Аттестация информационных систем

Организация обязана иметь аттестат по требованиям безопасности на систему, если в ней хранится и обрабатывается:

1. Конфиденциальная информация, включенная в государственный информационный ресурс информации:

• на соответствие требованиям Приказа ФСТЭК России от 11.02.2013 № 17;
• на соответствие Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) (документ утвержден Приказом Гостехкомиссии России от 30.08.2002 № 282).

2.  Персональные данные — на соответствие требованиям Приказа ФСТЭК России от 18.02.2013 № 21.

3. Информация, содержащая государственную тайну.

4. Информация, содержащая служебную тайну:

• на соответствие Специальным требованиям и рекомендациям по технической защите конфиденциальной информации, утвержденным Приказом Гостехкомиссии РФ от 30.08.2002 № 282;
• на соответствие требованиям Положения по аттестации объектов информатизации по требованиям безопасности информации от 25.11.1994.

Аттестация обязательна для получения лицензии в ФСТЭК. В остальных случаях аттестовать информационные системы организации могут в добровольном порядке.

По результатам проверки организация получает аттестат соответствия информационной системы требованиям безопасности информации. Документ выдается сроком до трех лет. Это время, когда организация вправе хранить и обрабатывать тот или иной вид конфиденциальных сведений при соблюдении тех же условий функционирования объекта и технологии обработки информации.