ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

---

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК (Гостехкомиссией) России.

Объекты информатизации (ОИ) – предназначенные для обработки и передачи информации, подлежащей защите автоматизированные системы различного уровня и назначения, системы связи, системы отображения и размножения документов вместе с помещениями, в которых они установлены и сами помещения, предназначенные для ведения конфиденциальных переговоров.

Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия»

Аттестация ОИ предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном ОИ мер и средств защиты информации. Обязательной аттестации подлежат:

• ОИ, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров;
• ОИ в которых обрабатываются государственные информационные ресурсы;
• ключевые системы информационной инфраструктуры.

Порядок проведения аттестации ОИ включает следующие действия:

• подачу Заявителем и рассмотрение Органом по аттестации заявки на аттестацию;
• предварительное ознакомление специалистами Органа по аттестации с аттестуемым ОИ;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом ОИ (при необходимости в аккредитованных испытательных лабораториях);
• разработка Органом по аттестации программы и методики аттестационных испытаний;
• заключение договоров на аттестацию между Заявителем и Органом по аттестации;
• проведение Органом по аттестации аттестационных испытаний ОИ;
• оформление, регистрация и выдача Органом по аттестации «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение апелляций.

Основными факторами, определяющими содержание и объем аттестационных испытаний, являются:

• тип аттестуемого ОИ (защищаемое помещение или автоматизированная система);
• класс защищенности ОИ;
• состав и структура ОИ, условия его расположения и особенности эксплуатации;
• технологический процесс обработки информации;
• используемые организационные, технические и программные средства защиты информации;
• опасные виды и средства разведки, технические каналы утечки информации и угрозы безопасности информации;
• степень документальной (аппаратурной) подтвержденности эффективности защиты информации;
• степень полноты организационно-распорядительной документации;
• степень подготовленности персонала Заявителя.

«Аттестат соответствия» выдается на период, в течение которого обеспечивается неизменность условий функционирования ОИ и технологии обработки защищаемой информации, но не более чем на 3 года. Условия функционирования ОИ и технологии обработки информации, способные повлиять на характеристики, определяющие безопасность информации:

• состав и структура технических средств;
• условия размещения;
• используемое программное обеспечение;
• режимы обработки информации, средства и меры защиты.

Владелец аттестованного ОИ несет ответственность за выполнение установленных условий функционирования объекта, технологии обработки защищаемой информации и требований по безопасности информации В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных ОИ обязаны известить об этом Орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ОИ.

Аттестация ОИ. Схема процесса (заказчик/исполнитель).