Аттестация объектов информатизации

При аттестации объектов информатизации Центр выполняет комплекс работ по их подготовке к аттестации, включая обследование объектов информатизации, установку и настройку СЗИ от НСД и ТСЗИ, разработку организационно-распорядительных документов.

Порядок аттестации объектов информатизации по требованиям безопасности информации:

  • подача и рассмотрение заявки на аттестацию;
  • предварительное ознакомление с аттестуемым объектом;
  • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
  • разработка программы и методики аттестационных испытаний;
  • заключение договора на аттестацию;
  • проведение аттестационных испытаний объекта информатизации;
  • оформление, регистрация и выдача «Аттестата соответствия»;
  • осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.

Аттестационные испытания объекта информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации.

В процессе аттестации:

  • осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
  • определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и не сертифицированных средств и систем защиты информации;
  • проводятся испытания не сертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
  • проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
  • проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  • оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

По результатам проведенных работ выдается «Аттестат соответствия» которым подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.