Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто
Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.
При подключении к государственной информационной системе (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) или федеральной ГИС (ФГИС) оператор такой системы почти всегда требует, чтобы рабочее место, с которого идёт подключение, было защищено и аттестовано. Разберём, что требуется для подключения, нужно ли аттестовывать рабочее место, что такое аттестация, как часто её проводить и нужно ли переделывать аттестат при переносе рабочего места в другой кабинет или офис.
Что требуется для подключения к ГИС и ФГИС
Конкретные требования устанавливает оператор ГИС/ФГИС в регламенте (порядке) подключения. Типовой набор:
- защищённый канал связи — как правило, на сертифицированном ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России средстве криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.) требуемого класса (например, КС1–КС3), если это предусмотрено регламентом подключения;
- сертифицированные средства защиты на рабочем месте, предусмотренные классом защищённости и регламентом (например, антивирус, средство защиты от несанкционированного доступа), с актуальными настройками;
- аттестованное автоматизированное рабочее место (АРМАвтоматизированное рабочее место — Рабочее место пользователя с программно-техническими средствами обработки информации.) или сегмент, с которого выполняется подключение, — подтверждается аттестатом соответствия требованиям по защите информации;
- назначенные ответственные, модель угроз и организационные документы.
Класс защищённости и состав мер зависят от того, к какой системе идёт подключение и какие данные обрабатываются, — см. требования к классу К1 и классы защищённости К1–К3.
Нужно ли аттестовывать рабочее место
Сама ГИС (объект информатизации в её границах) подлежит обязательной аттестации перед вводом в эксплуатацию. Для ГИС аттестация — это установленная форма подтверждения соответствия требованиям по защите информации: она была предусмотрена приказом ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №17, а с 1 марта 2026 года — приказом №117 (аттестация сохранена). Аттестуется не «компьютер вообще», а объект информатизации — АРМ или сегмент в конкретных условиях размещения.
Отдельное рабочее место, которое лишь подключается к чужой ФГИС, не становится её частью автоматически. Обязанность аттестовать такое АРМ возникает, если это предусмотрено регламентом подключения (договором) оператора ФГИС или если рабочее место включено в состав (контур) ГИС. На практике регламенты подключения к федеральным системам такое требование, как правило, содержат.
Что подразумевает аттестация
Аттестация — это комплекс организационных и технических мероприятий, по результатам которых выдаётся аттестат соответствия, подтверждающий, что объект информатизации отвечает требованиям по защите информации. Проводит её орган по аттестации — организация с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации и необходимыми полномочиями. Порядок аттестации установлен приказом ФСТЭК России №77 (2021 год). В работы обычно входят:
- проверка правильности определения класса защищённости и актуальности модели угроз;
- проверка реализованных мер и настроек средств защиты;
- аттестационные испытания (проверка на соответствие требованиям и тестирование защищённости);
- оформление протоколов, заключения и выдача аттестата соответствия.
Как часто проводить аттестацию и сколько действует аттестат
По действующему порядку (приказ ФСТЭК №77) аттестат соответствия выдаётся на весь срок эксплуатации объекта информатизации — при условии, что уровень защищённости поддерживается, а оператор ведёт периодический контроль защищённости (обычно не реже одного раза в два года, если иной срок не установлен в аттестате или документах на систему). Ранее по национальному стандарту ГОСТ РО 0043-003-2012 аттестат обычно оформлялся на срок до 3 лет — это прежняя практика, которая ещё встречается в старых регламентах и аттестатах.
Отдельно от аттестации приказ №117 (с 1 марта 2026 года) регулирует эксплуатационный контроль защищённости и показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года.. Это самостоятельная регулярная оценка, а не переоформление аттестата: из-за неё аттестат каждые полгода переделывать не нужно.
Нужно ли переделывать аттестацию при переносе рабочего места
Зависит от того, меняются ли условия, влияющие на защищённость. Аттестат выдаётся на объект информатизации в конкретных условиях размещения: помещение, границы контролируемой зоны, состав технических средств.
- Перенос в пределах той же контролируемой зоны без изменения состава средств и условий защиты — как правило, повторная аттестация не нужна; изменения отражают в документах на объект.
- Перенос в другой кабинет, офис или здание, когда меняются границы контролируемой зоны и условия размещения, — использовать прежний аттестат без переоценки нельзя: как правило, нужны дополнительные аттестационные испытания на новом месте или повторная аттестация.
- Изменение состава или настроек средств (замена АРМ, добавление оборудования, изменение мер защиты) — также требует переоценки и, при необходимости, дополнительных испытаний.
Точный порядок действий при изменениях определяют орган по аттестации и регламент подключения; безопаснее заранее уведомить их о планируемом переносе.
Как выполнить требования
- получите у оператора ГИС/ФГИС регламент подключения и перечень требований;
- определите класс защищённости и постройте модель угроз;
- реализуйте меры защиты и примените сертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК., а для канала — СКЗИ нужного класса;
- привлеките орган по аттестации (с лицензией ФСТЭК на техническую защиту конфиденциальной информации) и получите аттестат соответствия;
- поддерживайте защищённость и ведите периодический контроль; при переносе рабочего места или изменении условий — согласуйте дополнительные испытания или повторную аттестацию.
Главное
Для подключения к ГИС/ФГИС оператор системы, как правило, требует защищённый канал на сертифицированном СКЗИ, сертифицированные средства защиты и аттестованное рабочее место, если это предусмотрено регламентом подключения. Аттестация — это комплекс мероприятий с выдачей аттестата соответствия органом по аттестации (лицензиат ФСТЭК; порядок — приказ №77); для ГИС она была предусмотрена приказом №17 и сохранена в приказе №117. По приказу №77 аттестат действует на срок эксплуатации при условии периодического контроля защищённости (по прежней практике — обычно до 3 лет). Аттестат привязан к условиям размещения: перенос рабочего места в пределах той же контролируемой зоны без изменения условий обычно не требует переаттестации, а перенос в другой офис или здание — требует дополнительных испытаний или повторной аттестации.