Участники и порядок аттестации объектов информатизации в области защиты государственной тайны.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:

· «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам», утверждены решением Гостехкомиссии России от 23 мая 1997 года № 55;

· «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Гостехкомиссии России 25 ноября 1994 года;

· «Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации, приказ Директора ФСТЭК России от 21 апреля 2006 года № 126.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает:
1. Подача заявки на аттестацию объекта информатизации.
Заявитель для получения аттестата соответствия направляет в управление ФСТЭК России по федеральному округу (далее - Управление) заявку на проведение аттестации объекта информатизации с необходимыми исходными данными по установленной форме (приложение № 1).

2. Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
2.1. По результатам рассмотрения заявки Управлением, организации-заявителю в 3-дневный срок направляется перечень органов по аттестации объектов информатизации, аккредитованных ФСТЭК России в Системе сертификации средств защиты информации № РОСС RU.0001.01БИ00, размещенный также на официальном Web-сайте ФСТЭК России по адресу: www.fstec.ru.
2.2. Руководитель Управления принимает решение по определению органа по аттестации объекта информатизации на основании выбора, сделанного Заявителем, исходя из полученного перечня. Принятое решение доводится до органа по аттестации объектов информатизации предписанием и до заявителя уведомлением.
2.3. Управление учитывает информацию:
- об органе по аттестации, который определен организацией-заявителем;
- о сроках проведения работ на объектах информатизации.

3. Разработка программы и методики аттестационных испытаний.
3.1. Программа аттестационных испытаний, согласованная с организацией-заявителем, должна содержать:
перечень работ, их продолжительность, методики испытаний, перечни используемой контрольной и контрольно-измерительной аппаратуры, а также средств тестирования на аттестуемом объекте информатизации (с учетом различных видов объектов информатизации и действующих нормативных и методических документов);
мероприятия по контролю состояния защищенности информации в процессе эксплуатации объекта информатизации;
мероприятия по контролю неизменности условий эксплуатации объекта информатизации;
работы в испытательных лабораториях по сертификации средств (систем) защиты информации по требованиям безопасности информации (в случае если на аттестуемом объекте информатизации используются несертифицированные средства (системы) защиты информации). Такие работы в отдельных случаях могут проводиться непосредственно на аттестуемом объекте информатизации;
состав аттестационной комиссии.
3.2. До начала работ по аттестации объектов информатизации Управлением согласовываются программа и методика аттестационных испытаний объектов информатизации 1-й категории и собственных объектов информатизации вне зависимости от категории (в случае если организация-заявитель аккредитована в качестве органа по аттестации).

4. Заключение договора на проведение аттестации объектов информатизации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

5. Проведение аттестационных испытаний объекта информатизации, оформление материалов аттестационных испытаний.
5.1. Порядок проведения аттестационных испытаний объектов информатизации определен требованиями Положения по аттестации объектов информатизации по требованиям безопасности информации и Специальными требованиями и рекомендациями по защите информации, содержащей сведения, составляющие государственную тайну, от ее утечки по техническим каналам.
5.2. Заключение по результатам аттестации объекта информатизации, материалы аттестационных испытаний с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи аттестата соответствия и необходимыми рекомендациями подписывается членами аттестационной комиссии. Для объектов информатизации, которые указаны в п. 3.2, данные материалы представляются органом по аттестации в Управление для согласования.

6. Оформление, регистрация и выдача аттестата соответствия.
Оформление, регистрация и выдача аттестата соответствия производится органом по аттестации.
Ведение реестра аттестованных объектов информатизации на территории федерального округа осуществляется Управлением с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом Управление и орган по аттестации, проводивший аттестацию объекта информатизации.

7. Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.
Объем, содержание и порядок государственного контроля и надзора определяются законодательством Российской Федерации, нормативными и методическими документами ФСТЭК России.
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится:
Управлением, за проведением аттестационных испытаний, за эксплуатацией аттестованных объектов информатизации (в соответствии с планами работы регионального управления), за соответствием порядка проведения аттестационных испытаний объектов информатизации Специальным требованиям и рекомендациям по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденным решением Гостехкомиссии России от 23 мая 1997 г. № 55, и требованиям Положения по аттестации объектов информатизации по требованиям безопасности информации, утвержденного председателем Гостехкомиссии России 25 ноября 1994 года;
органом по аттестации объектов информатизации, проводившим аттестацию объекта информатизации, ежегодно, в соответствии с программой аттестационных испытаний.
В случае выявления грубых нарушений органом по аттестации требований нормативных и методических документов по безопасности информации, аккредитация организации в качестве органа по аттестации может быть приостановлена или прекращена.
Орган по аттестации объектов информатизации обязан сдать аттестат аккредитации в ФСТЭК России в недельный срок со дня окончания его действия или с момента получения соответствующего уведомления о приостановлении (прекращении) аккредитации.

При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации Управлением действие аттестата соответствия может быть приостановлено или аннулировано.
Решение об аннулировании действия аттестата соответствия принимается в случае, когда в результате оперативного принятия организационно-технических мер защиты требуемый уровень безопасности информации на объекте не соответствует требованиям нормативных документов и не может быть восстановлен без проведения повторной аттестации объекта информатизации.

8. Рассмотрение апелляций.
В случае несогласия заявителя с отказом в выдаче аттестата соответствия он имеет право обратиться в Управление или центральный аппарат ФСТЭК России с апелляцией.
Решение по апелляции принимается не позднее 30 дней с момента регистрации обращения. Решение принимается на основании экспертизы материалов аттестационных испытаний. При этом, в случае необходимости, Управлением или органом по аттестации с участием представителей Управления могут быть проведены контрольные испытания и измерения на объекте информатизации. Расходы на контрольные испытания и измерения относятся на счет органа по аттестации, если результаты экспертизы подтвердили обоснованность апелляции, в противном случае - на счет заявителя.