Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации.
Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты).
Услуги аттестации объекта информатизации это комплекс организационных и технических мероприятий, в результате которых с помощью специального документа подтверждается, что объект соответствует всем стандартам и документам по безопасности, которые утверждены федеральным органом по сертификации и аттестации.
Данная аттестация необходима в следующих случаях:
- Для владельцев автоматизированной системы для оценки эффективности применяемых мер.
- Для владельцев автоматизированной системы для реализации требований в получении лицензии.
- Для владельцев автоматизированной системы для соответствия требованиям законодательства.
- Для владельцев автоматизированной системы для выполнения требований регуляторов и подготовке к проверке.
Во время проведения аттестации комиссия необходима выполнить следующие действия:
- Экспертный аудит на предмет наличия потенциальных каналов утечки даны.
- Проверку достаточности и полноту документации по защите информации;
- Обследование с использованием специальных контрольно-вычислительных инструментов.
- Оценку защищенности обрабатываемых данных на предмет защиты от утечек.
- Аудит ОИ на предмет действующих требований безопасности по части защиты от несанкционированного доступа.
После выполнения всех мероприятий предоставляет следующую информацию:
- Краткую оценку.
- Рекомендации по устранению выявленных во время проверки нарушений.
- Советы по приведению системы защиты к установленным стандартам.
- Комплекс мер для совершенствования.
- Рекомендации по контролю функционирования.
Для выполнения всех необходимых поставленных задач необходимо обратиться в специализированную компанию, которая специализируется на данном направлении. Компания должна оказывает полный комплекс услуг, которые связаны с аудитом проблем и подготовкой к их решению. Компания гарантирует проведение аттестационных работ в полном объеме о доступной стоимости. Все необходимые работы выполняются в течение месяца, это осуществляется благодаря лицензиата, где 100 % выдача требуемого документа закрепляется в договоре.
