Услуги и решения по 
информационной безопасности
© 2017 Сzics.ru
Мы храним то, что Вы создаете!
Аттестация и сертификация
Аттестация и сертификация информационных систем и объектов информатизации
Под аттестацией (сертификацией) объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – Аттестата (сертификата) соответствия
– подтверждается, что объект соответствует требованиям регламентов, национальных и международных стандартов и иных нормативно-технических документов по защите информации.

Обязательной аттестации(сертификации) подлежат объекты информатизации и средства, в том числе иностранного производства, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация(сертификация) носит добровольный характер (добровольная аттестация/сертификация) и может осуществляться по желанию заказчика.

Перечень объектов информатизации и средств, подлежащих обязательной аттестации (сертификации), разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны.
Говоря о категориях информации, можно выделить:
  • Государственные информационные ресурсы.
  • Персональные данные граждан.
  • Специальные категории персональных данных граждан (относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
  • Информационные ресурсы негосударственных организаций.
Цели проведения аттестации и сертификации
  • Соответствие требованиям нормативно-правовой базы в области защиты информации.
  • Обеспечение необходимого уровня безопасности.
  • Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.
Этапы проведения аттестации и сертификации
В рамках оказания услуг по аттестации Компания ЗИКС выполняет полный комплекс работ по аттестации (сертификации). Пример последовательности выполнения работ приведен для процедуры аттестации:
1. Планирование и подготовка к проведению аттестационных испытаний
  • Определение перечня объектов информатизации, подлежащих аттестации.
  • Категорирование и классификация объектов информатизации.
  • Составление технических паспортов на объекты информатизации.
  • Определение возможных каналов утечки информации.
  • Определение перечня мероприятий по исключению возможных каналов утечки информации.
  • Проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации).
  • Анализ разработанной документации по защите информации на объекте с точки зрения ее соответствия требованиям нормативной и методической документации.
  • Разработка комплекта организационно-распорядительной документации на объект информатизации (приказы,
    распоряжения, инструкции, руководства).
  • Разработка программы и методики аттестационных испытаний.
2. Проведение аттестационных испытаний
  • Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от утечки по техническим каналам.
  • Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа.
  • Оформление протокола по результатам аттестационных испытаний.
3. Оформление результатов аттестационных испытаний:
  • Составление заключения по результатам аттестационных испытаний.
  • Выдача аттестата соответствия.
Результаты работ по аттестации и сертификации
  • Заказчику выдается Аттестат (сертификат)соответствия объекта информатизации требованиям по безопасности информации.
Аттестат (сертификат) соответствия выдается владельцу аттестованного объекта информатизации на 3 года (системы, средства) органом, проводящим аттестацию. При этом в течение этого периода должны обеспечиваться неизменность
условий функционирования объекта информатизации и технологии обработки защищаемой информации.