Приказ ФСТЭК №77 от 29.04.2021 — порядок аттестации объектов информатизации

📌 Этот документ определяет: порядок организации и проведения работ по аттестации объектов информатизации по требованиям безопасности информации.

🔗 Заказать услугу аттестации →

Аттестация объектов информатизации (ОИ) — это комплекс организационных и технических мероприятий, подтверждающих соответствие защищённости объекта информатизации требованиям нормативных документов ФСТЭК России. Наличие аттестата является обязательным условием для обработки информации ограниченного доступа, включая персональные данные, служебную и коммерческую тайну, а также государственную тайну.

Аттестация объектов информатизации проводится в соответствии с Приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка аттестации объектов информатизации». Без действующего аттестата — штрафы до 500 000 ₽, приостановка деятельности и риски утечки данных.

📄 Нормативные документы по аттестации объектов информатизации

📜

Приказ ФСТЭК №77 от 29.04.2021

Порядок организации и проведения работ по аттестации объектов информатизации. Основной документ.

📖 Читать на fstec.ru ⚖️ Читать на КонсультантПлюс 📑 Читать на Контур.Норматив

🏛️

Приказ ФСТЭК №117 от 11.04.2025

Требования к защите информации в ГИС (при аттестации ГИС).

📖 Читать на fstec.ru

🔒

Приказ ФСТЭК №21 от 18.02.2013

Меры защиты персональных данных (при аттестации ИСПДн).

📖 Читать на fstec.ru ⚖️ Читать на КонсультантПлюс

📘

Методика оценки угроз ФСТЭК

Утверждена 05.02.2021. Для разработки модели угроз.

📖 Читать на fstec.ru

Какие объекты подлежат аттестации

Государственные информационные системы (ГИС) — аттестация обязательна для всех классов защищённости (согласно Приказу ФСТЭК №17 от 11.02.2013).
Информационные системы персональных данных (ИСПДн) — для 1-3 уровней защищённости. Для 4 уровня — упрощённая процедура.
Автоматизированные системы управления технологическими процессами (АСУ ТП) — объекты критической информационной инфраструктуры (КИИ).
Выделенные помещения — переговорные комнаты, кабинеты руководителей, где ведётся обсуждение конфиденциальной информации.
Объекты КИИ — в соответствии с требованиями 187-ФЗ и приказами ФСТЭК №239, №235.

Этапы аттестации

Этап	Содержание работ	Срок
1. Предварительное обследование	Анализ инфраструктуры заказчика, выявление узких мест, оценка готовности к аттестации	3-5 дней
2. Разработка модели угроз и ТЗ	Модель угроз безопасности информации, техническое задание на защиту информации	10-20 дней
3. Внедрение сертифицированных СЗИ	Поставка, установка, настройка средств защиты информации	10-30 дней
4. Проведение специальных проверок	Контроль виброакустических каналов, поиск закладных устройств	5-10 дней
5. Проведение специальных исследований		10 дней
6. Подготовка отчётов и заключения	Формирование пакета документов для аттестационной комиссии	5-7 дней
7. Выдача аттестата соответствия	Получение аттестата установленного образца, внесение в реестр	до 30 дней

📋 Чек-лист для старта аттестации

✅ Назначен ответственный за обеспечение защиты информации
✅ Разработана и утверждена модель угроз безопасности информации
✅ Внедрены сертифицированные средства защиты информации (СЗИ)
✅ Проведены специальные проверки
✅ Проведены специальные исследования (акустика, виброакустика)
✅ Разработана организационно-распорядительная документация (приказы, политики, инструкции)
✅ Сотрудники обучены и ознакомлены с требованиями защиты информации

Стоимость аттестации

Стоимость формируется индивидуально на основании объёма объекта информатизации, требуемого класса защищённости, состава внедряемых средств защиты и объёма предварительных работ. Для получения коммерческого предложения необходимо провести предпроектное обследование.

💰 Стоимость услуг

Услуга	Стоимость	Срок
ГИС 3 класса	индивидуально
ГИС 2 класса	индивидуально
АСУ ТП (до 10 АРМ)	индивидуально
ИСПДн 3 уровня	индивидуально
Выделенное помещение (до 30 м²)	индивидуально

* Точная стоимость определяется после предпроектного обследования

❓ Часто задаваемые вопросы

Что такое аттестация объектов информатизации?

Аттестация — это комплекс мероприятий, подтверждающих соответствие защищённости объекта требованиям ФСТЭК. Результат — аттестат соответствия, дающий право на обработку информации ограниченного доступа.

Сколько времени занимает аттестация?

Сроки зависят от сложности объекта: от 3 недель (типовой объект 4 класса) до 3 месяцев (распределённая ГИС 1 класса). Точный срок определяется после предпроектного обследования.

Обязательна ли аттестация для ИСПДн?

Для 1-3 уровней защищённости — обязательна. Для 4 уровня — уведомительный порядок, но рекомендуется проведение аттестации для снижения рисков.

Какой аттестат выдаётся и на какой срок?

Аттестат соответствия выдаётся на срок от 1 до 3 лет в зависимости от класса защищённости. По истечении срока требуется переаттестация.

Что будет, если не проводить аттестацию?

Штрафы до 500 000 ₽, приостановка деятельности, уголовная ответственность при утечке информации.

📚 Полезные материалы

Поможем подобрать решение

Расскажите о своей задаче — мы подготовим предложение под ваш бюджет и уровень защиты.

Согласен на обработку персональных данных

📞 Или звоните: +7 (495) 777-75-77 (доб. 00223) | lipunova@rnt.ru

АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 30+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.