Под объектами вычислительной техники, на которых может обрабатываться конфиденциальная информация, могут пониматься объекты информатизации, участвующие в обработке такой информации, в том числе автоматизированные системы различного назначения. Аттестация таких объектов информатизации должна проводиться организацией, имеющей лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации.
В процессе аттестации автоматизированных систем осуществляется:
— анализ исходных данных и документации по защите информации и проверка их соответствия реальным условиям размещения и эксплуатации объекта информатизации;
— проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
— оценка правильности категорирования и классификации объекта информатизации;
— оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации;
— оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
— испытания автоматизированной системы на соответствие требованиям по защите информации от утечки по каналам ПЭМИн;
— испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа;
— проверки выполнения требований на отсутствие в технических средствах специальных электронных устройств перехвата информации.
Испытания объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа включают в себя:
— испытания подсистемы управления доступом;
— проверка механизма идентификации;
— проверка механизма аутентификации;
— проверка механизма контроля доступа;
— проверка механизмов управления потоками информации;
— испытания подсистемы регистрации и учета;
— испытания криптографической подсистемы;
— испытания подсистемы обеспечения целостности;
— испытания иных подсистем по необходимости.