Аттестация через Единый портал тестирования

4 февраля 2020 года




В конце 2019 года Федеральная служба по экологическому, технологическому и атомному надзору (Ростехнадзор) завершила основную часть работ по созданию и тестированию функциональных возможностей информационной системы «Единый портал тестирования в области промышленной безопасности, безопасности гидротехнических сооружений, безопасности в сфере электроэнергетики» (ИС ЕПТ).

Данная информационная система была создана для совершенствования процессов аттестации работников организаций, поднадзорных Ростехнадзору. К ним относятся организации, осуществляющие деятельность в области промышленной безопасности, безопасности при использовании атомной энергии (за исключением деятельности по разработке, изготовлению, испытанию, эксплуатации и утилизации ядерного оружия и ядерных энергетических установок военного назначения), безопасности электрических и тепловых установок и сетей (кроме бытовых установок и сетей), безопасности гидротехнических сооружений (за исключением судоходных гидротехнических сооружений), безопасности производства, хранения и применения взрывчатых материалов промышленного назначения, а также деятельность, связанную с пользованием недрами. Также к системе может подключиться юридическое лицо или индивидуальный предприниматель, зарегистрировавшие объекты в государственном реестре опасных производственных объектов.

ИС ЕПТ представляет из себя централизованный интернет-портал, позволяющий аттестационным комиссиям организаций осуществлять компьютерное тестирование работников в режиме реального времени с использованием единой базы тестовых вопросов, утвержденных Ростехнадзором, формировать и хранить различного рода отчёты и данные (например, реестр итогов аттестации), а также позволяет работать с заявлениями, касающихся аттестации работников. Применение ИС ЕПТ позволяет исключить возможность фальсификации прохождения тестирования и его результатов.

Отметим, что существует 2 крайне различных типов взаимодействия с ИС ЕПТ: подключение «объектов сетевой инфраструктуры» (условно, компьютеров, расположенных в организации, т.е. взаимодействие система - пользователь), и подключение информационной системы организации (внешней, по отношению к ИС ЕПТ, информационной системы. Здесь взаимодействие вашей системы и ИС ЕПТ осуществляется через API, взаимодействие система-система). В силу особой специфики второго варианта, выходящей за рамки данной статьи, всё нижесказанное будет относится исключительно к первому типу взаимодействия, когда организация подключает к ИС ЕПТ именно компьютеры для доступа пользователей к системе.

В понимании ИС ЕПТ, в организации существует 3 типа пользователей:

  • работники организации, являющиеся членами аттестационных комиссий (председатель, заместитель председателя, секретарь, члены аттестационной комиссии);
  • физическое лицо, уполномоченное организацией на подачу заявления об аттестации работников (представитель организации);
  • работники, проходящие тестирование (аттестуемые).

Взаимодействие указанных пользователей с ИС ЕПТ происходит с использованием веб-браузера (рекомендуется Chrome 71: December 4, 2018). Важным моментом является то, что доступ пользователей к ИС ЕПТ осуществляется с сайта Ростехнадзора только при условии использования средств криптографической защиты информации (СКЗИ) (п.1.2.1 Временного порядка пользования ИС ЕПТ).

В данном материале мы не будем подробно рассматривать функциональные возможности информационной системы ЕПТ, однако на вопросе правил и процедур подключения к ней, а также обязательных сопутствующих мероприятиях остановимся подробнее.

Итак, ваша организация входит в перечень поднадзорных Ростехнадзору, и вы планируете подключиться к единому порталу тестирования. С чего начать?

Первым неочевидным моментом в схеме функционирования ИС ЕПТ является тот факт, что оператором данной системы является не сам Ростехнадзор, а подведомственное ему ФБУ «Учебно-методический кабинет» (далее по тексту - Оператор). Именно эта организация осуществляет подключение (в части генерации сертификатов и ключей для организации защищенного соединения – об этом далее) к ИС ЕПТ, а также осуществляет техническую поддержку пользователей при эксплуатации информационной системы. На сайте Оператора размещены основные официальные документы по использованию ИС ЕПТ («Временный порядок пользования ИС ЕПТ»), правила и процедуры подключения к системе («Регламент подключения к ЗСПД ИС ЕПТ»), материалы для пользователей («Руководство Пользователя. Подключение к ЗСПД ИС ЕПТ») и иные справочные документы. Именно на сайт Оператора приведет вас запрос «ИС ЕПТ» в поисковике.

Согласно «Регламенту подключения к защищенной сети передачи данных» (далее - Регламент), организации необходимо совершить ряд действий. Разберем их по порядку.

1. Необходимо определиться, какое количество компьютеров вам необходимо подключить. Какие-то общие рекомендации в данном вопросе дать сложно, так как многое зависит от специфики организации, количества аттестуемых, периодичность аттестации и многих других факторов. Здесь стоит попытаться соблюсти некий баланс между комфортом при проведении аттестаций и финансовых затрат на приобретение необходимого оборудования или программного обеспечения (СКЗИ) – о данных затратах ниже. 2. Необходимо выбрать средства криптографической защиты информации (СКЗИ), соответствующее вашим потребностям, в первую очередь – количеству компьютеров, подключаемых к ИС ЕПТ. В данном случае Оператор уже проделал всю работу за нас – это решения компании ООО «Код Безопасности», а именно продукты из линейки «Континент». Использование иных СКЗИ (в том числе сертифицированных ФСТЭК России) не позволит вам подключится к ИС ЕПТ в силу технологических особенностей построения ИС ЕПТ.

Итак, в Регламенте определены 3 варианта (вообще их 4, но последний относится к подключению ИС организации, которое мы не рассматриваем) «комплектов» СКЗИ в зависимости от количества компьютеров организации, подключаемых к ИС ЕПТ:

  • 1-6 компьютеров - программный комплекс «Континент - АП», устанавливается на каждый компьютер;
  • более 6 компьютеров – устройство АПКШ «Континент» 3.7., платформа IPC-10, 1 шт.
  • выйдет из строя – кластер (два) устройства АПКШ «Континент» 3.7., платформа IPC-100.

Давайте рассмотрим стоимость каждого решения. По состоянию на 22 января 2020 г. на сайте «Код Безопасности» указаны следующие данные:

  • ПО «Континент-АП» - 7 798 р. или 17 553 р. за 1 шт.
  • АПКШ «Континент» 3.7, платформа IРС-10. – 64 502 р.
  • Кластер из 2-х АПКШ «Континент» 3.7, платформа IPC-100 – 380 263 р.

Помимо указанных вариантов, на сайте «Код Безопасности» присутствуют еще несколько промежуточных вариантов («более 10 компьютеров», «более 25 компьютеров»), но мы будем ориентироваться пока на те, что указаны в Регламенте.

Разница в стоимости ПО «Континент - АП» обусловлена рекомендацией вендора («Кода Безопасности») использовать СКЗИ совместно с сертифицированным средством защиты информации от несанкционированного доступа. Если у организации оно отсутствует, то данный вопрос предлагается решить покупкой комплекта ПО «Континент-АП» и модуля защиты от НСД и контроля устройств Средства защиты информации Secret Net Studio 8 от того же производителя – именно такой комплект оценивается в 17 553 р. Напомним, что все цены указаны по состоянию на 22 января 2020 г.

3. После выбора СКЗИ их необходимо приобрести, для этого необходимо обратиться к партнерам ООО «Кода Безопасности», имеющим право поставки указанных СЗИ.

4. После приобретения СКЗИ необходимо направить Оператору по электронной почте заявление на подключение и сопутствующие документы (их два, соглашение о конфиденциальности и соглашение о предоставлении доступа) (далее - Заявление). Сама форма и правила его заполнения указаны в Регламенте, поэтому его формирование не должно вызвать каких-либо затруднений. Единственный момент, о котором необходимо помнить – Заявление направляется в электронном виде и должно быть подписано действующей усиленной квалифицированной электронной подписью (УКЭП). Заявление подписывает либо руководитель организации, либо лицо, имеющее право подписывать документы от имени руководителя организации. В последнем случае необходимо приложить доверенность на подписание от имени руководителя, подписанное, соответственно, УКЭП руководителя. Согласно Регламенту, максимальный срок рассмотрения Заявления составляет не более трёх рабочих дней. В качестве основания для отказа в подключении в Регламенте фигурирует единственная причина: неполная и/или недостоверная информация, указанная в Заявлении.

5. После получения от Оператора необходимых файлов с ключевой информацией, необходимо настроить оборудование или программное обеспечение в соответствии с документацией на конкретное СКЗИ. Особых требований к оборудованию нет.

После успешной настройки ПО или оборудования вы должны успешно подключиться к защищенной сети передачи данных ИС ЕПТ.

На этом, по большому счёту, процедура подключения к ИС ЕПТ заканчивается. Далее идёт работа уже на самом портале: регистрация пользователей, формирование заявлений на регистрацию кабинетов комиссий и т.д. Подробно данные процедуры описаны в документации к ИС ЕПТ, и здесь мы описывать их не будем. Однако хотелось бы остановиться еще на одном моменте, который часто упускают из вида в процессе подключения к ИС ЕПТ.

Речь идёт о проведении комплекса мероприятий по обеспечению информационной безопасности на объектах информатизации организации, которые взаимодействуют с ИС ЕПТ.

О необходимости проведения такого рода мероприятий прямо указано в нескольких документах Оператора. Например, в «Регламенте подключения к защищенной сети передачи данных», п.2.1.: «На объектах информатизации Заявителя, подключаемого к ЗСПД ИС ЕПТ, должны соблюдаться требования законодательства РФ по информационной безопасности. Ответственность за соблюдение требований на объектах информатизации Заявителя по обеспечению ИБ лежит на Заявителе». В том же документе, п. 2.4.: «При размещении СКЗИ на объектах информатизации Заявителя рекомендуется руководствоваться следующими требованиями:

  • размещение и охрана помещений, в которых установлены СКЗИ и ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, а также гарантировать сохранность находящихся в этих помещениях конфиденциальных документов.
  • порядок охраны и организации режима помещений, в которых установлены СКЗИ, регламентируется разделом IV «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 г. №152.
  • на случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.
  • технические средства могут подключаться к общегородской сети электроснабжения с учетом требований инструкций по эксплуатации вычислительных средств и правил техники безопасности.
  • оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать СНиП, устанавливаемым законодательством РФ».

П.5. Регламента («Обязанности Заявителя»): «самостоятельно и за свой счёт обеспечить на объектах информатизации Заявителя, подключаемых к ЗСПД ИС ЕПТ соблюдение требований по информационной безопасности согласно законодательству РФ, в том числе обеспечить АРМ, подключаемые к ЗСПД ИС ЕПТ, средствами защиты от НСД и антивирусной защиты».

Более подробно информация, которую требуется защищать, описана в п. 1.5. «Соглашения о конфиденциальности». Данный документ обязателен к ознакомлению и принятию при подключении организации к ИС ЕПТ. К конфиденциальной информации в данном случае относится:

  • персональные данные работников Организации, передаваемые Оператору в целях организации подключения Объектов информатизации Организации к ИС ЕПТ;
  • персональные данные работников Организации, обрабатываемые Оператором при регистрации работников Организации и в дальнейшем хранимые в ИС ЕПТ;
  • персональные данные работников Организации, обрабатываемые Оператором, необходимые для проведения аттестации в соответствии с требованиями документов …. и в дальнейшем хранимые в ИС ЕПТ;
  • информация технологического характера о принципах функционирования защищенной сети передачи данных ИС ЕПТ, которая предоставляется Организациями Оператору для подключения Объектов информатизации Организации к ИС ЕПТ;
  • информация о структуре данных ИС ЕПТ, материалы и технологии, которые предоставляются Оператором Организациям для подключения информационных систем Организации к ИС ЕПТ;
  • сгенерированный Оператором пользовательский сертификат и пароль для подключения к ИС ЕПТ;
  • документы, которые предоставляются Организациями Оператору для подключения к ИС ЕПТ;
  • информация, которая стала известна работникам Организации в результате получения доступа и работы в ИС ЕПТ.

Как мы видим, в данном случае необходимо защищать как персональные данные, так и иную конфиденциальную информацию. Указанные технические и организационные меры могут быть распространены на новые объекты (компьютеры, подключенные к ИС ЕПТ, данные, пользователей и т.д.) как из уже имеющихся систем защиты персональных данных, действующих в организации, так и выделены в отдельную систему защиты. Необходимо также не забыть, что порядок использования СКЗИ при обработке персональных данных дополнительно регламентируется такими документами, как:

  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
  • Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
  • «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

Кроме того, необходимо обратить внимание на действующие отраслевые стандарты, касающиеся деятельности конкретной организации.

В целом, эта вся информация, которой мы хотели бы поделиться с читателями на данный момент по вопросу подключения к ИС Единый портал Тестирования. Остался единственный вопрос, на прямую не связанный с процедурой подключения, однако требующий нашего пояснения.

Как организация, занимающаяся консультированием и услугами в области обеспечения информационной безопасности, мы не могли не прокомментировать сообщение на сайте Оператора ИС ЕПТ, размещенное под кнопкой «важно». Приведем здесь текст данного сообщения с небольшими купюрами, не влияющими на общий смысл.

«Обращаем Ваше внимание, что в последнее время в адрес ФБУ «Учебно-методический кабинет» Ростехнадзора поступает информация о предоставлении услуг по якобы подключению к Единому порталу тестирования на возмездной основе третьими лицами.

Обращаем Ваше внимание, что услугу по предоставлению доступа к защищенной сети передачи данных, к кабинету аттестационной комиссии, к кабинету представителя организации ФБУ «Учебно-методический кабинет» Ростехнадзора (далее-Оператор) осуществляет без взимания платы.

Оператор настоятельно рекомендует по всем вопросам, связанным с использованием Единого портала тестирования обращаться в техническую поддержку Оператора, являющегося официальной организацией, обеспечивающей его функционирование.

Оператор не несет ответственность за услуги по подключению к Единому порталу тестирования, оказанные третьими лицами. В случае возникновения разногласий, спорных вопросов или иных проблем с поставщиками подобных услуг просим самостоятельно решать их в порядке, установленном законодательством Российской Федерации.

В случае трудностей при настройке подключения к Единому порталу тестирования, а также, при его использовании, Оператор окажет помощь в решении Вашей проблемы — БЕЗВОЗМЕЗДНО.»

Во избежание каких-либо двояких трактовок относительно данного сообщения, давайте еще раз обратимся к «Регламенту подключения к защищенной сети передачи данных» и выясним, какие именно обязанности при подключении возлагаются на Оператора, а какие – на организацию (Заявителя).

Заявитель обязан:

  • обеспечить соблюдение требований законодательства РФ по информационной безопасности (п.2.1., п.5. Регламента);
  • самостоятельно приобрести ПО и оборудование производства компании ООО «Код Безопасности» (п.2.1. Регламента);
  • самостоятельно организовать работы по настройке оборудования и ПО компании «Код Безопасности» (п.2.1., п.3.1.3. Регламента).
  • иные обязанности, указанные в п. 2 документа «Соглашение о предоставлении доступа»

Оператор:

  • принимает и рассматривает заявление на подключение Заявителя (п.3.1. Регламента);
  • формирует (генерирует) пользовательский сертификат и пароль для ПО «Континент-АП» или файлы конфигурации для АПКШ Континент, передает их Заявителю (п.6.3. Регламента, техническая документация на СКЗИ «Континент»).
  • иные обязанности, указанные в п.3.1. документа «Соглашение о предоставлении доступа», возникающие перед Оператором после подключения Заявителя к ИС ЕПТ.

Таким образом, в терминах Оператора «подключение» означает, во-первых, принятие решения о возможности подключения организации к ИС ЕПТ, и, во-вторых, формирование и передача необходимого и достаточного набора файлов для настройки ПО и оборудования Заявителя. В данном случае заявление на сайте Оператора абсолютно обосновано и корректно, т.к. никто, кроме Оператора, не имеет права и возможности формирования файлов для подключения к ИС ЕПТ.

Если же трактовать термин «подключение» как комплекс услуг по обеспечению выполнения Заявителем обязанностей по подключению, указанных в Регламенте и «Соглашении о предоставлении доступа» (о которых написано выше в обязанностях Заявителя), то указанные услуги никак не противоречат и никаким образом не нарушают ни Регламент по подключению, ни иные документы Оператора, размещенные на его сайте. Важным моментом здесь является то, (и об этом необходимо помнить Заявителю), что те организации, которые предлагают подобные услуги, обязаны иметь действующие лицензии ФСБ России на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), а также ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.





TeamViewer