# Проведение аттестации объектов информатизации

Одна из первоочередных задач организаций в современном мире — защищать используемые данные, объемы которых в условиях тотальной информатизации постоянно увеличиваются. Подтвердить эффективность защиты объектов информатизаци позволяет аттестация, по результатам которой выдается аттестат соответствия требованиям безопасности информации. Подобную услугу имеют право предоставлять только специальные предприятия с разрешительными документами и большим опытом.

![](1.png)

**Аттестация объектов информатизации** – это комплекс организационно-технических мероприятий, в результате которых посредством аттестата соответствия подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

**Аттестат соответствия** – это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

**Необходимость в прохождении проверки и получении аттестата возникает в таких случаях:**

1. Если это предусмотрено законодательством (федеральными или муниципальными нормативно-правовыми актами). Аттестат соответствия требованиям безопасности информации необходим при лицензировании отдельных видов деятельности, а также без него не обойтись организациям, которые имеют дело со сбором, обработкой и хранением данных государственных ИС.

2. По инициативе владельца объекта информатизации, заинтересованного в независимой экспертизе или при планировании модернизации систем информационной защиты. Также аттестацию проводят для подтверждения тех или иных функциональных параметров работы элементов инфраструктуры.

**Обязательной аттестации подлежат:**

1. Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;

2. Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом;

3. Государственные информационные системы.

Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем).

# Подготовка к проведению аттестации

До начала проведения работ по аттестации заказчиком проверяется соответствие принятых организационных и технических мер защиты информации нормативно-правовым актам Российской Федерации, а также достаточность принимаемых организационных мер, отражаемых в организационно-распорядительной документации.

**В рамках работ по подготовке объекта информатизации к аттестации необходимо:**

1. Разработать комплект организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации, и технический проект;

2. Утвердить ОРД;

3. Внедрить систему защиты информации;

4. Подать заявку на аттестацию.

**Подготовка включает:**

**1) Экспресс-обследования информационной системы:**

 1. Анализ полноты и содержания организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации информационной системы;
 2. Экспертную оценку полноты и достаточности реализованных технических и организационных мер по защите информации для нейтрализации актуальных угроз безопасности информации.

**2) Разработки рекомендаций по соответствию требованиям по защите информации и их выполнения:**

 1. Разработка рекомендаций по внедрению организационных мер по защите информации;
 2. Разработка (доработка) технических решений по защите информации;
 3. Внесение необходимых изменений и доработка организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации.

Перечень проводимых работ может быть расширен в соответствии с работами по обследованию информационной системы.

**Порядок проведения аттестации объектов информатизации:**

1) Подача заявки на рассмотрение и проведение аттестации.

2) Анализ исходных данных по аттестуемому объекту информатизации.

3) Проведение предварительного специального обследования аттестуемого объекта информатизации.

4) Разработка программы и методики аттестационных испытаний.

5) Заключение договоров на аттестацию.

6) Испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.

7) Проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации.

8) Проведение аттестационных испытаний объекта информатизации.

9) Оформление, регистрацию и выдачу «Аттестата соответствия».

10) Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.

11) Рассмотрение апелляций.

Получив аттестат соответствия требованиям безопасности, заказчики могут быть уверенными в том, что предпринятые ими меры сохранения конфиденциальности данных являются эффективными. Кроме того, наличие аттестата позволяет не опасаться проверки объектов информационной инфраструктуры контролирующими органами.

# Список литературы

1. https://it-security.admin-smolensk.ru/zinfo/attestat/
2. https://ib.iitrust.ru/podgotovka-attestatsiy-objectov/
3. http://www.saomega.ru/attestatsiya-obektov-informatizatsii/poryadok-provedeniya-attestatsii-ob-ektov-informatizatsii
4. https://data-sec.ru/services/confidential/attestation/