Аттестация объекта информатизации (ОИ) — это процедура, в рамках которой подтверждается, что действующая система защиты информации организации отвечает установленным государственным нормам по обеспечению безопасности сведений ограниченного доступа.
Работы проводятся в соответствии с Приказом ФСТЭК № 77, который определяет принципы проектирования и проверки систем защиты.
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все эксперты
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все эксперты
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все экспертыАттестация завершает весь цикл работ по созданию СЗИ — от обследования до оформления аттестата соответствия, разрешающего эксплуатацию объекта и работу с конфиденциальной информацией.
Аттестация является комплексом технических и организационных мер, направленных на то, чтобы информационные ресурсы компании могли использоваться без риска несанкционированного доступа, утечки или повреждения данных.
Проведение аттестации обеспечивает компании юридическую и техническую уверенность в том, что её ИТ-инфраструктура соответствует требованиям законодательства в области информационной безопасности.
Наличие аттестата подтверждает, что организация внедрила достаточный уровень защиты, соблюдает предписания ФСТЭК и ФСБ России, а также может легально использовать свои информационные системы.
Без аттестации эксплуатация государственных и муниципальных ИС, работа с персональными данными, коммерческой тайной или участие в защищённых контурах связи нарушают установленные правила.
Обязанность прохождения процедуры установлена для государственных и муниципальных информационных систем, а также для организаций, которые взаимодействуют с ними или обрабатывают чувствительные сведения.
К числу таких организаций относятся:
Кроме того, аттестация востребована коммерческими компаниями, стремящимися исключить претензии со стороны проверяющих органов.
Ответственность за достоверность проверки несёт аттестующая организация, а затраты на проведение процедуры сопоставимы с профессиональным аудитом безопасности.
Процесс аттестации состоит из нескольких взаимосвязанных шагов: от анализа текущего состояния информационной системы до получения официального документа о соответствии. Каждый этап сопровождается оформлением подтверждающих материалов и протоколов испытаний.
▶На первом этапе проводится комплексное изучение объекта информатизации: фиксируются все элементы инфраструктуры, типы обрабатываемых данных, программные и технические средства.
Результат: составляется технический паспорт ОИ в установленном ФСТЭК формате.
▶ Далее определяются требования к уровню защиты — классифицируется объект, выявляются возможные угрозы и уязвимости, формируется модель угроз.
Документы этапа:
▶На основании полученной информации подготавливается техническое задание — документ, описывающий цели и методы построения системы защиты, порядок внедрения мер и критерии оценки их эффективности.
Результат: утверждённое ТЗ на создание системы защиты информации.
▶Следом разрабатывается технический проект, включающий архитектуру защиты, схемы взаимодействия компонентов и перечень применяемых средств защиты.
Результат: утверждённый проект СЗИ.
▶Заключительная часть подготовки — разработка организационно-распорядительной документации (ОРД): инструкций, положений, регламентов по обеспечению ИБ и эксплуатации системы.
Результат: комплект ОРД, соответствующий нормативам ФСТЭК.
Этап направлен на подтверждение того, что внедрённая система действительно обеспечивает заявленный уровень защиты.
▶Формируется программа и методика испытаний, описывающая последовательность тестов, сценарии атак, критерии оценки устойчивости и полноты реализованных мер.
▶После этого проводится практическая проверка и документируется результат.
Итоговые материалы:
Работы по аттестации регулируются Приказом ФСТЭК России № 77 от 29 апреля 2021 года, определяющим порядок организации и проведения мероприятий.
Данный нормативный акт распространяется на информационные системы персональных данных (ИСПДн), автоматизированные системы управления технологическими процессами (АСУ ТП), а также на государственные и иные ИС, работающие с информацией ограниченного доступа.
Право проводить такие работы имеют только компании, обладающие лицензией ФСТЭК России. Заключение по результатам испытаний направляется в контролирующий орган и служит основанием для допуска объекта к эксплуатации.
Завершением процедуры является получение аттестата соответствия требованиям по защите информации, пакета технической и организационной документации, а также протоколов проведённых испытаний.
Аттестация обеспечивает снижение рисков инцидентов, формирует доверие заказчиков и партнёров, демонстрирует зрелость процессов информационной безопасности и готовность компании к проверкам.
Для организаций, работающих с КИИ, персональными данными или участвующих в государственных закупках, наличие аттестата необходимое условие законной деятельности.
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
Бесплатно |
|
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. |
|
