Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится:

• для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
• для ИСПДн 3 класса – декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
• для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

1. Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:

• программу и методику аттестационных испытаний;
• проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
• проект документа «Перечень лиц, допущенных к обработке ПДн»;
• проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
• проект документа «Акт классификации ИСПДн»;
• проект документа «Акт внедрения СЗИ»;
• технический паспорт на ИСПДн;
• проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
• инструкция по обеспечению безопасности персональных данных;
• описание технологии обработки информации в ИСПДн.


2. Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:

• проведение аттестационных испытаний ИСПДн;
• разработка отчетных документов.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

• проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
• проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
• испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном подэтапе является:

• Протокол аттестационных испытаний;
• Заключение по результатам аттестационных испытаний;
• Аттестат соответствия на ИСПДн;
• Акт о переводе СЗПДн в промышленную эксплуатацию.