Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Заказать звонок
Работаем
по всей России

Положение по аттестации

Перед началом работы с конфиденциальными сведениями или с информацией, составляющей государственную тайну, предприятию необходимо пройти аттестацию. Аттестации подвергаются помещения, автоматизированные рабочие места, автоматизированные системы. Основополагающим документом, регламентирующим такую процедуру, является «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г.

Что такое аттестация?

Положение по аттестации называет аттестацией совокупность проверочных мероприятий, целью которых является оценка объекта на соответствие нормам по информационной безопасности. Объект должен быть защищен от незаконного вторжения, вирусов, утечки сведений по различным каналам. По результатам проверки компания получает аттестат соответствия, который дает право обрабатывать сведения в течение установленного срока, не меняя условия работы.

Аттестацию вправе осуществлять только предприятие, которое является лицензиатом ФСТЭК в части технической защиты информации. Этот орган по аттестации впоследствии и будет отвечать за сохранность секретных и конфиденциальных сведений на аттестованном объекте. Поэтому он имеет право приостанавливать и аннулировать аттестаты.

А в обязанности заявителя входит предоставление аттестующему органу необходимой документации и условий для процедуры. После получения аттестата заявитель должен сохранять неизменными условия работы, а при изменениях – незамедлительно сообщать о них органу по аттестации.

Как происходит аттестация?

Положение по аттестации ФСТЭК в 3 пункте описывает порядок проведения процедуры. В первую очередь необходимо отправить в орган по аттестации заявку. В обращении указывается:

  • наименование компании;
  • объект информатизации;
  • вид обрабатываемых сведений;
  • расположение объекта по отношению к контролируемой зоне;
  • список помещений, относящихся к объекту;
  • список средств защиты информации (СЗИ);
  • сведения о службе безопасности;
  • сведения о документах на объект.

Заявка рассматривается в течение 30 дней. Если исходные данные будут недостаточны для составления плана аттестации, предпринимается предварительное ознакомление с объектом. После чего создается программа по аттестации. Документ согласовывается с соискателем, и подписывается договор. План по аттестации содержит список проверочных мероприятий, срок их осуществления, перечень контрольной аппаратуры для осуществления проверок, состав комиссии.

Все расходы на аттестацию ложатся на заявителя.

Следующий этап – непосредственно аттестационные испытания. Они включают в себя:

  • анализ объекта и системы охраны объекта;
  • анализ правильности определения класса АС и выбора СЗИ;
  • проверку СЗИ, не прошедших сертификацию, в специальных лабораториях;
  • проверку защищенности сведений в режиме реальных условий.

По результатам тестирования составляются протоколы испытаний и заключение. Если были обнаружены нарушения, в заключении указываются инструкции по их устранению. Фирма получит аттестат после устранения недочетов.

Аттестат соответствия выдается сроком до 3 лет. В течение этого времени фирма обязана сохранять условия обработки информации неизменными.

Если заявитель не согласен с решением комиссии по аттестации, он вправе обжаловать его. Для этого нужно обратиться в ФСТЭК с апелляцией.

Аттестат соответствия должен содержать следующие сведения:

  • название аттестованного объекта;
  • перечень СЗИ, их модели, реквизиты сертификатов и заводские номера;
  • реквизиты плана аттестации, в соответствии с которым проходили испытания;
  • вид сведений, обработка которых одобрена;
  • реквизиты протоколов испытаний и заключения;
  • срок годности аттестата;
  • список изменений, о которых нужно извещать аттестующий орган.

Важно понимать, что процедуры аттестации разных объектов информатизации отличаются, потому как отличаются требования к объектам. При подготовке к процедуре придется изучить множество документов. Часть из них ограничены в распространении, и получить их можно, отправив заявку в ФСТЭК.

Поэтому процесс аттестации не так прост, как может показаться на первый взгляд. Готовиться к аттестации следует заранее, чтобы привести в норму объект информатизации, разработать необходимую документацию, решить кадровые вопросы.

Центр безопасности информационных систем является лицензиатом ФСТЭК в части защиты информации. Мы предлагаем помощь квалифицированных специалистов в подготовке к аттестации с последующей аттестацией по информационной безопасности.

Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.