Оглавление
1. Общие положения
1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации, порядок проведения аттестации, а также контроля и надзора за аттестацией объектов информатизации[1] информационных систем органов исполнительной власти города Москвы (далее – объектов информатизации или — ОИ).
1.2. Требования и рекомендации настоящего Положения распространяются на объекты информатизации, обрабатывающие информацию, не содержащей сведений, составляющих государственную тайну.
1.3. Настоящее Положение разработано на основе Положения по аттестации объектов информатизации по требованиям безопасности информации, утвержденного Председателем Государственной технической комиссии при Президенте Российской Федерации 25.11.94 г. с учетом Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), утвержденных приказом Гостехкомиссии (ФСТЭК) России от 30.08.2002 №282, в соответствии с Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы.
1.4. Система аттестации информационных систем города Москвы по требованиям безопасности информации является составной частью государственной системы защиты информации и действует под руководством уполномоченного органа по управлению системой аттестации города Москвы, ФСТЭК и ФСБ России.
1.5. Под аттестацией ОИ понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации, утвержденных ФСТЭК России.
Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия».
1.6. Аттестация ОИ по требованиям безопасности информации предусматривает комплексную проверку (аттестационные испытания) информационных систем (ИС) в реальных условиях эксплуатации с целью оценки соответствия используемого комплекса мер и средств защиты требуемому уровню безопасности информации.
1.7. Организационную структуру системы аттестации ИС города Москвы по требованиям безопасности информации образуют:
— уполномоченный орган Правительства Москвы по аттестации ОИ (далее – уполномоченный орган по аттестации ОИ), аккредитованный ФСТЭК установленным порядком;
— органы по аттестации объектов информатизации по требованиям безопасности информации, имеющие аттестаты аккредитации и необходимые лицензии ФСТЭК;
— органы по аттестации объектов информатизации по требованиям безопасности информации, имеющие аттестаты аккредитации уполномоченного органа по аттестации ОИ — государственные заказчики, которым уполномоченным органом по аттестации ОИ разрешено проводить аттестацию своими силами без привлечения органов по аттестации объектов информатизации по требованиям безопасности информации, имеющих аттестаты аккредитации и необходимые лицензии ФСТЭК;
— испытательные лаборатории по сертификации средств защиты информации по требованиям безопасности информации, имеющие аттестаты аккредитации и необходимые лицензии ФСТЭК;
— заявители (владельцы, операторы, разработчики аттестуемых ОИ).
1.8. Общее руководство системой аттестации ОИ по требованиям безопасности информации осуществляет уполномоченный орган по аттестации ОИ, который:
— организует обязательную аттестацию ОИ;
— рассматривает апелляции, возникающие в процессе аттестации ОИ и контроля за эксплуатацией аттестованных ОИ;
— формирует и поддерживает в актуальном состоянии фонд документов, используемых при аттестации ОИ;
— планирует работы по аттестации ОИ, и контролирует сроки их проведения;
— разрабатывает типовые программы, а при необходимости и конкретные методики аттестационных испытаний;
— регистрирует «Аттестаты соответствия» на аттестованные ОИ и ведет информационную базу аттестованных ОИ;
— осуществляет ведомственный надзор за проведением аттестации;
— отменяет и приостанавливает действие выданных «Аттестатов соответствия» в случаях, предусмотренных «Положением о порядке проведения контроля защищенности информационных систем и ресурсов города Москвы»;
— осуществляет взаимодействие с ФСТЭК и ФСБ России и информирует их о своей деятельности в области аттестации.
1.9. Органы по аттестации:
— аттестуют объекты информатизации и выдают «Аттестаты соответствия»;
— при выявлении в процессе контроля нарушений состояния безопасности информации информируют об этом уполномоченный орган и, в случае необходимости, ходатайствуют об отмене или приостановлении действия выданных этим органом «Аттестатов соответствия»;
— формируют фонд нормативных и методических документов, необходимых для аттестации конкретных типов объектов информатизации, участвуют в ее разработке;
— разрабатывают программы и методики аттестационных испытаний;
— ведут информационную базу аттестованных этим органом объектов информатизации;
— осуществляют взаимодействие с ФСТЭК России и уполномоченным органом, и ежеквартально информируют его о своей деятельности в области аттестации.
1.10. Испытательные лаборатории по сертификации средств защиты информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на ОИ, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации».
1.11. Заявители:
— проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
— предоставляют в орган по аттестации ОИ необходимые сведения для проведения аттестации;
— привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом ОИ, испытательные лаборатории по сертификации средств защиты информации;
— осуществляют эксплуатацию ОИ в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
— извещают орган по аттестации ОИ, выдавший «Аттестат соответствия», обо всех изменениях ОИ и условий его эксплуатации, определяющих безопасность информации;
— предоставляют необходимые сведения для осуществления контроля и надзора за эксплуатацией ОИ, прошедшего обязательную аттестацию.
1.12. Аттестация ОИ проводится на стадии ввода в действие ИС, до ввода в эксплуатацию.
1.13. Аттестация ОИ, созданных и принятых в эксплуатацию до вступления в силу настоящего Положения, выполняется согласно порядку проведения аттестации для вновь создаваемых ИС.
1.14. Работы по переаттестации ОИ выполняются согласно порядку аттестации для вновь создаваемых ИС.
1.15. Расходы на проведение всех видов работ и услуг по аттестации ОИ оплачивают заявители за счет финансовых средств, выделяемых на создание, модернизацию и эксплуатацию подсистемы информационной безопасности (ПИБ) в составе защищаемого ОИ.
1.16. Финансирование работ по аттестации ОИ, принятых в эксплуатацию до ввода в действие настоящего Положения, а также по переаттестации ИС в связи с окончанием срока действия «Аттестата соответствия» осуществляется за счет средств бюджета города Москвы, выделяемых на эти цели.
1.17. Настоящее Положение носит обязательный характер для всех органов власти и государственных организаций города Москвы.
2. Организация проведения аттестации
2.1. Порядок проведения аттестации.
Проведение аттестации ОИ по требованиям безопасности информации включает:
— подачу заявки в орган по аттестации и рассмотрение заявки на аттестацию;
— предварительное ознакомление с аттестуемым объектом;
— разработка программы и методики аттестационных испытаний;
— формирование аттестационной комиссии;
— заключение договоров на аттестацию;
— испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
— проведение аттестационных испытаний объекта информатизации;
— оформление, регистрация и выдача «Аттестата соответствия»;
— рассмотрение апелляций;
— осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.
2.2. Подача и рассмотрение заявки на аттестацию.
2.2.1. Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации ОИ заявку на проведение аттестации с исходными данными по аттестуемому ОИ (Приложения 1, 2).
2.2.2. Орган по аттестации ОИ в месячный срок рассматривает заявку и принимает решение о проведении аттестации ОИ.
2.3. Предварительное ознакомление с аттестуемым ОИ.
При недостаточности исходных данных по аттестуемому ОИ в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
2.4. Испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом ОИ.
2.4.1. При использовании на аттестуемом ОИ несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных лабораториях по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств.
2.4.2. Испытания отдельных несертифициpованных средств и систем защиты информации в испытательных лабораториях по сертификации проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
2.5. Разработка программы и методики аттестационных испытаний.
2.5.1. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым ОИ органом по аттестации ОИ разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются профессиональный состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом ОИ или привлечения испытательных лабораторий по сертификации средств защиты информации по требованиям безопасности информации.
Программа аттестационных испытаний согласовывается с заявителем и утверждается органом по аттестации.
2.5.2. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации.
2.6. Формирование аттестационной комиссии.
2.6.1. Аттестационная комиссия назначается органом по аттестации ОИ, который определяет её количественный и профессиональный состав, сроки проведения аттестации ОИ, согласованные с заявителем.
2.6.2. В состав аттестационной комиссии в обязательном порядке включаются представители подразделений информационной безопасности Госзаказчика и оператора ИС или специалисты по информационной безопасности при отсутствии таких подразделений.
2.7. Заключение договоров на аттестацию.
2.7.1. Заключаются:
— договор между заявителем и органом по аттестации ОИ на проведение аттестации;
— трудовые договоры (контракты) между органом по аттестации ОИ и привлекаемыми экспертами (кроме государственных служащих) по согласованию с руководством организации по месту основной работы экспертов.
2.7.2. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств, выделяемых на аттестацию ОИ.
2.8. Проведение аттестационных испытаний ОИ.
2.8.1. Проведение аттестации ОИ по требованиям безопасности информации осуществляет аттестационная комиссия.
2.8.2. На этапе аттестационных испытаний ОИ:
— осуществляется анализ организационной структуры ОИ, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на ОИ, разработанной документации и её соответствия требованиям нормативной документации по защите информации;
— определяется правильность классификации автоматизированных систем, входящих в состав ИС, выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
— проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом ОИ;
— проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
— проводятся комплексные аттестационные испытания ОИ в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований по защите информации на различных этапах технологического процесса обработки защищаемой информации;
— оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты информации объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием ОИ.
2.8.3. Аттестационные испытания ОИ информационных систем, в которых обрабатывается только общедоступная информация, на соответствие требованиям базового уровня информационной безопасности, как правило, проводятся параллельно с приемо-сдаточными испытаниями этих ИС. В этом случае аттестационная комиссия включается в состав приемочной комиссии на правах подкомиссии. В особых случаях по решению Госзаказчика аттестационные испытания ОИ таких ИС могут проводиться аттестационной комиссией до приемо-сдаточных испытаний ИС.
2.8.4. В случае использования в составе объекта информатизации средств криптографической защиты информации (СКЗИ), в их отношении должны быть проверены:
— Выполнение требований «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005);
— Соблюдения требований к порядку применения (встраивания), определенных в сертификатах, технических условиях, формулярах и другой документации на СКЗИ.
2.8.5. Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания.
Заключение и протоколы аттестационных испытаний подлежат утверждению руководителем органа по аттестации ОИ.
2.8.6. Результаты аттестационных испытаний докладываются руководителю аттестационной комиссии.
При соответствии аттестуемого ОИ требованиям по безопасности информации, руководитель аттестационной комиссии принимает решение об оформлении и выдаче «Аттестата соответствия».
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки, руководитель аттестационной комиссии принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
2.9. Оформление, регистрация и выдача «Аттестата соответствия».
2.9.1. «Аттестат соответствия» на ОИ (Приложение 3), отвечающий требованиям по безопасности информации, выдается органом по аттестации ОИ после утверждения заключения по результатам аттестации.
2.9.2. Регистрация «Аттестатов соответствия» осуществляется уполномоченным органом по аттестации ОИ с целью ведения информационной базы аттестованных ОИ.
2.9.3. «Аттестат соответствия» выдается владельцу аттестованного ОИ органом по аттестации ОИ на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Владелец аттестованного ОИ несет ответственность за выполнение установленных условий функционирования ОИ, технологии обработки защищаемой информации и требований по безопасности информации.
2.9.4. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом уполномоченный орган по аттестации ОИ, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты информации ОИ.
2.10. Рассмотрение апелляций.
В случае несогласия заявителя с органом по аттестации при отказе в выдаче «Аттестата соответствия» он имеет право обратиться с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов в уполномоченный орган по аттестации либо непосредственно в ФСТЭК, где она рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
2.11. Контроль и надзор, инспекционный контроль за соблюдением правил аттестации и эксплуатации аттестованных ОИ.
2.11.1. Государственный контроль и надзор, инспекционный контроль за проведением аттестации ОИ, за эксплуатацией аттестованных ОИ осуществляют ФСТЭК и ФСБ России, а ведомственный надзор – уполномоченный орган по аттестации ОИ как в процессе, так и по завершении аттестации; контроль и надзор за эксплуатацией аттестованных ИС осуществляется периодически в соответствии с планами работы.
2.11.2. Объем, содержание и порядок контроля и надзора устанавливаются в нормативных и методических документах по аттестации ОИ.
2.11.3. Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации ОИ, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных ОИ.
2.11.4. Ведомственный надзор за эксплуатацией аттестованных ОИ осуществляется в соответствии с «Положением о порядке проведения контроля защищенности информационных систем и ресурсов города Москвы».
2.11.5. В случае выявления при контроле и надзоре грубых нарушений требований стандартов или иных нормативных и методических документов по безопасности информации органом по аттестации ОИ, последний может быть лишен аттестата аккредитации.
2.11.6. При выявлении органом, проводящим контроль и надзор, нарушения правил эксплуатации аттестованных ОИ, технологии обработки защищаемой информации и требований по безопасности информации может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия» и информированием органа, ведущего сводную информационную базу аттестованных ОИ, и ФСТЭК.
Решение об аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно-технических мер защиты не может быть восстановлен требуемый уровень безопасности информации.
2.11.7. Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств бюджета города Москвы, выделенных ему в этих целях.
3. Требования к нормативным и методическим документам по аттестации объектов информатизации
3.1. Вне зависимости от используемых отечественных или зарубежных технических и программных средств, ОИ аттестуются на соответствие требованиям национальных стандартов или иных нормативных документов по безопасности информации, утвержденных ФСТЭК.
3.2. Состав нормативных и методических документов для аттестации конкретных ОИ определяется органом по аттестации ОИ в зависимости от вида и условий функционирования ОИ на основании анализа исходных данных по аттестуемому объекту.
3.3. В нормативные документы включаются только те показатели, характеристики, требования, которые могут быть объективно проверены. В нормативных и методических документах на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.
Тексты нормативных и методических документов, используемых при аттестации ОИ, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В них должно содержаться указание о возможности использования документа для аттестации определенных классов ОИ по требованиям безопасности информации.
3.4. Официальным языком системы аттестации является русский язык, на котором оформляются все документы, используемые и выдаваемые в рамках системы аттестации.
Приложение 1
Форма заявки
Кому:________________________________________________
(наименование органа по аттестации и его адрес)
З А Я В К А
на проведение аттестации объекта информатизации
1. (Наименование заявителя) просит провести аттестацию (наименование объекта информатизации) на соответствие требованиям по безопасности информации:_______________________________________________________.
2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются.
3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.
4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации.
5. Дополнительные условия или сведения для договора:
5.1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период ___________________________________________________.
5.2. Аттестационные испытания объекта информатизации предлагаю провести в период ____________________________________________________.
5.3. Испытания несертифицированных средств и систем информатизации (наименование средств и систем) предусмотрено провести в испытательных лабораториях по сертификации средств защиты информации (наименование испытательных центров) в период _______________ (или предлагается провести непосредственно на аттестуемом объекте в период _______________).
Другие условия (предложения).
печать Руководитель (организации заявителя)
(подпись, дата) (Фамилия, И.О.)
Приложение 2
Приложение к форме заявки
Исходные данные по аттестуемому объекту информатизации
(готовятся на основе следующего перечня вопросов):
1. Полное и точное наименование объекта информатизации и его назначение.
2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень конфиденциальности обрабатываемой информации определен (в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия).
3. Организационная структура объекта информатизации.
4. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой (охраняемой) зоны.
6. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
8. Наличие и характер взаимодействия с другими объектами информатизации.
9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.
10. Сведения об используемых СКЗИ.
11. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат (предписание на эксплуатацию).
12. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.
13. Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).
14. Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся носители информации).
15. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
Форма аттестата соответствия
Регистрационный № ________
УТВЕРЖДАЮ
(должность руководителя органа по аттестации)
______________________________________
м.п. Ф.И.О.
«____» _________ _____г.
АТТЕСТАТ СООТВЕТСТВИЯ
_____________________________________________________________
(указывается полное наименование автоматизированной системы)
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№_____
Действителен до «____» _________ _____г.
1. Настоящим АТТЕСТАТОМ удостоверяется, что:
___________________________________________________________________
___________________________________________________________________
(приводится полное наименование объекта информатизации)
класс защищенности ____________, соответствует требованиям нормативной документации по безопасности информации.
Состав комплекса технических средств объекта информатизации (с указанием заводских номеров, модели, изготовителя, номеров сертификатов), схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов) прилагаются.
2. Организационная структура, уровень подготовки специалистов, нормативное, методическое обеспечение и техническая оснащенность службы безопасности информации обеспечивают контроль эффективности мер и средств защиты и поддержание уровня защищенности объекта информатизации в процессе эксплуатации в соответствии с установленными требованиями.
3. Аттестация объекта информатизации выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными «____»__________ ____г. №______.
4. С учетом результатов аттестационных испытаний автоматизированной системы разрешается обработка
_________________________________________________________ информации.
(указывается общедоступная или конфиденциальная)
5. При эксплуатации объекта информатизации запрещается:
___________________________________________________________________
(указываются ограничения, которые могут повлиять на эффективность меp и сpедств защиты инфоpмации)
6. Контроль за эффективностью реализованных мер и средств защиты возлагается на службу безопасности информации.
7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ _____ «___»__________ г.) и протоколах испытаний.
8. «Аттестат соответствия» выдан на _____ года, в течение которых должна быть обеспечена неизменность условий функционирования ИС и технологии обработки защищаемой информации, могущих повлиять на характеристики, указанные в п.9.
9. Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации:
9.1_________________________________________________________________
9.2_________________________________________________________________
Руководитель аттестационной комиссии
___________________________________________________
(должность с указанием наименования организации)
_____________________
Ф.И.О.
«____» __________20___г.
Отметки органа надзора: ______________________
[1] Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.