Аттестация системы защиты информации – комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации информационной системы требованиям законодательства об информации, информатизации и защите информации.,
Срок проведения аттестации не может превышать 180 календарных дней.
В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за 35 календарных дней до истечения срока проведения аттестации направляет собственнику (владельцу) информационной системы соответствующее уведомление. Собственник (владелец) информационной системы должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. При невозможности устранения собственником (владельцем) информационной системы выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия.
После устранения недостатков собственник (владелец) информационной системы вправе повторно обратиться за проведением аттестации в установленном законодательством порядке.
Аттестация системы защиты информации обязательна в случаях:
- создания или модернизации системы защиты информации;
- истечения срока действия аттестата соответствия;
- изменения технологии обработки защищаемой информации и (или) технических мер, реализованных при создании или модернизации системы защиты информаци.
Дополнительные основания для проведения аттестации системы защиты информации могут предусматриваться собственником (владельцем) информационной системы.
Аттестация создаваемой системы защиты информации осуществляется до ввода информационной системы в эксплуатацию.
Наличие аттестата соответствия является обязательным условием для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, в течение установленного в нем срока.
Аттестация системы защиты информации предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает:
- разработку программы и методики аттестации;
- проверку правильности отнесения информационной системы к классу (классам) типовых информационных систем;
- установление соответствия фактического состава активов информационной системы структурной и логической схемам информационной системы;
- проверку достаточности реализованных в системе защиты информации мер по защите информации, в том числе:
- анализ локальных правовых актов и других организационно-распорядительных документов по вопросам применения системы защиты информации на предмет их соответствия требованиям законодательства об информации, информатизации и защите информации;
- проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по защите информации;
- внешнюю и внутреннюю проверку отсутствия либо невозможности использования нарушителем свойств активов информационной системы, средств защиты информации, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих активов информационной системы, средств защиты информации;
- оценку эффективности защищенности информационной системы классов «3-бг» и (или) «3-дсп» (тестирование на проникновение);
- оформление технического отчета и протокола испытаний;
- оформление аттестата соответствия.
Допускается выполнение мероприятий по аттестации на выделенном наборе сегментов информационной системы, обеспечивающих полную реализацию технологии обработки защищаемой информации.
По результатам аттестации системы защиты информации оформляются следующие документы:
- Программа аттестации.
- Методика аттестации.
- Протокол испытаний.
- Технический отчет.
- Отчет(ы) о внешней и внутренней проверке(ах) отсутствия либо невозможности использования нарушителем свойств активов информационной системы, средств защиты информации, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих активов информационной системы, средств защиты информации (приложение к техотчету)
- Отчет(ы) об оценке эффективности защищенности информационной системы классов «3- бг» и (или) «3-дсп» (тестировании на проникновение) (приложение к техотчету).
- Аттестат соответствия (оформляется сроком на пять лет).
.