Аттестация объектов информатизации

Аттестация объектов информатизации — это ряд процедур не только технического, но и организационного характера. Их основная цель — подтвердить соответствие объектов и систем обработки информации нормам, стандартам, требованиям безопасности, установленным и утверждённым ФСТЭК РФ. После проведения упомянутых мероприятий выдаётся официальный документ «Аттестат соответствия», подтверждающий, что объекты информатизации отвечают государственным стандартам. В аттестате также указывается отрезок времени, в течение которого считается действительным право на обработку информации с указанным уровнем секретности (конфиденциальности).

Иными словами, аттестация – эта экспертиза, в ходе которой проверяется все ли требования органа контролера выполнены, верно ли проведены мероприятия организационного и технического характера, достаточна ли квалификация персонала, ответственного за защиту информации на объекте. Именно экспертиза, своего рода экзамен, проверка готовности, а не сам процесс подготовки объекта. Это нужно понимать, что называется «отделять мух от котлет». Аттестация отдельно, подготовка объекта отдельно.

Мы, разумеется помогаем нашим заказчикам привести объект в соответствие требованиям руководящих документам, подобрать и грамотно настроить средства защиты информации, разработать необходимую эксплуатационную и организационно-распорядительную документацию. Проводим инструктаж персонала, предостерегаем от возможных ошибок, даем рекомендации различного характера. Это особенно актуально в связи с глобальными переменами в законодательстве вступлении в силу новых требований ФСТЭК РФ в начале декабря 2017г.

Аттестация же проходит в порядке, установленном «Положением по аттестации объектов информатизации по требованиям безопасности информации» от 25 ноября 1994 года. Аттестация предшествует началу обработки информации, подлежащей защите, ни в коем случае не наоборот! Это необходимо для официального подтверждения эффективности принятых мер и используемых средств по защите информации на конкретном объекте информатизации.

В каких же случаях аттестация является обязательной:

• на объектах, обрабатывающих сведения, составляющие государственную тайну;
• при защите государственных информационных ресурсов;
• при управлении экологически опасными объектами;

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Какие бывают объекты информатизации

• Автоматизированные рабочие места(АРМ) обрабатывающие сведения, составляющие государственную тайну, сюда же отнесем средства изготовления и размножения документов (СИРД);
• Автоматизированные рабочие места, обрабатывающие информацию ограниченного доступа, не являющуюся государственной тайной (информация конфиденциального характера, персональные данные и др.)
• Помещения, предназначенные для проведения секретных переговоров – Выделенные помещения(ВП);
• Помещения, предназначенные для проведения конфиденциальных переговоров – Защищаемые помещения(ЗП);
• Автоматизированные системы управления технологическим процессом (АСУ ТП) на предприятиях оборонно-промышленного комплекса.

Кто имеет право аттестовать

Проводить весь комплекс мероприятий по аттестации имеют право проводить организации, имеющие Аттестат аккредитации органа по аттестации, выданный ФСТЭК РФ ФСТЭК в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации».

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.