Аттестация объектов информатизации по требованиям безопасности информации

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК (Гостехкомиссией) России.

Объекты информатизации (ОИ) – предназначенные для обработки и передачи информации, подлежащей защите автоматизированные системы различного уровня и назначения, системы связи, системы отображения и размножения документов вместе с помещениями, в которых они установлены и сами помещения, предназначенные для ведения конфиденциальных переговоров.

Для чего нужна аттестация объекта информатизации?

Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия»

Аттестация ОИ предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном ОИ мер и средств защиты информации. Обязательной аттестации подлежат:

Персональные данные (Краткий FAQ) / Хабрахабр
4 ноя 2010 ... Когда аттестация и сертификация обязательна? Аттестация
информационных систем по требованиям безопасности информации ...
http://habrahabr.ru/post/107576/

• ОИ, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров;
• ОИ в которых обрабатываются государственные информационные ресурсы;
• ключевые системы информационной инфраструктуры.

Каков общий порядок проведения аттестации?

Порядок проведения аттестации ОИ включает следующие действия:

• подачу Заявителем и рассмотрение Органом по аттестации заявки на аттестацию;
• предварительное ознакомление специалистами Органа по аттестации с аттестуемым ОИ;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом ОИ (при необходимости в аккредитованных испытательных лабораториях);
• разработка Органом по аттестации программы и методики аттестационных испытаний;
• заключение договоров на аттестацию между Заявителем и Органом по аттестации;
• проведение Органом по аттестации аттестационных испытаний ОИ;
• оформление, регистрация и выдача Органом по аттестации «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение апелляций.

Каковы основные факторы, определяющие содержание и объем аттестационных испытаний?

Основными факторами, определяющими содержание и объем аттестационных испытаний, являются:

• тип аттестуемого ОИ (защищаемое помещение или автоматизированная система);
• класс защищенности ОИ;
• состав и структура ОИ, условия его расположения и особенности эксплуатации;
• технологический процесс обработки информации;
• используемые организационные, технические и программные средства защиты информации;
• опасные виды и средства разведки, технические каналы утечки информации и угрозы безопасности информации;
• степень документальной (аппаратурной) подтвержденности эффективности защиты информации;
• степень полноты организационно-распорядительной документации;
• степень подготовленности персонала Заявителя.

Что дает «Аттестат соответствия»?

«Аттестат соответствия» выдается на период, в течение которого обеспечивается неизменность условий функционирования ОИ и технологии обработки защищаемой информации, но не более чем на 3 года. Условия функционирования ОИ и технологии обработки информации, способные повлиять на характеристики, определяющие безопасность информации:

Жизнь после аттестации информационной системы - СКБ Контур
24 июн 2015 ... Аттестат соответствия информационной системы выдается не ... система
является государственной, то аттестация обязательна.
https://kontur.ru/articles/1974

• состав и структура технических средств;
• условия размещения;
• используемое программное обеспечение;
• режимы обработки информации, средства и меры защиты.

Владелец аттестованного ОИ несет ответственность за выполнение установленных условий функционирования объекта, технологии обработки защищаемой информации и требований по безопасности информации В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных ОИ обязаны известить об этом Орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ОИ.

Аттестация ОИ. Схема процесса (заказчик/исполнитель).

Положение по аттестации информационных систем города ...
Система аттестации информационных систем города Москвы по
требованиям ..... которых требуется обязательно извещать орган по
аттестации: 9.1 ...
http://iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-po-attestacii-informacionnyh-sistem-goroda-moskvy-po-trebovaniyam-bezopasnosti-informacii