Аттестация объектов информатизации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Обязательной аттестации подлежат:

1. Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
2. Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
3. Государственные информационные системы

Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:

• анализ исходных данных по аттестуемому объекту информатизации;
• предварительное ознакомление с аттестуемым объектом информатизации;
• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)

• Перечень органов по аттестации N РОСС RU.0001.01БИ00
• Реестр лицензий на деятельность по технической защите конфиденциальной информации

Пречень документов на объект информатизации