Перед проведением аттестации необходимо провести экспертное обследование
информационных систем и проанализировать имеющуюся документацию по
безопасности информации. На основании полученных данных составляется Программа
и методика аттестационных испытаний, которая согласуется с руководством
организации.
Непосредственно аттестационные испытания включают в себя:
-
проверка технологического процесса обработки и хранения информации и
нейтрализации угроз безопасности;
-
аттестационные испытания рабочих станций и серверов на соответствие
требованиям по защите от несанкционированного доступа;
- аттестационные испытания антивирусной защиты;
-
аттестационные испытания межсетевого экрана (при наличии подключения к сетям
общего пользования).
В случае, если при создании Модели угроз безопасности персональных данных
утечка информации за счет побочных электромагнитных излучений и наводок
(ПЭМИН) дополнительно проводятся аттестационные испытания автоматизированной
системы от утечки за счет ПЭМИН. Аттестационные испытания проводятся для
каждого рабочего места.
После проведения аттестационных испытаний составляются Заключение по
результатам аттестационных испытаний и Протокол испытаний системы на
соответствие требованиям по защите от несанкционированного доступа ( в случае
аттестационных испытаний АС от утечки за счет ПЭМИН дополнительно составляется
Протокол испытаний системы на соответствие требованиям по защите информации от
утечки по техническим каналам).
На основании Заключения и Протокола принимается решение о выдаче Аттестата
соответствия требованиям безопасности. Аттестат соответствия выдается на три
года, по истечении которых необходимо повторное проведение аттестации. Также
процедура аттестации должны быть проведена заново в случае замены
оборудования, смены технологических процессов обработки информации и т.д.
Пн-Пт с 9:00 до 18:00
