Под аттестацией объектов информатизации (ОИ) понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. ОИ вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.
Обязательной аттестации подлежат ОИ, предназначенные для обработки информации:
1. составляющей государственную тайну,
2. управления экологически опасными объектами,
3. ведения секретных переговоров.
Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».
|
|
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации:
1. от несанкционированного доступа, в том числе от компьютерных вирусов;
2. от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное облучение, электромагнитное и радиационное воздействие);
3. от утечки или воздействия на нее за счет специальных устройств, встроенных в объект информатизации.
Основные принципы, организационную структуру системы аттестации ОИ по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых ОИ устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее - Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.
Специфика аттестации автоматизированных систем.