Аттестация объектов информатизации

Аттестация объектов информатизации
Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений)

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

Для объектов информатизации, не попадающих под действие приказа № 77 ФСТЭК России, в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г. (пункт 3.8.4), срок аттестации для объектов информатизации, обрабатывающих конфиденциальную информацию, составляет не более 3-х лет.

В процессе аттестации по требованиям безопасности информации будут проведены:

  • Анализ и оценка исходных данных.
  • Поставка, установка и настройка средств защиты информации.
  • Подготовка проектов организационно-распорядительной документации Заказчика.
  • Аттестационные испытания в соответствии с методиками ФСТЭК России.
  • Разработка аттестационных документов, в том числе Аттестата соответствия требованиям по безопасности.

После успешного прохождения аттестации предоставляются:

  • Проекты организационно-распорядительной документации (технический паспорт, приказы, акт классификации, инструкции, описание техпроцесса обработки информации, список пользователей ОВТ, перечень защищаемых ресурсов и пр.).
  • Программа и методики аттестационных испытаний.
  • Протоколы аттестационных испытаний.
  • Заключение по результатам аттестационных испытаний.
  • Аттестат соответствия требованиям по безопасности информации.

Периодический (ежегодный) контроль защищенности объектов информатизации

В период действия аттестата соответствия проводятся ежегодные контрольные проверки эффективности принятых мер защиты. Согласно ГОСТ РО 0043-003-2012 (ДСП): «Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации».

В случае существенных изменений условий эксплуатации объекта информатизации, заявитель также обязан организовать проведение контрольной проверки.

Контрольная проверка объекта информатизации проводится в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации.

В результате проверки выдаются протоколы контрольных испытаний и Заключение. В техническом паспорте на объект информатизации осуществляется запись о ежегодной либо внеплановой проверке.

 

6
reg-kursk