При проведении аттестации мы проверяем, что процессы обработки и защиты информации разработаны и регламентированы должным образом, а также внедрены средства защиты, указанные в документах и соответствующие требованиям руководящих документов. Руководящие документы, как и требования, немного различаются:
Требования по защите персональных данных описаны в Приказе ФСТЭК России № 21 от 18.02.2013.
Требования по защите Государственных информационных систем (ГИС) описаны в Приказе ФСТЭК России № 117 от 11.04.2025.
Требования по защите значимых объектов КИИ (ЗОКИИ) описаны в Приказе ФСТЭК России № 239 от 25.12.2017.
При аттестации ГИС, обязательно применение сертифицированных средств защиты информации.
Аттестованные системы имеют одно существенное ограничение – их нельзя изменять. При изменении системы аттестат перестает действовать. В случае, если изменение было незначительным, то возможно внесение изменений в аттестат в ходе процедуры периодического контроля.
Перед началом аттестации систему необходимо привести в соответствие.
Подготовка к аттестации
Разрабатываем документы, необходимые для начала аттестационных испытаний.
В случае аттестации по требованиям по защите ПДн без применения сертифицированных средств защиты – оцениваем корректность применяемых средств защиты и оформляем оценку.
Аттестация
Проводим аттестационные испытания и выдаем необходимые документы: