Защита информации.
Аттестация объектов информатизации по требованиям безопасности

Аттестация объектов информатизации включает комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.


Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям безопасности информации.


Аттестация объекта информатизации необходима, если:

*в организации или на предприятии обрабатывается информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;

* организации или предприятию необходимо подтверждение соответствия системы защиты объекта информатизации, функционирующей в реальных условиях эксплуатации, требованиям безопасности информации.


Аттестация объекта информатизации включает в себя:

*работы по аттестации автоматизированных систем, обрабатывающих конфиденциальную информацию;

*работы по аттестации защищаемого помещения, предназначенного для ведения конфиденциальных переговоров.


    Категории конфиденциальной информации:

    *персональные данные;
    *служебная тайна;
    *коммерческая тайна;
    *иная конфиденциальная информация.

    Аттестация объекта информатизации по требованиям безопасности информации проводится в соответствии со следующими документами:

    *Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
    *Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
    *Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссией России 25 ноября 1994 г.;
    *ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
    * ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
    *Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России от 30.08.2002 №282;
    *Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
    *Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
    *Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
    *Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    *Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Документы, предоставляемы ООО «РЦБ» по окончании аттестационных работ:

    *Акт обследования объекта информатизации;
    *Программа и методики аттестационных испытаний;
    *Протоколы контроля защищенности информации (содержат информацию о проведении измерений, испытаний, расчетов, результаты и выводы о соответствии полученных результатов нормированным значениям);
    *Протоколы аттестационных испытаний (содержат информацию и выводы о соответствии полученных результатов требованиям безопасности информации).
    *Заключение по результатам аттестационных испытаний;
    *Аттестат соответствия объекта информатизации требованиям безопасности информации (выдается на срок не более 3 (трех) лет).