Что такое формальная аттестация

Аттестация информационных систем — это процедура подтверждения соответствия требованиям безопасности, установленным ФСТЭК и ФСБ. По итогам выдаётся аттестат соответствия — документ с печатью, который подтверждает, что система прошла проверку.

Обязательной аттестации подлежат государственные информационные системы (ГИС), объекты критической инфраструктуры (КИИ) и организации, получающие лицензии ФСТЭК или ФСБ. Для коммерческих компаний аттестация формально добровольна.

Сколько стоит и сколько длится

Масштаб системы	Стоимость	Сроки
Минимальная (1 рабочее место)	от 75 000 ₽	1–2 месяца
Средняя ИС (несколько рабочих мест)	200 000–500 000 ₽	2–4 месяца
ИСПДн (3 уровень защищённости)	от 1 000 000 ₽	3–6 месяцев
Крупная ГИС	несколько миллионов ₽	6+ месяцев

В эту сумму входит покупка сертифицированных СЗИ (дороже обычных аналогов), разработка полного пакета документации, проведение аттестационных испытаний. При любом изменении в системе — переаттестация за отдельные деньги.

Почему эксперты называют это «бумажной безопасностью»

Термин «бумажная безопасность» прочно вошёл в профессиональный жаргон ИБ-специалистов. Он означает ситуацию, когда организация формально выполняет требования регуляторов, но это не обеспечивает реальной защищённости.

Алексей Лукацкий, один из наиболее известных экспертов в российском ИБ-сообществе, на конференции «Код ИБ» прямо заявил: злоумышленнику безразлично, какие стандарты внедрены в организации. Он ломает систему, а не документы.

Василий Томилин (Cisco) описывает системную проблему: организации начинают защищаться не от злоумышленников, а от предписаний регулятора. Главная задача — пройти проверку без штрафов. Но защищаться нужно от реальных угроз, а не от регулятора.

По свидетельствам экспертов, крупные предприятия нередко вынуждены создавать две параллельные системы безопасности: одну — для проверяющих органов, другую — для реальной работы. Бюджеты осваиваются, СЗИ закупаются, но не внедряются или работают частично (РБК).

Закрытость требований

Отдельная проблема: ряд ключевых методических документов ФСТЭК имеет метку ДСП — «для служебного пользования». Это создаёт парадоксальную ситуацию: организация обязана выполнить требования, с которыми не может свободно ознакомиться.

Утечки из аттестованных систем: факты

Если аттестация гарантирует безопасность, то данные из аттестованных государственных систем не должны утекать. Но реальность говорит обратное.

ФСБ: база «Кордон», август 2024

В сеть попала база данных Пограничной службы ФСБ — данные о пересечении границы россиянами за 2014–2023 годы. Объём — 500 ГБ. Это крупнейшая утечка внутренней базы ведомства за всё время его существования (Новая газета, Zona.media).

ФСБ — ведомство, которое само устанавливает требования к защите информации и согласовывает модели угроз для государственных систем. Утечка из собственной базы — наглядная демонстрация разрыва между формальными требованиями и реальной защищённостью.

ДИТ Москвы / ЕМИАС, июнь 2024

В открытый доступ попал файл с 13,4 млн записей персональных данных из систем Департамента информационных технологий Москвы: ФИО, паспорта, свидетельства о рождении, адреса (Коммерсант). ДИТ Москвы — оператор множества государственных информационных систем, которые по закону проходят обязательную аттестацию.

Ростелеком, январь 2025

Атака на инфраструктуру подрядчика «Ростелекома» привела к утечке 154 тыс. email и 101 тыс. телефонов (РБК). Крупнейший государственный телеком-оператор с обширной системой аттестованных ИС.

СДЭК, май 2024

Хакерская группа взломала инфраструктуру СДЭК вирусом-шифровальщиком. Пункты выдачи не работали 4 дня (Ведомости). Ранее у СДЭК уже утекали данные 25 млн клиентов.

Общая статистика

По данным InfoWatch, за 2024 год в России скомпрометировано 1,58 млрд записей персональных данных — рост 30% к 2023 году. Роскомнадзор зафиксировал 135 утечек. Госорганы — на втором месте по количеству инцидентов (18% от общего числа).

Что не так с формальным подходом

Проблема не в самой идее проверки безопасности. Проблема в том, что именно проверяется:

Документы вместо инфраструктуры. Аттестация проверяет наличие модели угроз, актов, регламентов. Но наличие документа не означает, что он выполняется
Формальное соответствие. Есть ли сертифицированные СЗИ — проверят. Настроены ли они и работают ли — уже другой вопрос
Одноразовая фотография. Аттестат фиксирует состояние системы на момент проверки. Через неделю сотрудник может открыть порт или установить необновлённый софт — аттестат всё ещё действует
Любое изменение — переаттестация. Обновили ОС? Добавили рабочее место? Формально нужна повторная проверка. На практике это тормозит развитие бизнеса

Другой подход: практическая сертификация

Мы в «Безопасном Офисе» пошли другим путём. Вместо проверки документов — проверяем реальную инфраструктуру. Вместо продажи аттестата — помогаем бизнесу действительно защитить данные.

Принципиальные отличия

Формальная аттестация

Стоимость от 200 000 до нескольких миллионов рублей
Сроки — от 3 до 6 месяцев
Проверяет документы и формальное соответствие
Часть требований под грифом ДСП
Любое изменение — переаттестация за отдельные деньги
Не заставляет реально менять инфраструктуру

Сертификация на основе реальной проверки

Проверяется фактическое состояние инфраструктуры, а не пакет документов
Оценка по открытым критериям: 152-ФЗ, 420-ФЗ, шифрование, контроль доступа, мониторинг
Диагностика занимает 1–2 рабочих дня
Если инфраструктура соответствует требованиям — сертификат выдаётся бесплатно
При существенных изменениях — повторная проверка также бесплатна
Оплачивается только работа специалистов, если нужна доработка

Что мы проверяем

Хранение данных. Где физически находятся данные, зашифрованы ли они, есть ли резервные копии
Контроль доступа. Кто имеет доступ к данным, журналируются ли действия, есть ли разделение прав
Сетевая защита. Firewall, сегментация сети, VPN, защита от шифровальщиков
Мониторинг. Есть ли круглосуточное наблюдение, как быстро реагируют на инциденты
Соответствие 152-ФЗ. Хранение ПДн на территории РФ, политики обработки, уведомления
Защита от инсайдеров. Невозможность скопировать данные на флешку или личную почту

Главное отличие: мы не заставляем переезжать на наши серверы. Цель — помочь бизнесу, а не продать инфраструктуру. Если у компании уже всё настроено правильно — проводим диагностику и выдаём сертификат. Бесплатно.

Что даёт практическая сертификация

Реальную защиту данных. Не бумагу на стене, а работающую инфраструктуру: шифрование, контроль доступа, мониторинг
Документальное подтверждение. Бумажный сертификат + цифровая плашка для сайта. Видно клиентам и проверяющим органам
Соответствие требованиям 2026 года. 152-ФЗ, 420-ФЗ, оборотные штрафы до 500 млн, уголовная ответственность до 10 лет
Доверие клиентов. Плашка «Безопасного Офиса» на сайте говорит: здесь данные в безопасности

Что делать прямо сейчас

Оцените текущее состояние. Где хранятся данные? Кто имеет доступ? Есть ли шифрование? Как быстро заметите утечку?
Не путайте бумагу с защитой. Аттестат — это юридический документ. Он полезен при проверке, но не остановит атаку
Пройдите диагностику. За 1–2 дня мы покажем реальное состояние вашей инфраструктуры и конкретные уязвимости
Примите решение на основе фактов. Если всё хорошо — получите сертификат бесплатно. Если есть пробелы — поможем их закрыть

Защита данных — это не про бумаги с печатями. Это про то, чтобы данные ваших клиентов действительно были в безопасности. А сертификат — следствие, а не цель.