Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров
Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.
Аттестация является обязательной в следующих случаях:
Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.
Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:
1. Защита от несанкционированного доступа, в том числе компьютерных вирусов
2. Защита от утечки информации за счет специальных устройств, встроенных в объект информатизации
3. Защита от утечки через побочное электро-магнитное излучение и наводку
Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:
Аттестация АРМ (автоматизированного рабочего места) – это комплекс процедур, направленных на проверку безопасности обработки секретной информации. Результатом является аттестат, который выдается на комплексную систему - условное рабочее место с техникой, аппаратным и программным обеспечением.
Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов РФ в области защиты ПДн.
Аттестация ГИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ГИС. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с Указом Президента Российской Федерации от 16.08.2004 г. N 1085.
Аттестация помещений — набор мероприятий, необходимых для обеспечения безопасной циркуляции конфиденциальной информации по различным каналам. Проведение аттестации помещений строго регламентировано и является одним из обязательных условий получения лицензии ФСТЭК России.
Организация защиты объектов критической информационной инфраструктуры.
Оценка соответствия уровня защиты информации требованиям Центрального Банка РФ.