Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
80

Аттестация объектов информатизации: кому она реально нужна, а кто зря тратит деньги

Аттестация АС ФЗД – защита и аттестация объекта информатизации: обследование, модель угроз, СЗИ, испытания, аттестат. Аттестация объектов информатизации ведется под ключ за 10 дней с гарантией проверки ФСТЭК

Содержание

Бизнес все активнее перекладывает операции на цифровые рельсы, а значит – растут риски утечки персональных данных и срыва контрактов. Аттестат соответствия сразу закрывает несколько болевых точек:

  • право законно обрабатывать данные граждан в информационных системах и не опасаться штрафов Роскомнадзора;

  • доступ к государственным и корпоративным объектам информатизации – без документа нельзя подключиться к ГИС, КИИ или внутренним АС крупных заказчиков;

  • защита репутации: наличие аттестата демонстрирует клиентам и партнерам, что безопасность информации не пустой звук;

  • конкурентное преимущество при тендерах, где требуется подтвержденная защищенность;

  • снижение внутренних рисков: сформированные процессы безопасности уменьшают вероятность простоев, потери данных или несанкционированного доступа.

Иными словами, аттестация АС ФЗД позволяет перейти от «надеемся, что все хорошо» к четким требованиям и проверяемой защищенности, причем документ действует на всем жизненном цикле объекта, если каждые два года подтверждается контроль уровня безопасности.

Нормативная база и класс защищенности К3

Когда речь заходит о безопасности информации, на первый план выходят не красивые лозунги, а строгие требования ФСТЭК. Именно они превращают общую идею «нужно защитить данные» в перечень конкретных правил.

  1. 152-ФЗ «О персональных данных» – фундамент. Он диктует, как бизнес обрабатывает, хранит и передает персональные данные, чтобы избежать штрафов и репутационных потерь.

  2. Приказ ФСТЭК №17 определяет, каким критериям должна соответствовать система класса защищенности К3. Для большинства корпоративных объектов информатизации это базовый ориентир.

  3. Приказ ФСТЭК №21 задает порядок организации технических и организационных мер по защите. Без него невозможно доказать соответствие требованиям при проверке.

  4. Приказ ФСТЭК №77 описывает проведение аттестации объектов информации: как готовить программу и методики испытаний, какие документы обязаны лежать на столе комиссии, в каком порядке оформляется Аттестат соответствия.

Важно помнить: класс К3 – это не просто буква в отчете. Он определяет минимально допустимый набор механизмов защиты: от строгой идентификации пользователей до анализа угроз и контроля защищенности конфигураций. Нарушили одно из этих требований – и вся цепочка аттестации рушится, а вместе с ней право подключать системы к государственным и корпоративным сетям.

Таким образом, нормативная база – это жесткий каркас, который не дает бизнесу сэкономить «на мелочах» и гарантирует, что каждая мера ИБ действительно работает, а не лежит мертвым грузом в разделе «документы для проверки».

Аттестация объектов информатизации: аттестация АС ФЗД за 10 дней

Кому, когда и как часто обязательна аттестация объектов информации

Когда проверяющие приходят с вопросом «Где подтвержденная безопасность информации?», отговорки не работают – важен факт аттестации и точное соблюдение сроков.

Кого касается напрямую

  1. Госучреждения – любой «объект информатизации» в госсекторе обязан пройти процедуру, иначе доступ к межведомственным системам закроют.

  2. Крупные коммерческие организации: банковские ИТ-платформы, АС ФЗД корпорации, сервисы обработки персональных данных. Без аттестата контрагенты не подпишут договор на обмен критическими данными.

  3. Компании-подрядчики, работающие с инфраструктурой и объектами заказчиков-монополий (энергетика, связь, транспорт). Не будет соответствия требованиям ФСТЭК – не будет контракта.

Ключевые дедлайны

  • Новые системы: аттестация проводится в течение 12 месяцев после ввода в эксплуатацию – иначе штраф и приостановка работ.

  • Новые рабочие места: появилось дополнительное АРМ – в тот же год нужно подтвердить соответствие.

  • Периодическая проверка: каждые 5 лет система снова проводится через испытания, чтобы класс защищенности оставался актуальным.

  • Контроль уровня безопасности: минимум раз в 24 месяца оценивается, не «поплыли» ли настройки и не возникли ли новые угрозы.

Кто может расслабиться

Надомные и полностью дистанционные сотрудники, не подключенные к корпоративным сетям, освобождены от процедуры.

Игнорировать расписание опасно: за просрочку легко потерять допуск к государственным информационным объектам, а вместе с ним – доходы, репутацию и спокойствие руководства.

Вашей компании требуется аттестация информационной системы?

Вы можете узнать больше о том, как ее проводят в ГЭНДАЛЬФ – мы пришлем коммерческое предложение по вашему запросу

Запросить КП

Этап 0. Организационная старт-подготовка

  1. Назначить ответственного по ИБ – именно он будет держать руку на пульсе, собирать документы, общаться с аудиторами и контролировать выполнение требований ФСТЭК.

  2. Утвердить организационно-распорядительные решения – приказ о запуске проекта, состав рабочей группы, сроки и схема управления ресурсами. Без четкого распоряжения любой проект защиты легко «подвисает».

  3. Инвентаризировать объекты информатизации – сколько АС, где хранятся данные, кто за что отвечает. На этом шаге выявляются дубли, унаследованные «серые» серверы и прочие скрытые риски.

  4. Согласовать бюджет и график:

    • объем финансирования на средства защиты;

    • временные окна, когда допускается остановка критичных систем;

    • резерв на непредвиденные расходы (докупить лицензии, усилить сеть).

Без четкого оргстарта проект проводится дольше, увеличивает смету и рискует сорвать дедлайны, установленные законом.

Этап 1. Обследование и классификация системы

Пока на столе лежит только план, защита и аттестация объекта информации еще далеки. Первый практический шаг – обследование объектов информатизации и формальная классификация информационной системы. На этом этапе закладывается фундамент будущего соответствия требованиям ФСТЭК.

Что именно проводится и зачем

  1. Опись и картография инфраструктуры

    • По-честному перечисляются все серверы, рабочие станции, сетевые узлы. Часто всплывают «забытые» АРМ, через которые-то и случается утечка информации.

    • Рисуется схема потоков данных: кто, где и в каком объеме хранит или передает персональные сведения.

  2. Классификация по степени критичности

    • Система делится на контуры: публичный, корпоративный, демилитаризованный. Каждый контур получает метку, определяющую уровень безопасности.

    • Проверяется наличие процессов управления инцидентами – если реакции нет, класс защищенности автоматически поднимается.

  3. Фиксация текущих мер защиты

    • Инвентаризация межсетевых экранов, антивирусов, криптосредств. Главное – понять, какие средства уже есть, а какие придется докупать, чтобы обеспечить соответствие всем пунктам приказа №17.

  4. Документальное подтверждение

    • Результаты оформляются в акт обследования. Это не «бумага для галочки» – акт понадобится комиссии при последующих испытаниях и станет частью пакета документов для выдачи Аттестата соответствия.

Выгода этапа: надежная инвентаризация позволяет точнее просчитать смету, исключить лишние закупки и избежать сценария, когда дорогое средство защиты покупается «про запас», а потом годами пылится в коробке.

Этап 2. Модель угроз и техническое задание на СЗИ

После инвентаризации объектов информатизации приходит очередь самого «мозгового» этапа – разработка комплексной модели угроз и подготовка технического задания на средства защиты. Здесь формируются ответы на два главных вопроса: «От чего именно обороняемся?» и «Какие инструменты выдержат проверку по требованиям ФСТЭК?».

Что входит в работу

  1. Сбор исходных данных

    • типы обрабатываемых персональных и служебных данных;

    • перечень сетевых сервисов и взаимосвязанных информационных систем;

    • роль каждого объекта (сервер, АРМ, сегмент сети) в технологическом процессе.

  2. Аналитика угроз

    • оцениваются сценарии внешних атак, внутренние ошибки, риск случайной утраты информации;

    • моделируется вероятность утечки при несовершенной настройке доступа;

    • фиксируется требуемый уровень безопасности для класса защищенности К3.

  3. Формализация требований

    • устанавливаются обязательные меры по защите каналов связи, хранилищ и рабочих мест;

    • параметры прописываются так, чтобы без проблем пройти будущие аттестационные испытания;

    • особое внимание уделяется тому, как будет проверяться каждое решение на соответствие пунктам приказа №17.

  4. Подготовка технического задания

    • документ описывает конкретные СЗИ, их функции и точки интеграции с существующими ресурсами;

    • учитывается, сколько рабочих станций проводится к сети, чтобы не переплатить за лишние лицензии;

    • ТЗ утверждается ответственным по ИБ и согласуется с представителями ФСТЭК еще до закупки оборудования.

Почему этап критичный: если в модели не учесть дополнительный сервер или забыть про удаленный филиал, комиссия обнаружит расхождение, и аттестация остановится. Правильно оформленная модель – это не просто папка документации, а гарантия, что все последующие шаги лягут в нужное русло, а итоговый аттестат будет выдан без повторных визитов экспертов.

Этап 3. Разработка и ввод в оборот документации

Документы – это нервная система всей информационной безопасности: без них комиссия не поверит ни отчетам, ни мигающим лампочкам на межсетевом экране. На этом этапе проводится тщательная работа с бумагами и электронными файлами, чтобы каждое действие по защите информации имело подтверждение на подпись и печать.

Основные комплекты документации, которые формируются

  1. Организационно-распорядительные документы

    • политика безопасности информации;

    • положение о порядке доступа к персональным данным;

    • назначение ответственных за ИБ (одно из ключевых требований ФСТЭК).

  2. Технологические регламенты

    • инструкции по резервному копированию и восстановлению данных;

    • порядок обновлений СЗИ и системы мониторинга защищенности;

    • схема реагирования на инциденты, включая фиксацию времени, канала и категории угроз.

  3. Журналы и протоколы

    • учет внешних носителей, сетевых подключений и изменений конфигурации;

    • регистрация событий безопасности: каждая попытка несанкционированного доступа отражается в отдельной записи.

  4. Комплект эксплуатационных документов

    • руководство администратора и пользователя;

    • инструкции по восстановлению после сбоев – важный аргумент, когда эксперты проверяют устойчивость объекта к авариям.

  5. Набор контрольных документов для аттестующей комиссии

    • сводная ведомость выполнения требований №17 и №21;

    • акты внедрения средств защиты;

    • перечень сертифицированных программных средств тестирования.

Проведение аттестации объектов информатизации: кейсы и сроки

Что дает этап: грамотно оформленная документация экономит часы на аттестационных проверках. Эксперт видит четкие ссылки, быстро убеждается в соответствии и переходит к следующему пункту. В итоге проект выходит на финиш без повторных выездов и неприятных до-закупок СЗИ.

Этап 4. Выбор, закупка и установка средств защиты (СЗИ)

Когда модель угроз и пакет документации уже лежат на столе, наступает момент, когда теория превращается в железо и лицензии. Здесь главное – подобрать именно те решения, которые подтвердят соответствие требованиям ФСТЭК и не раздуют бюджет.

Как не ошибиться с перечнем СЗИ

  • Сначала сверяют список уязвимых объектов информатизации с утвержденными требованиями ФСТЭК №17 и №21. Помогает избежать ситуации, когда дорогое средство покупают «на всякий случай».

  • Особое внимание уделяют рабочим станциям, на которых крутится АС ФЗД: здесь обязательны криптопровайдер, контроль целостности и антивирус – иначе нельзя обеспечить нужный класс защищенности К3.

  • Для серверного сегмента подбирают межсетевой экран, системы анализа трафика и средства обнаружения вторжений: без них не получится пройти будущие испытаний комиссии.

Покупка без лишних трат

  1. Проверяют сертификаты ФСТЭК: средство без актуального свидетельства не засчитают при аттестации.

  2. Сравнивают модели по соотношению цена/функциональность: Часто комбинированные решения (NGFW + IPS) закрывают больше пунктов из списка требований, чем набор разрозненных коробок.

  3. Учитывают лицензирование «на пользователя»: если планируется рост числа АРМ, запас берут сразу – переоформление обойдется дороже.

Монтаж и первичная настройка

  1. Сначала ставят оборудование на тестовый стенд, имитирующий боевую сеть. Такая схема позволяет обнаружить конфликты с действующей системой управления и сократить простой рабочих мест.

  2. После «обкатки» специалисты переходят к рабочему контуру:

    • включают журналирование безопасности;

    • настраивают правила межсетевого экрана по требованиям проекта;

    • подключают агенты мониторинга ИБ.

  3. Конфигурации сохраняют в отдельном репозитории – это понадобится для проверки соответствия и последующего контроля уровня безопасности.

Что важно не забыть

  1. Каждое действие фиксируется в акте ввода в эксплуатацию; без этого документа комиссия не засчитает шаг.

  2. Настройки передаются администрирующей команде вместе с инструкциями по защите информации – помогает сохранить стабильность при смене персонала.

  3. Если проект затрагивает филиалы корпорации или распределенные системы, монтаж планируют так, чтобы минимизировать простои.

Правильно подобранные и грамотно установленные СЗИ закрывают большинство вопросов, возникающих у инспекторов: остается лишь подтвердить, что решения реально работают и отвечают требованиям безопасности информации.

Этап 5. Пусконаладка и внутренняя проверка готовности

Когда оборудование установлено, а правила на межсетевом экране мигнули зеленым, начинается «генеральная репетиция» – пусконаладка. Цель проста: убедиться, что новая цепочка безопасности правда защищает всю экосистему предприятия и не рушит бизнес-процессы.

Шаг за шагом, что именно проводится

  1. Тонкая настройка средств защиты

    • Приводим политики доступа к единым требованиям ФСТЭК: кто читает базы, кто только смотрит отчеты.

    • Уточняем параметры антивируса, чтобы он сканировал файлы системы оперативно, но не тормозил рабочих.

    • Включаем контроль защищенности конфигураций: любое «ручное» изменение сразу фиксируется в журнале.

  2. Тестирование критичных маршрутов данных

    • Прогоняем типовой платеж через АС ФЗД и смотрим, не обрывается ли транзакция на новом межсетевом экране.

    • Проверяем выгрузку персональных данных в облако-архив: канал шифруется, ключи хранятся по правилам класса К3.

  3. Проверка резервирования

    • Имитация отказа базы: резервная копия подхватывает сервис без потери информации.

    • Тест отключения филиального канала: трафик переключается на защищенный VPN, бизнес даже не замечает.

  4. Аппаратные испытания объекта

    • Просматриваем логи датчиков в серверной: температура, питание, сигнал «дверь открыта». Все должно попадать в общую систему мониторинга ИБ.

    • Запускаем сканер уязвимостей: критичных дыр нет, мелкие замечания устраняем сразу.

Защита и аттестация объекта информатизации: гарантии и результат

Внутренний аудит документов и процессов

  • Проверяем, чтобы каждая манипуляция имела ссылку на утвержденные документы – без бумажной подпорки комиссия забракует результат.

  • Сверяем журналы информационных инцидентов с регламентом: аналитик обязан отреагировать в 30 минут, а фикс на сервере – в два часа.

Контрольные замеры перед большими испытаниями

Зона проверки Цель Итог
Доступ админов к ядру системы Идентификация, двухфакторка Прошел
Целостность файлов АС Хэши не менялись Прошел
Скорость отката резервной копии < 15 минут 11 минут
Логи попыток НСД Запись в SIEM Прошел

Почему этап критичен: если на пусконаладке всплывут задержки или несогласованные права, у вас есть время все подкрутить до приезда внешней комиссии. Иначе замечание попадет в протокол испытаний, а значит – лишние недели и расходы на повторную аттестацию.

Этап 6. Программа и методики испытаний

Когда внутренняя репетиция закончена, остается зафиксировать, по каким правилам проводится внешняя аттестация. Именно для этого и формируется ПМИ – единый документ, который шаг за шагом описывает будущий экзамен на соответствие требованиям ФСТЭК.

Зачем нужна ПМИ

  • Комиссия видит прозрачный сценарий: какие объекты информатизации трогают, какие датчики снимают, какие журналы читают.

  • Бизнес получает гарантии, что аудит не превратится в хаотичный «сквозной» взлом, а проверит только то, что реально включено в контур защиты информации.

  • Документ входит в обязательный пакет аттестации: без него невозможна легитимная выдача итогового Аттестата соответствия.

Что включает программа

Блок Содержание Польза
Перечень испытуемых объектов Серверы АС, рабочие станции, сетевое оборудование филиалов Показывает полный фронт работ, исключает «забытые» сегменты
Методика испытаний Алгоритмы проверки 11 подсистем: идентификация, управление доступом, антивирус, контроль защищенности и т. д. Гарантирует, что каждая мера безопасности не просто задекларирована, а реально проверена
Инструментарий Сертифицированные сканеры, крипто-тесты, пакеты для анализа журналов Соответствует пункту 8 приказа №77, что критично для соответствия
Критерии оценки «Пройдено / Не пройдено», допускаемые отклонения, время реакции Дает однозначный результат, исключает спорные трактовки
График работ Даты визита, ответственные, время на устранение замечаний Позволяет спланировать ресурсы и минимизировать простой систем

Как документ утверждается

  1. Проект ПМИ готовит подрядчик, опираясь на модель угроз и результаты пусконаладки.

  2. Ответственный по ИБ сверяет пункты с внутренними регламентами и вносит уточнения.

  3. Финальная версия отправляется во ФСТЭК. После согласования дату испытаний можно менять только официальным письмом.

Что важно учесть заранее

  • Если в список не попал удаленный объект, комиссия вправе признать всю аттестацию недействительной.

  • Программа должна ссылаться на реальные версии документов: политику резервного копирования, журнал учета носителей, акты внедрения СЗИ.

  • В графике обязательно резервируют «буфер» на оперативное исправление мелких замечаний, чтобы не откладывать итоговый протокол.

Суть этапа: грамотно составленная ПМИ переводит будущую проверку в понятный регламент, где каждая минута и каждый тест заранее расписаны. Это снижает стресс команды, ускоряет получение аттестата и показывает аудиторам, что у компании порядок не только в сетях, но и в бумагах.

Этап 7. Аттестационные испытания – как проходит главный экзамен безопасности

Когда программа и методики испытаний уже подписаны, дело переходит к финалу – аттестационные испытания. Их цель – доказать реальную защищенность инфраструктуры, а не просто правильность составления бумажек.

Что проверяется – 11 подсистем одним взглядом комиссии

  1. Идентификация и аутентификация – каждый пользователь выдает себя именно за того, кем является.

  2. Управление доступом – права сотрудников и внешних подрядчиков жестко соответствуют регламенту.

  3. Ограничение программной среды – никакого постороннего софта на рабочих станциях АС ФЗД.

  4. Защита машинных носителей информации – флешки фиксируются в журнале, шифруются, при необходимости блокируются.

  5. Регистрация событий безопасности – все критичные действия пишутся в SIEM; строки логов хранятся не меньше, чем требует приказ №17.

  6. Антивирусная защита – сигнатуры свежие, реакция на трояны автоматическая.

  7. Контроль (анализ) защищенности – сканер уязвимостей регулярно сверяет конфигурации с эталоном.

  8. Контроль целостности – хэш-суммы ключевых файлов АС снимаются по расписанию и сверяются без ручных правок.

  9. Доступность информации – при отказе одного узла включается резерв, база остается рабочей.

  10. Защита технических средств – датчики двери и температуры интегрированы в систему мониторинга ИБ.

  11. Защита каналов передачи данных – трафик шифруется, сертификаты действительны, отчет формируется автоматически.

Как именно комиссия действует

  • Экспертно-документальный метод – сравнивают реальные процессы с регламентами, актами и другими документами; несоответствие одного пункта дает повод остановить процедуру.

  • Поиск уязвимостей – запускают сертифицированный сканер, проверяя конфигурации на ошибки администрирования и угрозу несанкционированного доступа.

  • Проверка функций защиты – этичный «взлом» средствами ФСТЭК: пытаются получить права администратора, подменить пакет, вывести данные за периметр.

Что фиксируется в итоговом протоколе

Раздел протокола Результат Комментарий комиссии
Соответствие 11 подсистем классy К3 Пройдено Замечаний нет
Уровень защищенности каналов Пройдено Шифрование ГОСТ, ключи в HSM
Исправление мелких несоответствий 24 часа Содержимое баннеров входа на сервер скорректировано
Общая безопасность объекта Соответствует Выдано положительное заключение

Важный момент: если хотя бы одно критичное замечание остается невыполненным, вся аттестация считается непройденной, а проводить повторное испытание придется за счет организации. Поэтому на этапе внутренних тестов лучше трижды отработать сценарии, чем потом задержать выпуск Аттестата соответствия.

Аттестация АС ФЗД: оформление результатов и устранение несоответствий

Финишная прямая аттестации – это тонкий баланс между строгими формами и реальной пользой для бизнеса. После большого экзамена комиссия оставляет следы в бумагах; задача компании – превратить их в официальный, безупречный пакет.

Что именно оформляется

  • Протоколы аттестационных испытаний – главный отчет, где детально расписано, как каждое требование ФСТЭК выполнено для всех объектов информатизации.

  • Заключение о соответствии – сжатое резюме: система отвечает требованиям или есть расхождения.

  • Ведомость устранения замечаний – если комиссия нашла недочеты, здесь фиксируется, когда и как они были закрыты.

  • Акт приема объекта – подтверждает, что меры безопасности информации введены в промышленную эксплуатацию.

  • Набор сопроводительных документов - копии сертификатов СЗИ, журнал управления доступом, отчет по резервному копированию данных.

Как проходит цикл доработок

  1. Замечание зафиксировано – например, не хватало подписи администратора в журнале носителей.

  2. Исполнение проводится силами техслужбы: журнал подписан, скан подшит в дело.

  3. Ответственный по ИБ вносит строку в ведомость, указывает дату и ссылку на документ.

  4. Комиссия проверяет и проставляет отметку «устранено».

Совет: не тянуть с исправлениями. Пока объект «горячий» и специалисты на месте, многие мелочи закрываются за часы, а не за недели.

Отправка итогов во ФСТЭК

  • Пакет документации уходит заказным письмом или через защищенный электронный канал.

  • В ответ приходит регистрационный номер – без него нельзя считать процедуру законченной.

Следующий контроль уровня безопасности проводится через 24 месяца. Чтобы не бегать в пожарном режиме, удобно завести внутренний чек-лист соответствия требованиям и раз в квартал проходить его силами ИТ-отдела: так новые уязвимости не скапливаются.

В результате все стороны получают прозрачный набор доказательств, что информационная система не просто прошла тест, а действительно отвечает государственным стандартам защиты персональных данных.

Аттестат – как он выдается, сколько действует и зачем контроль раз в два года

Получить положительный протокол испытаний – это половина пути; конечная цель всей аттестации – официальный аттестат соответствия. Он фиксирует, что конкретная информационная система отвечает требованиям ФСТЭК и готова без опаски работать с персональными данными.

Процедура выдачи

  1. Комиссия формирует пакет итоговых документов и передает его уполномоченному лицу лицензированного исполнителя.

  2. Подрядчик готовит бланк аттестата со всеми реквизитами объекта, уровня защищенности и срока действия.

  3. Руководитель лицензиата подписывает документ, ставится печать, регистрационный номер заносится в журнал ФСТЭК.

  4. Оригинал передается заказчику, копия хранится у исполнителя весь срок эксплуатации объекта.

Срок жизни документа

  • Пять лет – стандартно для систем класса К3. По истечении этого срока проводится повторная аттестация.

  • Однако сам аттестат остается действующим только при условии, что каждые 24 месяца проводится контроль уровня безопасности: измерения, сканы, выборочные испытания.

Что входит в двухгодичный контроль

  • журналов регистрации событий безопасности: убедиться, что логи ведутся и хранятся согласно требованиям.

  • Актуализация списка уязвимых объектов: новые серверы, свежие версии ОС, изменения в АС.

  • Перепроверка работы СЗИ: антивирусные базы, сертификаты шифрования, правила межсетевого экрана.

  • Сверка организационных мер: все ли ответственные сотрудники прошли плановое обучение ИБ.

Что будет, если контроль пропустить

  • Аттестат автоматически утрачивает силу; формально система становится «серой» и рискует получить штраф за нарушение закона о защите персональных данных.

  • Контрагенты вправе приостановить обмен информацией, а заказчики – расторгнуть договор из-за отсутствия подтвержденной безопасности.

Главный вывод: сам документ – это не медаль на стену, а рабочий инструмент. Его ценность сохраняется только при регулярном подтверждении, что уровень защиты информации соответствует первоначально заявленному классу защищенности.

Смета, выбор исполнителя и лайфхаки экономии

Разброс цен на аттестацию пугает: один подрядчик обещает «дешево-быстро», другой выставляет счет с шестью нулями. Чтобы не переплачивать и не сорвать сроки, разберемся, из чего складывается смета и как выбрать того, кто доведет проект до соответствия требованиям.

Из чего формируется цена

Статья затрат Что влияет Как оптимизировать
Количество объектов информатизации Чем больше серверов, рабочих мест и филиалов, тем выше стоимость испытаний и объем документации Аттестовать поэтапно: сначала головной офис, затем филиалы
Класс защищенности Для К3 нужны сертифицированные СЗИ, расширенный контроль защищенности, больше журналов Проверить, не завышается ли класс «на всякий случай»
Поставка средств защиты Лицензии, железо, подписки на антивирус Комбинированные решения (NGFW + IPS) закрывают несколько пунктов приказа
Работа комиссии Выезд, проживание, оплата труда аудиторов ФСТЭК Просчитать логистику: один комбинированный визит дешевле трех раздельных
Организационно-технические мероприятия Обучение персонала, доработка регламентов Часть тренингов можно провести дистанционно, чтобы не останавливать бизнес-процессы

Лайфхак: стоимость резко падает, если заранее убрать «серые» серверы. Их исключение из периметра снижает объем проверок, а вместе с ним счет за услуги.

Как оценить исполнителя до подписания договора

  • Лицензии ФСТЭК и ФСБ – без них работа на ваших информационных системах незаконна.

  • Портфель проектов: не меньше 300 аттестованных объектов и реальные кейсы из крупных корпорации – показатель, что люди знают специфику К3.

  • Гарантия сопровождения: подрядчик обязан участвовать в контрольном аудите через 24 месяца, иначе безопасность информации останется без поддержки.

  • Прозрачность сметы: каждая строка должна ссылаться на конкретное требование или часть Плана аттестационных работ.

ГЭНДАЛЬФ проводит аттестации объектов информатизации по требованиям безопасности

Практические советы, чтобы смета не выросла по ходу проекта

  1. Разработка внутреннего чек-листа : сверяйте свои процессы с приказами №17 и 21 до прихода аудиторов.

  2. Управление изменениями: фиксируйте все апгрейды серверов; незадокументированная замена железа тянет за собой доп-испытания и доп-счет.

  3. Бюджет на непредвиденное: 10% от общей суммы спасут, если придется срочно докупить модуль шифрования.

  4. Площадка для испытаний: выделите объект-«полигон» в нерабочие часы; так не остановите ключевые сервисы АС ФЗД.

  5. Персонал: краткий курс по основам ИБ для админов стоит меньше, чем потерянное время комиссии из-за неправильных логов.

В итоге грамотный выбор подрядчика и разумная планировка расходов позволяют получить аттестат, закрыть риски утечек данных и не разориться на бесконечных допах.

Такой подход заметно усиливает общий уровень информационной защищенности и упрощает все следующие проверки.

Если у вас возникнут вопросы, вы сможете обратиться к нашим специалистам за консультацией

Получить консультацию
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Хотите защитить сеть? Узнайте, где и какой межсетевой экран купить

Как пошагово настроить межсетевой экран и защитить сеть от угроз

СЗИ без сложных терминов: как реально защитить корпоративные данные

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 494 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ