Аттестация и сертификация информационных систем и объектов информатизации

Под аттестацией (сертификацией) объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – Аттестата (сертификата) соответствия – подтверждается, что объект соответствует требованиям регламентов, национальных и международных стандартов и иных нормативно-технических документов по защите информации.

Обязательной аттестации (сертификации) подлежат объекты информатизации и средства, в том числе иностранного производства, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация(сертификация) носит добровольный характер (добровольная аттестация/сертификация) и может осуществляться по желанию заказчика.

Перечень объектов информатизации и средств, подлежащих обязательной аттестации (сертификации), разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны.

Говоря о категориях информации, можно выделить:

• Государственные информационные ресурсы.
• Персональные данные граждан.
• Специальные категории персональных данных граждан (относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
• Информационные ресурсы негосударственных организаций.

Цели проведения аттестации и сертификации

• Соответствие требованиям нормативно-правовой базы в области защиты информации.
• Обеспечение необходимого уровня безопасности.
• Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Этапы проведения аттестации и сертификации

В рамках оказания услуг по аттестации Компания ЗИКС выполняет полный комплекс работ по аттестации (сертификации). Пример последовательности выполнения работ приведен для процедуры аттестации:

1. Планирование и подготовка к проведению аттестационных испытаний

• Определение перечня объектов информатизации, подлежащих аттестации.
• Категорирование и классификация объектов информатизации.
• Составление технических паспортов на объекты информатизации.
• Определение возможных каналов утечки информации.
• Определение перечня мероприятий по исключению возможных каналов утечки информации.
• Проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации).
• Анализ разработанной документации по защите информации на объекте с точки зрения ее соответствия требованиям нормативной и методической документации.
• Разработка комплекта организационно-распорядительной документации на объект информатизации (приказы,
  распоряжения, инструкции, руководства).
• Разработка программы и методики аттестационных испытаний.

2. Проведение аттестационных испытаний

• Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от утечки по техническим каналам.
• Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа.
• Оформление протокола по результатам аттестационных испытаний.

3. Оформление результатов аттестационных испытаний:

• Составление заключения по результатам аттестационных испытаний.
• Выдача аттестата соответствия.

Результаты работ по аттестации и сертификации

• Заказчику выдается Аттестат (сертификат)соответствия объекта информатизации требованиям по безопасности информации.

Аттестат (сертификат) соответствия выдается владельцу аттестованного объекта информатизации на 3 года (системы, средства) органом, проводящим аттестацию. При этом в течение этого периода должны обеспечиваться неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации.

‍