Аттестация безопасности по ФСТЭК: кому нужна, когда обязательна и как пройти по Приказу № 77

По сути, аттестация ФСТЭК отвечает на один практический вопрос: можно ли официально зафиксировать, что данный объект информатизации в текущем виде и при определённой эксплуатации выполняет требования по защите информации.

Порядок того, как организуются и проводятся такие работы по аттестации объектов информатизации на соответствие требованиям по защите информации ограниченного доступа (не относящейся к гостайне), установлен ФСТЭК России.

Что такое аттестация

Аттестация — оценка объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Оценивают не абстрактную «информационную систему вообще», а ОИ — конкретную связку компонентов, настроек, регламентов эксплуатации и реально внедрённых мер защиты. Поэтому выводы аттестации всегда «привязаны» к условиям: меняются условия — меняется и предмет проверки.

Правила и состав работ задаёт приказ ФСТЭК России от 29.04.2021 № 77: он описывает этапы, требования к подготовке и оформлению материалов, а также то, как фиксируются результаты испытаний. По завершении формируется заключение и комплект протоколов; далее оформляется аттестат, а установленный пакет материалов направляется в ФСТЭК России.

Нормативная база: какие документы регулируют аттестацию безопасности

Состав проверяемых требований определяется типом объекта и тем, какая информация в нём обрабатывается:

• Для государственных и муниципальных ИС до даты вступления обновлённых требований применяют действующую нормативную базу, а с 01.03.2026 начинают действовать требования приказа ФСТЭК № 117, который вводится с этой даты и заменяет прежний приказ № 17 (вместе с его изменениями)
• Для ИСПДн ориентируются на меры защиты из приказа ФСТЭК № 21 (организационные и технические меры по уровням защищённости)
• Для значимых объектов КИИ базовым документом выступает приказ ФСТЭК № 239

Кому нужна аттестация по приказу ФСТЭК №77 и когда она обязательна

Приказ ФСТЭК России № 77 закрепляет случаи, в которых установленный им порядок аттестации используется как исходный (базовый) регламент.

Речь идёт о государственных и муниципальных информационных системах, включая их отдельные компоненты и сегменты — в том числе ГИС/МИС при обработке персональных данных, — об информационных системах управления производством в организациях ОПК, а также о помещениях, предназначенных для конфиденциальных переговоров (защищаемых помещениях).

Бывает, что аттестация требуется по установленному требованию. Владелец (или оператор взаимодействующей ИС) может закрепить требование, что соответствие подтверждается именно аттестацией — например, для значимых объектов КИИ или для «не-государственных» ИСПДн, если так прописано в регламенте/договоре/ТЗ.

И про «информационное взаимодействие»: если из госИС передают сведения ограниченного доступа в другую систему, принимающая сторона должна доказать, что требования защиты выдержаны. В таких схемах аттестация часто становится удобным и понятным форматом подтверждения — когда это прямо требуется условиями подключения или владельцем системы, с которой организуется обмен.

На практике аттестация чаще всего становится фактически обязательной в трёх ситуациях:

• Для ГИС. Требования ФСТЭК (№ 17 до 01.03.2026 и № 117 после) и постановление Правительства РФ № 676 увязывают аттестацию с вводом в эксплуатацию
• При подключении к ГИС / интеграции с ГИС. Если в рамках взаимодействия обрабатывается или передаётся информация ограниченного доступа
• В госконтрактах. Требование об аттестации часто прописывают в ТЗ/договоре как условие приемки и готовности к эксплуатации

Зачем нужна аттестация по ФСТЭК №77

Причины, по которым аттестация проводится на практике, сводятся к трём функциональным задачам:

1. Во-первых, это подтверждение соответствия требованиям законодательства и подзаконного регулирования: аттестат оформляется не как самостоятельное «заявление о соответствии», а как итог формализованной процедуры по приказу ФСТЭК России № 77, подтверждённой проверяемыми материалами — ПМИ (программой и методиками испытаний), протоколами испытаний, итоговым заключением, техническим паспортом объекта, а также комплектом эксплуатационной и защитной документации
2. Во-вторых, аттестация используется как элемент корректного ввода объекта в эксплуатацию в регулируемых режимах; для государственных информационных систем это увязано с порядком, установленным постановлением Правительства РФ от 06.07.2015 № 676, в рамках которого мероприятия по аттестации включаются в процедуру ввода
3. В-третьих, аттестация обеспечивает управляемость защиты на стадии эксплуатации: требования приказа № 77 фиксируют структуру работ и контрольных процедур, за счёт которых поддерживается воспроизводимый режим защиты

Практическая ценность аттестации проявляется только тогда, когда объект управляется как аттестуемый: заранее определены границы ОИ, состав и конфигурация, порядок администрирования, регламенты и ответственность за изменения. Поэтому корректная логика простая: аттестация — это не «финальный документ», а итог проверки конкретной конфигурации и одновременно точка, от которой начинается режим поддержания этого состояния в эксплуатации.