Аттестация

Аттестация

Аттестация объектов информатизации по требованиям безопасности информации

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.


Для чего нужна аттестация объекта информатизации?

Наличие на объекте информатизации (ОИ) действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

Аттестация объекта информатизации (ОИ) предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном ОИ мер и средств защиты информации. Обязательной аттестации подлежат объекты информатизации:

  • предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров;
  • участвующие в обработке персональных данных;
  • в которых обрабатываются государственные информационные ресурсы;
  • ключевые системы информационной инфраструктуры.


Каков общий порядок проведения аттестации?

Порядок проведения аттестации ОИ включает следующие действия:

  • подачу Заявителем и рассмотрение Органом по аттестации заявки на аттестацию;
  • предварительное ознакомление специалистами Органа по аттестации с аттестуемым ОИ;
  • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом ОИ (при необходимости в аккредитованных испытательных лабораториях);
  • разработка Органом по аттестации программы и методики аттестационных испытаний;
  • заключение договоров на аттестацию между Заявителем и Органом по аттестации;
  • проведение Органом по аттестации аттестационных испытаний ОИ;
  • оформление, регистрация и выдача Органом по аттестации «Аттестата соответствия».

Что дает «Аттестат соответствия»?
«Аттестат соответствия» выдается на период, в течение которого обеспечивается неизменность условий функционирования ОИ и технологии обработки защищаемой информации, но не более чем на 3 года. Условия функционирования ОИ и технологии обработки информации, способные повлиять на характеристики, определяющие безопасность информации:

  • состав и структура технических средств;
  • условия размещения;
  • используемое программное обеспечение;
  • режимы обработки информации, средства и меры защиты.

Владелец аттестованного ОИ несет ответственность за выполнение установленных условий функционирования объекта, технологии обработки защищаемой информации и требований по безопасности информации. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных ОИ обязаны известить об этом Орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ОИ.