Комплект документов по аттестации объектов информатизации

     Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «АТТЕСТАТА СООТВЕТСТВИЯ» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации .

[Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г]

     Аттестациия  объектов информатизации — деятельность по установлению соответствия комплекса организационно-технических мероприятий по защите объекта информатизации требованиям по безопасности информации.

[Р 50.1.056-2005 Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения. ]

Алгоритм  действий при проведении аттестации объектов информатизации

К нормативным и  методическим документам предъявляются следующие  требования:

1. Состав документации для аттестации конкретных объектов информатизации определяется органом по аттестации.

2. В нормативную документацию включаются только те показатели, характеристики, требования, которые могут быть объективно проверены.

3. В документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства.

4. Тексты документов, используемых при аттестации  объектов информатизации, должны  быть сформулированы ясно и  четко. 

5. Официальным языком  системы аттестации является  русский язык.

Для аттестации объектов информатизации автоматизированной информационной системы  разрабатывается  следующий комплект организационно-распорядительных документов:

1. Приказ о вводе в эксплуатацию;   

В приказе о  вводе в эксплуатацию утверждается регламент работы, регламент администрирования  и сопровождения автоматизированной информационной системы,  определяются ответственные за исполнение приказа.

2. Приказ об определении ответственности должностных лиц и проведении мероприятий по защите информации;
3. Акт классификации автоматизированной системы;

     В акте классификации автоматизированной системы указывается:

• состав автоматизированной системы объекта информатизации
• выявленные определяющие признаки классификации автоматизированной системы
• заключение комиссии.

4. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств;

5. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам;
6. Должностная инструкция администратора информационной системы;

     определяет:

• требования, предъявляемые к администратору;
• обязанности администратора;
• документы которыми руководствуется администратор;
• непосредственного начальника.

7. Инструкция  по организации антивирусной защиты:

Инструкция  определяет требования к организации  защиты автоматизированной системы  от разрушающего воздействия компьютерных вирусов и устанавливает ответственность  руководителей и сотрудников  подразделений, эксплуатирующих и  сопровождающих автоматизированную систему, за их выполнение.

8. Инструкция по архивации информационных ресурсов;
9. Инструкция по формированию и распределению парольной информации;
10. Технический паспорт;
11. Описание технологического процесса обработки информации;
12. Перечень защищаемых ресурсов;
13. Журнал учета машинных носителей данных;
14. Журнал учета печати конфиденциальной информации;
15. Таблица разграничения доступа к защищаемым ресурсам.