Некоторые особенности аттестации систем информационной безопасности:

• Комплексная и многоэтапная процедура. 2 Владелец системы предоставляет органу аттестации пакет документов, который включает модель угроз, технический паспорт системы, проектную и эксплуатационную документацию системы защиты. 2
• Планирование. 2 После изучения документации орган по аттестации разрабатывает программу и методики проведения аттестационных испытаний, которая утверждается с заказчиком. 2
• Проведение испытаний. 2 Система проходит многоступенчатую проверку на соответствие установленным требованиям безопасности. 2 Испытания призваны выявить потенциальные уязвимости и оценить готовность системы противостоять различным угрозам. 2
• Подведение итогов. 2 Анализируются полученные результаты и формируется заключение о соответствии объекта информатизации установленным требованиям. 2 В случае успешного прохождения всех испытаний объект получает аттестат, подтверждающий его безопасность и надёжность. 2

Аттестация может быть добровольной и обязательной: 1

• Добровольная проводится по инициативе владельца системы и служит для подтверждения её соответствия определённым нормативам и требованиям по безопасности информации. 1
• Обязательная проводится в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. 1 Например, обязательной аттестации подлежат системы, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные информационные системы. 1

Также после аттестации владельцы системы несут ответственность за поддержание уровня безопасности на протяжении всего срока действия аттестата. 2 Это включает в себя следование первоначальным требованиям защиты, указанным в аттестате, и проверку не реже одного раза каждые два года систем безопасности объекта. 2