестации выявлены замечания?

Если замечания можно устранить в процессе аттестации, они устраняются, после чего орган по аттестации проверяет результат. Если недостатки критичны и не могут быть устранены в рамках работ, аттестат не оформляется до приведения системы в соответствие.

С чего начать подготовку к аттестации?

Оптимально начать с обследования информационной системы: определить состав системы, класс защищенности, обрабатываемую информацию, действующие средства защиты, имеющиеся документы и перечень несоответствий. После этого можно сформировать понятный план работ, бюджет и сроки подготовки к аттестации.

Нужна аттестация информационной системы по 117 приказу ФСТЭК?

Мы готовы провести первичный анализ вашей информационной системы, определить перечень обязательных требований, подготовить план работ, чтобы пройти аттестацию с выдачей аттестата соответствия.

Нужна консультация

Узнайте больше о наших мероприятиях и образовательных программах. Присоединяйтесь к сообществу профессионалов!

Смотреть все мероприятия
Вернуться к списку
К следующей