аттестация ОИ по требованиям ИБ - Форум по вопросам информационной безопасности

Доброго времени суток!
Подскажите пожалуйста, для того чтобы проводить аттестацию объектов информатизации достаточно ли лицензии на деятельность по технической защите конфиденциальной информации? Если есть лицензия, являюсь ли я органом по аттестации или мне требуется пройти аккредитацию ФСТЭК?

"для того чтобы проводить аттестацию объектов информатизации (ОИ) достаточно ли лицензии на деятельность по технической защите конфиденциальной информации? "

для гостайны (ГТ) нет, для конфиденциальной информации должен быть соответствующий пункт в лицензии дающий право это делать.

"Если есть лицензия, являюсь ли я органом по аттестации или мне требуется пройти аккредитацию ФСТЭК? "

Если у вас лицензия по тех защите конфиденциальной информации.
И вы хотите стать органом по аттестации то надо получить лицензию ФСБ на оброботку ГТ, ФСТЭК по тех защите ГТ, и пройти акредитацию получив аттестат акредитации органа по аттестации. Тогда сможете выдавать аттестаты на ОИ ГТ.

sekira, огромное спасибо за ответ!

А кто нибудь может рассказать про аккредитацию? Что именно проверяет комиссия? Какие внутренние док-ты должна иметь организация претендующая на орган по аттестации?

Аккредитацию проводит ФСТЭК.
Как на лицензирование + практические знания + экзамен+ собеседование.
Вобщем от округа зависит. Регламент закрытый. Подробности звоните в свой окружной ФСТЭК.

Дим | 55507

Вам Sekira подробно всё описал. Прежде чем получать аккредитацию органа по аттестации получите сначала лицензии ФСБ на право работы с ГТ (намучаетесь в плане степени секретности), а затем ФСТЭК на осуществление мероприятий и оказание услуг по защите ГТ (в части ТЗИ).
А для аккредитации подается стандартная заявка во ФСТЭК с приложениями (состав имеющейся контрольно-измерительной аппаратуры, имеющиеся в организации НМД - список большой, состав сотрудников будущего органа по аттестации с указанием образования, курсов и т.д.).
А процедура обычная. Приезжает комиссия ФСТЭК. Проверяет всю документацию - от учредительных документов, свидетельств об образовании и повышении квалификации сотрудников до НМД. Устраивает экзамены - письменный, устный, практический - по умению пользоваться аппаратурой.
У каждой комиссии, наверное, свой подход, поэтому это в общем. У нас было именно так

Спасибо всем за ответы!

А что должно включать в себя "Положение об органе по аттестации"? Есть какое - нибудь типовое для примера?

2 Дим
"А что должно включать в себя "Положение об органе по аттестации"? Есть какое - нибудь типовое для примера? "

Лучше проверьте для начала своё соответствие требованиям ФСТЭК по наличию НМД, квалификации сотрудников, составу (и поверкам) оборудования, по измерительной площадке и пр. Плюс состояние уставных документов и документов на владение (площадкой, оборудованием, НМД).
Устранение этих недостатков занимает примерно от полугода при хорошем финансировании.
Действующий вариант Положения можно будет получить и заполнить прямо во время экспертизы.

Добрый день. Скажите пожалуйста, если в аттестованном ОИ происходит замена состава отсс например нжмд, в таком случае производится перееаттестация или достаточно документов в рамках инструментального контроля. И как оформляется изменения /дополнения в тех. Паспорт при изменении состава втсс (отсс)

to Иван
Новый букварь и разговор с конторой, которая проводила аттестацию, вам в помощь. imho, при замене системного ЖМД я бы категорически настаивал на повторной аттестации - ОС, ППО, СЗИ же на переустановку пойдут - мало ли кто и как настраивать будет в итоге...