Открыть сервис

Аттестация объектов информатизации

Аттестация объектов информатизации — это комплекс организационно-технических мероприятий, в результате которых уполномоченный орган (орган по аттестации) документально подтверждает соответствие объекта информатизации требованиям нормативных документов по защите информации, обрабатываемой на данном объекте. Аттестация является завершающим этапом создания системы защиты информации и обязательна для объектов, предназначенных для обработки сведений, составляющих государственную тайну, а также для государственных информационных систем (ГИС) и систем персональных данных (ИСПДн) в случаях, установленных законодательством Российской Федерации.

Цели и задачи аттестации

Основная цель аттестации — проверка и подтверждение того, что на объекте информатизации реализована система защиты информации, обеспечивающая выполнение установленных требований по защите от несанкционированного доступа (НСД), утечки по техническим каналам, специальных воздействий и других угроз безопасности информации.

Задачи аттестации включают:

Объекты, подлежащие аттестации

В соответствии с нормативными правовыми актами РФ, обязательной аттестации подлежат:

Нормативно-правовая база

Аттестация объектов информатизации в РФ регулируется рядом документов:

Этапы проведения аттестации

Процесс аттестации, как правило, включает следующие стадии:

  1. Подготовительный этап:
  1. Анализ проектной и эксплуатационной документации:
  1. Проведение аттестационных испытаний:
  1. Оформление результатов:
  1. Постаттестационное сопровождение:

Органы по аттестации

Право на проведение аттестации имеют юридические лица, получившие соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Такие организации должны иметь в штате аттестованных специалистов (экспертов по защите информации), испытательное оборудование и методическую базу.

Выделяют два типа аттестации:

Последствия отсутствия аттестации

Эксплуатация объекта информатизации, подлежащего обязательной аттестации, без соответствующего Аттестата соответствия является нарушением законодательства РФ. Это влечёт за собой административную ответственность по ст. 13.12 КоАП РФ (нарушение правил защиты информации) и ст. 13.13 КоАП РФ (незаконная деятельность в области защиты информации), а также может стать основанием для привлечения к уголовной ответственности при утечке сведений, составляющих государственную тайну.

Особенности аттестации для различных типов объектов

Критика и проблемы

Основные сложности, связанные с аттестацией объектов информатизации:

Тем не менее, аттестация остаётся ключевым инструментом государственного контроля в области защиты информации, обеспечивающим единый стандарт безопасности для критически важных систем.

Источники

  1. Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  4. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  5. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (1992).
  6. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении».
  7. Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (утв. 11.02.2014).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →