Аттестация

Аттестация объектов информатизации (информационных систем) представляет собой комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Аттестация информационной системы требуется в случае, если это предусматривается законодательством:

• для информационных систем персональных данных – обеспечение безопасности персональных данных достигается оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ст. 19 ФЗ «О Персональных данных»). Оценка эффективности производится в форме аттестации.
• для государственных информационных систем – для обеспечения защиты информации, содержащейся в государственной информационной системе, проводятся аттестация информационной системы по требованиям защиты информации и ввод ее в действие (ст. 13 Приказа ФСТЭК России № 17).
• для автоматизированных систем – объекты информатизации (в т.ч. автоматизированные системы) должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными ведомственными документами.

Аттестацию проводят компании, обладающие Лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Порядок проведения аттестации по требованиям безопасности информации включает следующие действия:

• подачу и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости) или закупка сертифицированных средств защиты информации
• заключение договоров на аттестацию;
• разработка программы и методики аттестационных испытаний;
• анализ разработанной документации и ее соответствие требованиям нормативной документации по защите информации;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача "Аттестата соответствия".