Когда аттестация необходима

В соответствии с «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.) аттестация объектов информатизации не предназначенных для обработки информации, составляющей государственную тайну, управления экологически опасными объектами и ведения секретных переговоров (для указанных объектов аттестация обязательна) носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Несмотря на это, обязательное наличие аттестованных объектов информатизации необходимо в случае получения лицензии на следующие виды деятельности:

в соответствии с постановлением Правительства РФ от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»:

• деятельность по техническому обслуживанию шифровальных (криптографических) средств;

• предоставление услуг в области шифрования информации;

• разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;

в соответствии с постановлением Правительства РФ от 16 января 2007 г. №15 «О лицензировании деятельности по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговли указанной продукцией»:

• деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговли указанной продукцией;

в соответствии с постановлением Правительства РФ от 15 августа 2006 г. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»:

• деятельность по технической защите конфиденциальной информации;

в соответствии с постановлением Правительства РФ от 31 августа 2006 г. №532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»(в части требований и условий при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, лицензирование которой отнесено к компетенции Федеральной службы безопасности Российской Федерации):

• деятельность по разработке и (или) производству средств защиты конфиденциальной информации.

Положение о государственной информационной системе миграционного учета
(утв. постановлением Правительства РФ от 14 февраля 2007 г. № 94) содержит следующее требование:
п. 29. Проведение аттестации информационной системы организует Федеральная миграционная служба.

Поставщики сведений и пользователи информационной системы, являющиеся операторами иных информационных систем, содержащих информацию об иностранных гражданах, организуют проведение аттестации соответствующих информационных систем.
Аттестация информационных систем проводится по требованиям безопасности информации в соответствии с нормативными правовыми актами Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.

В соответствии с Приказом ФТС РФ от 24 января 2008 г. №52 «О внедрении информационной технологии представления таможенным органам сведений в электронной форме для целей таможенного оформления товаров, в том числе с использованием международной ассоциации сетей «Интернет» аттестацию в обязательном порядке должны проходить информационные системы, предназначенные для представления участниками внешнеэкономической деятельности или иными заинтересованными лицами сведений таможенным органам в электронной форме (приложение №3, раздел II, п.7 в).

«Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК России) для ИСПДн 1 и 2 классов предусматривается обязательная сертификация (аттестация) по требованиям безопасности информации. (согласно «Решению ФСТЭК России от 5 марта 2010 г.» не применяются с 15 марта 2010 г.)