Аттестация объектов информатизации (информационных систем) представляет собой комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Аттестация информационной системы требуется в случае, если это предусматривается законодательством:
- для информационных систем персональных данных – обеспечение безопасности персональных данных достигается оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ст. 19 ФЗ «О Персональных данных»). Оценка эффективности производится в форме аттестации.
- для государственных информационных систем – для обеспечения защиты информации, содержащейся в государственной информационной системе, проводятся аттестация информационной системы по требованиям защиты информации и ввод ее в действие (ст. 13 Приказа ФСТЭК России № 17).
- для автоматизированных систем – объекты информатизации (в т.ч. автоматизированные системы) должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными ведомственными документами.
Аттестацию проводят компании, обладающие Лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Порядок проведения аттестации по требованиям безопасности информации включает следующие действия:
- подачу и рассмотрение заявки на аттестацию;
- предварительное ознакомление с аттестуемым объектом;
- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости) или закупка сертифицированных средств защиты информации
- заключение договоров на аттестацию;
- разработка программы и методики аттестационных испытаний;
- анализ разработанной документации и ее соответствие требованиям нормативной документации по защите информации;
- проведение аттестационных испытаний объекта информатизации;
- оформление, регистрация и выдача "Аттестата соответствия".
Аттестат соответствия выдается владельцу аттестованного объекта информатизации на период, в течение которого обеспечивается неизменность условий функционирования и технологии обработки защищаемой информации, но не более чем на 3 года.