Под объектами вычислительной техники, на которых может обрабатываться информация, составляющая государственную тайну, могут пониматься объекты информатизации, участвующие в обработке такой информации, в том числе автоматизированные системы различного назначения. Аттестацию объектов информатизации, в которых обрабатывается информация, составляющая государственную тайну, по требованиям безопасности информации могут осуществлять только те организации, которые имеют аттестат аккредитации органа по аттестации.
В процессе аттестации объектов информатизации осуществляется:
— анализ исходных данных и документации по защите информации и проверка их соответствия реальным условиям размещения и эксплуатации объекта информатизации;
— проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
— оценка правильности категорирования и классификации объекта информатизации;
— оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации;
— оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
— испытания автоматизированной системы на соответствие требованиям по защите информации от утечки по каналам ПЭМИн;
— испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа;
— проверки выполнения требований на отсутствие в технических средствах специальных электронных устройств перехвата информации.
Испытания объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа включают в себя:
— испытания подсистемы управления доступом;
— проверка механизма идентификации;
— проверка механизма аутентификации;
— проверка механизма контроля доступа;
— проверка механизмов управления потоками информации;
— испытания подсистемы регистрации и учета;
— испытания криптографической подсистемы;
— испытания подсистемы обеспечения целостности;
— испытания иных подсистем по необходимости.