В приказе 321 нет слова "аттестация". Ежегодное проведение аттестации не установлено никаким правовым актом.
В приказе 321 сказано, что должна проводиться ежегодная оценка соответствия требованиям, при этом сделана отсылка на подпункты "б", "д" или "е" пункта 4 Постановления 79. Следовательно, кроме аттестации, формой оценки соответствия может быть и контроль защищенности от НСД (пункт "б") или испытания (пункт "е").
Это была ирония. Минкомсвязь обязало проводить оценку соответствия, но так и не определилось, что же это такое. То ли уязвимости искать, то ли функционал испытывать. Две из трех составляющих аттестации, как она определена в приказе 17, упомянуты через "или", а третьей (оценки соответствия требованиям 21 приказа ФСТЭК) нет. Зато это дело нужно проводить ежегодно :)
