Содержание процесса аттестации
Главная » Комплексная ЗИ » Методы и средства ЗИ » Нормативно-методические методы » Сертификация и аттестация » Содержание процесса аттестации

Содержание процесса аттестации объекта информатизации


Положение по аттестации объектов информатизации по требованиям безопасности информации Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25.11.1994 г.


Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.


Порядок проведения аттестации объектов информатизации по требованиям ИБ:

  • подачу и рассмотрение заявки на аттестацию;
  • предварительное ознакомление с аттестуемым объектом;
  • испытание несертифицированных средств и систем ЗИ (при необходимости);
  • разработка программы и методики аттестационных испытаний;
  • заключение договоров на аттестацию;
  • проведение аттестационных испытаний объекта информатизации;
  • оформление, регистрация и выдача "Аттестата соответствия";
  • осуществление гос. контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассмотрение апелляций.

На этапе аттестационных испытаний объекта информатизации:

  • осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
  • определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
  • проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
  • проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
    проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  • оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»