• подача и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
• разработка программы и методики аттестационных испытаний;
• заключение договора на аттестацию;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации. 

  Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

  Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. В процессе аттестации:

• осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
• определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
• проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
• проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
• проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
• оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

  В рамках выполнения аттестационных испытаний специалисты компании ООО «ЦБИ Модус» в целях обеспечения полного цикла работ от создания и внедрения системы защиты информации на объекте информатизации Заказчика, до подтверждения его соответствия требованиям по безопасности информации проведут следующие работы:

  Заявка на аттестацию содержит:

• перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения;
• перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки;
• перечень установленных вспомогательных технических средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки;
• перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки.

• Приемо-сдаточная документация на объект информатизации;
• Акты категорирования выделенных помещений и объектов информатизации;
• Инструкции по эксплуатации средств защиты информации;
• Технический паспорт на аттестуемый объект;
• Документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
• Сертификаты соответствия требованиям безопасности информации на ВТСС;
• Сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
• Акты на проведенные скрытые работы;
• Протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
• Протоколы измерения величины сопротивления заземления;
• Протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
• Данные по уровню подготовки кадров, обеспечивающих защиту информации;
• Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
• Нормативную и методическую документацию по защите информации и контролю эффективности защиты;
• Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией;
• Пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
• Перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• Перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• Перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
• Перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
• Перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
• Схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
• Технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
• Планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
• План-схему инженерных коммуникаций всего здания, включая систему вентиляции;
• План-схему системы заземления объекта с указанием места расположения заземлителя;
• План-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• План-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• План-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
• Схемы систем активной защиты (если они предусмотрены).

  Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

  Аттестация объектов информатизации по требованиям безопасности информации осуществляется в соответствии с нормативно – правовыми и методическими документами ФСТЭК России.

  Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

  Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99).

  Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

  «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

  Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планами работы по контролю и надзору.