Аттестация объекта информатизации – это завершающий этап работ по внедрению средств информационной безопасности, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия».

Что такое аттестат соответствия? Это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию. Аттестат соответствия выдается сроком на 3 года, в течение которых должна быть обеспечена неизменность условий функционирования объекта и технологии обработки защищаемой информации.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Аттестовать автоматизированную информационную систему необходимо, если в ней обрабатываются: