Что такое формальная аттестация
Аттестация информационных систем — это процедура подтверждения соответствия требованиям безопасности, установленным ФСТЭК и ФСБ. По итогам выдаётся аттестат соответствия — документ с печатью, который подтверждает, что система прошла проверку.
Обязательной аттестации подлежат государственные информационные системы (ГИС), объекты критической инфраструктуры (КИИ) и организации, получающие лицензии ФСТЭК или ФСБ. Для коммерческих компаний аттестация формально добровольна.
Сколько стоит и сколько длится
| Масштаб системы | Стоимость | Сроки |
|---|---|---|
| Минимальная (1 рабочее место) | от 75 000 ₽ | 1–2 месяца |
| Средняя ИС (несколько рабочих мест) | 200 000–500 000 ₽ | 2–4 месяца |
| ИСПДн (3 уровень защищённости) | от 1 000 000 ₽ | 3–6 месяцев |
| Крупная ГИС | несколько миллионов ₽ | 6+ месяцев |
В эту сумму входит покупка сертифицированных СЗИ (дороже обычных аналогов), разработка полного пакета документации, проведение аттестационных испытаний. При любом изменении в системе — переаттестация за отдельные деньги.
Почему эксперты называют это «бумажной безопасностью»
Термин «бумажная безопасность» прочно вошёл в профессиональный жаргон ИБ-специалистов. Он означает ситуацию, когда организация формально выполняет требования регуляторов, но это не обеспечивает реальной защищённости.
Алексей Лукацкий, один из наиболее известных экспертов в российском ИБ-сообществе, на конференции «Код ИБ» прямо заявил: злоумышленнику безразлично, какие стандарты внедрены в организации. Он ломает систему, а не документы.
Василий Томилин (Cisco) описывает системную проблему: организации начинают защищаться не от злоумышленников, а от предписаний регулятора. Главная задача — пройти проверку без штрафов. Но защищаться нужно от реальных угроз, а не от регулятора.
По свидетельствам экспертов, крупные предприятия нередко вынуждены создавать две параллельные системы безопасности: одну — для проверяющих органов, другую — для реальной работы. Бюджеты осваиваются, СЗИ закупаются, но не внедряются или работают частично (РБК).
Закрытость требований
Отдельная проблема: ряд ключевых методических документов ФСТЭК имеет метку ДСП — «для служебного пользования». Это создаёт парадоксальную ситуацию: организация обязана выполнить требования, с которыми не может свободно ознакомиться.
Утечки из аттестованных систем: факты
Если аттестация гарантирует безопасность, то данные из аттестованных государственных систем не должны утекать. Но реальность говорит обратное.
ФСБ: база «Кордон», август 2024
В сеть попала база данных Пограничной службы ФСБ — данные о пересечении границы россиянами за 2014–2023 годы. Объём — 500 ГБ. Это крупнейшая утечка внутренней базы ведомства за всё время его существования (Новая газета, Zona.media).
ФСБ — ведомство, которое само устанавливает требования к защите информации и согласовывает модели угроз для государственных систем. Утечка из собственной базы — наглядная демонстрация разрыва между формальными требованиями и реальной защищённостью.
ДИТ Москвы / ЕМИАС, июнь 2024
В открытый доступ попал файл с 13,4 млн записей персональных данных из систем Департамента информационных технологий Москвы: ФИО, паспорта, свидетельства о рождении, адреса (Коммерсант). ДИТ Москвы — оператор множества государственных информационных систем, которые по закону проходят обязательную аттестацию.
Ростелеком, январь 2025
Атака на инфраструктуру подрядчика «Ростелекома» привела к утечке 154 тыс. email и 101 тыс. телефонов (РБК). Крупнейший государственный телеком-оператор с обширной системой аттестованных ИС.
СДЭК, май 2024
Хакерская группа взломала инфраструктуру СДЭК вирусом-шифровальщиком. Пункты выдачи не работали 4 дня (Ведомости). Ранее у СДЭК уже утекали данные 25 млн клиентов.
Общая статистика
По данным InfoWatch, за 2024 год в России скомпрометировано 1,58 млрд записей персональных данных — рост 30% к 2023 году. Роскомнадзор зафиксировал 135 утечек. Госорганы — на втором месте по количеству инцидентов (18% от общего числа).
Что не так с формальным подходом
Проблема не в самой идее проверки безопасности. Проблема в том, что именно проверяется:
- Документы вместо инфраструктуры. Аттестация проверяет наличие модели угроз, актов, регламентов. Но наличие документа не означает, что он выполняется
- Формальное соответствие. Есть ли сертифицированные СЗИ — проверят. Настроены ли они и работают ли — уже другой вопрос
- Одноразовая фотография. Аттестат фиксирует состояние системы на момент проверки. Через неделю сотрудник может открыть порт или установить необновлённый софт — аттестат всё ещё действует
- Любое изменение — переаттестация. Обновили ОС? Добавили рабочее место? Формально нужна повторная проверка. На практике это тормозит развитие бизнеса
Другой подход: практическая сертификация
Мы в «Безопасном Офисе» пошли другим путём. Вместо проверки документов — проверяем реальную инфраструктуру. Вместо продажи аттестата — помогаем бизнесу действительно защитить данные.
Принципиальные отличия
Формальная аттестация
- Стоимость от 200 000 до нескольких миллионов рублей
- Сроки — от 3 до 6 месяцев
- Проверяет документы и формальное соответствие
- Часть требований под грифом ДСП
- Любое изменение — переаттестация за отдельные деньги
- Не заставляет реально менять инфраструктуру
Сертификация на основе реальной проверки
- Проверяется фактическое состояние инфраструктуры, а не пакет документов
- Оценка по открытым критериям: 152-ФЗ, 420-ФЗ, шифрование, контроль доступа, мониторинг
- Диагностика занимает 1–2 рабочих дня
- Если инфраструктура соответствует требованиям — сертификат выдаётся бесплатно
- При существенных изменениях — повторная проверка также бесплатна
- Оплачивается только работа специалистов, если нужна доработка
Что мы проверяем
- Хранение данных. Где физически находятся данные, зашифрованы ли они, есть ли резервные копии
- Контроль доступа. Кто имеет доступ к данным, журналируются ли действия, есть ли разделение прав
- Сетевая защита. Firewall, сегментация сети, VPN, защита от шифровальщиков
- Мониторинг. Есть ли круглосуточное наблюдение, как быстро реагируют на инциденты
- Соответствие 152-ФЗ. Хранение ПДн на территории РФ, политики обработки, уведомления
- Защита от инсайдеров. Невозможность скопировать данные на флешку или личную почту
Главное отличие: мы не заставляем переезжать на наши серверы. Цель — помочь бизнесу, а не продать инфраструктуру. Если у компании уже всё настроено правильно — проводим диагностику и выдаём сертификат. Бесплатно.
Что даёт практическая сертификация
- Реальную защиту данных. Не бумагу на стене, а работающую инфраструктуру: шифрование, контроль доступа, мониторинг
- Документальное подтверждение. Бумажный сертификат + цифровая плашка для сайта. Видно клиентам и проверяющим органам
- Соответствие требованиям 2026 года. 152-ФЗ, 420-ФЗ, оборотные штрафы до 500 млн, уголовная ответственность до 10 лет
- Доверие клиентов. Плашка «Безопасного Офиса» на сайте говорит: здесь данные в безопасности
Что делать прямо сейчас
- Оцените текущее состояние. Где хранятся данные? Кто имеет доступ? Есть ли шифрование? Как быстро заметите утечку?
- Не путайте бумагу с защитой. Аттестат — это юридический документ. Он полезен при проверке, но не остановит атаку
- Пройдите диагностику. За 1–2 дня мы покажем реальное состояние вашей инфраструктуры и конкретные уязвимости
- Примите решение на основе фактов. Если всё хорошо — получите сертификат бесплатно. Если есть пробелы — поможем их закрыть
Защита данных — это не про бумаги с печатями. Это про то, чтобы данные ваших клиентов действительно были в безопасности. А сертификат — следствие, а не цель.