Аттестация на соответствие требованиям по защите информации

Аттестация может быть как добровольная, так и обязательная

• Добровольная — проводится по инициативе владельца объекта информатизации (ОИ) и служит для подтверждения его соответствия определённым нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка.

• Обязательная — проводится для объектов информатизации (ОИ) в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные информационные системы и пр. Также аттестация является обязательной при подготовке к получению лицензий на определённые виды деятельности.

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации объектов информатизации (ОИ), а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих информационных систем (ИС). Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ.

Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:

• Информационные системы

• Рабочие места, оснащённые средствами автоматизации

• Сети передачи данных

• Помещения

«АСТ» проводит аттестацию объектов информатизации (ОИ) на соответствие:

• Требованиям по защите персональных данных (152-ФЗ, приказ № 21 ФСТЭК)

• Требованиям по защите государственных информационных систем (приказ № 17 ФСТЭК России)

• Требованиям по защите конфиденциальной информации

• Требованиям, предъявляемым к информационным системам, обрабатывающим информацию, составляющую государственную тайну

Виды выполняемых при проведении аттестации ОИ работ

• Определение перечня объектов информатизации (ОИ), подлежащих аттестации, категорирование и классификация

• Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования

• Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ

• Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям

• Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению

• Оценка соответствия помещений, в которых установлены ОИ, предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедрённых устройств перехвата информации

• Оценка уровня подготовки персонала

• При необходимости — проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)

• Подготовка и утверждение программы и методики проведения аттестационных испытаний

• Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное и ИТ-оборудование и пр.

• Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам

• Подготовка отчётной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)

• Выдача, при условии положительного заключения, «Аттестата соответствия»

• Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации

В результате проведения работ заказчику выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.