Задачи аттестации
С помощью аттестации объектов информации можно решить следующие задачи:
- соответствия: определение соблюдений требований нормативной базы в сфере защиты информации;
- безопасности: обеспечение необходимого уровня безопасности для объектов информации.
Какие объекты информатизации аттестуются:
- информационных систем персональных данных (ИСПДн);
- государственных и муниципальных информационных систем (ГИС/МИС);
- автоматизированных систем (АС);
- защищаемых помещений (ЗП).
Проведение аттестации объектов информации предполагает выполнение комплекса организационных и технических мероприятий, в результате чего с помощью документа «Аттестат соответствия» определяется соответствие объекта требованиям стандарта и нормативным документам по обеспечению безопасности информации.
Объектом информации признается комплекс ресурсов, систем обработки данных, средств, которые применяются на основании заданной информационной технологии, средств обеспечения, объектов, где установлены эти средства или помещения, где планируется проведение конфиденциальных переговоров.
Исходя из требований законодательства, аттестации подлежат:
- объекты, необходимые для обработки информации, которая является государственной тайной, экологически опасные объекты, помещения для проведения тайных переговоров;
- средства информатизации, необходимые для обработки данных, определенных как служебная тайна;
- объекты информации, необходимые для обработки данных конфиденциального характера и представляющих собой государственный информационный ресурс.
В других случаях аттестация может носить добровольный характер и проводиться по инициативе Заказчика или владельца информационного объекта.
Обращаться нужно в компанию, которая имеет лицензию на осуществление данного вида деятельности и соответствует требованиям безопасности, которая предлагает услуги по получению аттестата объектов информации, исходя из требований:
- автоматизации систем, включая информационные системы персональных данных;
- автоматизированного рабочего места;
- локальных сетей;
- распределительных информационных систем;
- защищаемых объектов.
Специалисты компании по проведению аттестации объектов информатизации выполняют следующий комплекс работ:
- подготовку в осуществление аттестационных испытаний;
- составление перечня объектов, которым требуется прохождение аттестации;
- классификацию объектов информатизации;
- формирование технического паспорта объекта;
- анализ каналов утечки данных;
- выполнение комплекса мер по защите информации, установка средств защиты;
- составление ОРД на объект;
- создание методики и проведение испытаний;
- исследование объекта на соответствие требованиям защиты данных;
- анализ объекта на соответствие требованиям защиты от несанкционированного проникновения;
- составление протокола аттестационных испытаний;
- анализ результатов испытаний;
- подготовку заключения по результатам исследований;
- выдачу аттестата.
Результат работ
По результатам проведенного комплекса работ Заказчик получает аттестат соответствия требованиям информационной безопасности на объект со сроком действия 3 года.