Приказ ФСТЭК N 60

24 июня был зарегистрирован Приказ ФСТЭК N 60 «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29 апреля 2021 г. N 77».

Изменились правила аттестации и периодического контроля информационных систем

Основные изменения:

1. Периодический контроль теперь регулируется теми же правилами, что и аттестация
2. Государственные организации могут самостоятельно проводить не только аттестацию, но и периодический контроль своих систем
3. Добавление новых сегментов, аналогичных уже существующим, больше не требует полной переаттестации системы. Достаточно провести испытания добавленных сегментов
4. Владелец системы вправе провести периодический контроль самостоятельно либо привлечь организацию, имеющую лицензию ФСТЭК России
5. Результаты периодического контроля оформляются отдельным отчётом, а соответствующая информация вносится в технический паспорт объекта
6. При изменении отдельных частей системы проверке подлежат только изменённые компоненты
7. Установлен единый перечень обязательных сведений, которые должны содержаться в отчётах по результатам дополнительных испытаний
8. Для возобновления действия аттестата не требуется повторная аттестация всей системы. Достаточно устранить выявленные нарушения и направить во ФСТЭК России информацию об их устранении.

Таким образом, новые правила позволяют сократить объём повторных проверок и упростить контроль систем после их модернизации, сохраняя требования к подтверждению их безопасности.

Важное

• Отчитываться перед ФСТЭК теперь нужно реже — раз в три года вместо двух
• Отчёт после проверки нужно отправить быстро — в течение пяти рабочих дней

Теперь аттестат соответствия не будут прекращать из-за того, что не были предоставлены материалы о проведении повторной аттестации.