|
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:
- «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам», утверждены решением Гостехкомиссии России от 23 мая 1997 года № 55;
- «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Гостехкомиссии России 25 ноября 1994 года;
- «Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации, приказ Директора ФСТЭК России от 21 апреля 2006 года № 126.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает:
1. Подача заявки на аттестацию объекта информатизации.
Заявитель для получения аттестата соответствия направляет в управление ФСТЭК России по федеральному округу (далее - Управление) заявку на проведение аттестации объекта информатизации с необходимыми исходными данными по установленной форме (приложение № 1).
2. Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
2.1. По результатам рассмотрения заявки Управлением, организации-заявителю в 3-дневный срок направляется перечень органов по аттестации объектов информатизации, аккредитованных ФСТЭК России в Системе сертификации средств защиты информации № РОСС RU.0001.01БИ00, размещенный также на официальном Web-сайте ФСТЭК России по адресу: www.fstec.ru.
2.2. Руководитель Управления принимает решение по определению органа по аттестации объекта информатизации на основании выбора, сделанного Заявителем, исходя из полученного перечня. Принятое решение доводится до органа по аттестации объектов информатизации предписанием и до заявителя уведомлением.
2.3. Управление учитывает информацию:
- об органе по аттестации, который определен организацией-заявителем;
- о сроках проведения работ на объектах информатизации.
3. Разработка программы и методики аттестационных испытаний.
3.1. Программа аттестационных испытаний, согласованная с организацией-заявителем, должна содержать:
перечень работ, их продолжительность, методики испытаний, перечни используемой контрольной и контрольно-измерительной аппаратуры, а также средств тестирования на аттестуемом объекте информатизации (с учетом различных видов объектов информатизации и действующих нормативных и методических документов);
мероприятия по контролю состояния защищенности информации в процессе эксплуатации объекта информатизации;
мероприятия по контролю неизменности условий эксплуатации объекта информатизации;
работы в испытательных лабораториях по сертификации средств (систем) защиты информации по требованиям безопасности информации (в случае если на аттестуемом объекте информатизации используются несертифицированные средства (системы) защиты информации). Такие работы в отдельных случаях могут проводиться непосредственно на аттестуемом объекте информатизации;
состав аттестационной комиссии.
3.2. До начала работ по аттестации объектов информатизации Управлением согласовываются программа и методика аттестационных испытаний объектов информатизации 1-й категории и собственных объектов информатизации вне зависимости от категории (в случае если организация-заявитель аккредитована в качестве органа по аттестации).
4. Заключение договора на проведение аттестации объектов информатизации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
|
