Аттестация ГИС на соответствие требованиям по защите информации является с одной стороны заключительным мероприятием в части построения системы защиты информации в ГИС, с другой стороны является отправной точкой для начала эксплуатации ГИС, поскольку ввод в действие государственной информационной системы согласно пункту 17.5 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) осуществляется при наличии аттестата соответствия.
Аттестация ГИС строго регламентирована рядом нормативных документов:
— Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);
— ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
— ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Аттестация ГИС может проводиться только организацией-лицензиатом ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги по аттестации объектов информатизации.
Перед началом аттестационных испытаний разрабатывается и согласовывается с оператором ГИС документ «Программа и методики аттестационных испытаний». В этом документе отражаются:
— общие сведения об аттестуемой ГИС;
— возможность распространения аттестационных испытаний на типовые сегменты (при необходимости);
— состав аттестационной комиссии;
— цели и задачи аттестационных испытаний;
— методы проверок и испытаний;
— перечень используемых инструментальных средств контроля защищенности;
— программа аттестационных испытаний.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
В соответствии с пунктом 17.3 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. При этом, необходимо обратить внимание, что возможность распространения аттестата соответствия на типовые сегменты возможно только при корректном составлении аттестационных документов (программы и методик, заключения и аттестата).