Редактирование: Услуги (раздел)

== Аттестация объектов информатизации ==

Для того чтобы понять надо ли Вашей организации проводить аттестацию объектов информатизации необходимо ответить на несколько вопросов:<br />

=== Что такое аттестация и объекты информатизации? ===

Аттестация объекта информатизации - это комплекс организационно-технических мероприятий, в результате проведения которых организация получает специальный документ – «Аттестат соответствия», подтверждающий, что объект информатизации соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых органом исполнительной власти, уполномоченным в области обеспечения безопасности информации - Федеральной службой по техническому и экспортному контролю России (ФСТЭК).
Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы, представляющие собой комплексы технических и программных средств, персонал работающий с ними; а также помещения, предназначенные для ведения конфиденциальных переговоров. 

=== Надо ли Вашей организации проходить аттестацию? ===

На сегодняшний день обязательной аттестации подлежат:<br />

-	объекты информатизации, если они эксплуатируются в органах государственной власти РФ и обрабатывают информацию ограниченного доступа (персональные данные, профессиональная тайна, служебная тайна и т.д.), но не содержащую государственной тайны. К таким объектам информатизации относятся:
* защищаемые помещения, в которых обсуждается информация ограниченного доступа;
* государственные информационные системы.

-	объекты информатизации, обрабатывающие государственную тайну:
* выделенные помещения, в которых обсуждаются вопросы, содержащие государственную тайну;
* автоматизированные системы, обрабатывающие государственную тайну;
* средства изготовления и размножения секретных документов.

-	объекты информатизации управления экологически опасными объектами:
* защищаемые помещения, в которых обсуждается информация ограниченного доступа;
* автоматизированные системы управления экологически опасными объектами.

Таким образом если в вашей организации есть объекты информатизации, подлежащие обязательной аттестации, то вы должны пройти данную процедуру.

Рекомендательный характер носит аттестация информационных систем персональных данных, используемых в государственных учреждениях. Самыми распространенными примерами таких систем являются «Отдел кадров» и «Бухгалтерия», которые есть в каждой организации.

Все остальные объекты информатизации могут пройти добровольную аттестацию при желании руководителей организаций. Добровольная аттестация позволит получить независимую оценку системы защиты и выявить неучтенные каналы утечки информации.

=== Что необходимо организации для прохождения аттестации? ===

Для прохождения аттестации автоматизированной системы организация должна предоставить:<br />

- автоматизированную систему в реальных условиях эксплуатации для ее обследования;<br />
- комплект исходных данных по автоматизированной системе и документацию в составе:<br />
* Акт классификации автоматизированной системы;
* Состав технических и программных средств, входящих в автоматизированную систему;
* Состав и схемы размещения средств защиты информации;
* План размещения основных и вспомогательных технических средств и систем;
* План контролируемой зоны;
* Перечень защищаемых в автоматизированной системе ресурсов;
* Описание технологического процесса обработки информации в автоматизированной системе;
* Организационно-распорядительная документация разрешительной системы доступа к защищаемым ресурсам автоматизированной системы;
* Инструкция пользователя автоматизированной системы;
* Сертификаты соответствия на используемые средства защиты информации.<br />
    
Для прохождения аттестации защищаемого помещения организация должна предоставить:<br />

- защищаемое помещение в реальных условиях эксплуатации;
- комплект исходных данных по защищаемому помещению и документацию в составе:<br />
* Технический паспорт на защищаемое помещение;
* Организационно-распорядительную документацию разрешительной системы доступа в защищаемое помещение;
* Инструкцию по эксплуатации средств защит информации;
* Акты о специальной проверке импортных технических средств, установленных в защищаемом помещении.<br />

Перечень исходных данных и документация могут изменяться в ходе проведения испытаний в зависимости от особенностей аттестуемого объекта информатизации.<br />

Если Вы не знаете как составить необходимую документацию для прохождения аттестации мы можем Вам помочь.<br />

=== Каков алгоритм проведения аттестации? ===

Алгоритм аттестации выглядит следующим образом:<br />

# Предварительное ознакомление с аттестуемым объектом информатизации;
# Анализ исходных данных по аттестуемому объекту информатизации;
# Проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации; 
# Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
# Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; 
# Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации
# Составление заключения по результатам аттестации.<br />

=== Что является результатом аттестации? ===

Основным результатом аттестации является «Аттестат соответствия». «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.<br />

Отчетными документами по аттестации автоматизированной системы являются:<br />

- Технический паспорт объекта информатизации<br />
- Программа и методика проведения аттестационных испытаний<br />
- Протоколы аттестационных испытаний<br />
- Заключение по результатам аттестационных испытаний<br />
- Аттестат соответствия<br />

Отчетными документами по защищаемому помещению являются:<br />

- Технический паспорт объекта информатизации<br />
- Программа и методика проведения аттестационных испытаний<br />
- Протоколы аттестационных испытаний<br />
- Заключение по результатам аттестационных испытаний<br />
- Аттестат соответствия<br />