12.1. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.
12.2. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.
12.3. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.
12.4. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных «закладок».
12.5. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия Использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.
12.6. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.
12.7. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых отделом безопасности, моделью актуальных угроз ИСПДн «и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов
информатизации, а также определять сроки, условия и методики проведения испытаний.
12.8. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
12.9. Для проведения испытаний Организация представляет аттестационной комиссии следующие исходные данные и документацию:
– техническое задание на ИСПДн;
– технический паспорт на ИСПДн;
– приемо-сдаточную документацию на ИСПДн;
– акт классификации ИСПДн;
– состав технических и программных средств, входящих в ИСПДн;
– планы размещения технических средств и систем;
– состав и схемы размещения средств защиты ПДн;
– план контролируемой зоны;
– схемы прокладки линий передачи данных;
– схемы и характеристики систем электропитания и заземления технических средств;
– перечень защищаемых в ИСПДн ресурсов;
– организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;
– описание технологического процесса обработки ПДн в ИСПДн;
– технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;
– инструкции по эксплуатации средств защиты ПДн;
– предписания на эксплуатацию технических средств;
– протоколы специальных исследований технических средств;
– сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн
– данные по уровню подготовки кадров, обеспечивающих защиту ПДн;
– данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;
– нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.
12.10. Приведенный общий перечень исходных данных и документации может уточняться Организацией в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.
12.11. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.
12.12. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.