Система аттестации объектов информации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в порядке, установленном Госстандартом России.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных или конфиденциальных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленным в «Аттестате соответствия».
Аттестация по требованиям безопасности информации предшествует началу обработки информации, подлежащей защите и необходимости официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации:
- от несанкционированного доступа, в том числе от компьютерных вирусов;
- от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное облуче­ние, электромагнитное и радиационное воздействие);
- от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.