В 1993-1996 гг. была опубликована серия законов, постановлений правительства и нормативных документов Гостехкомиссии, в которых рассмотрены вопросы сертификации и аттестации по требованиям информационной безопасности (ИБ):

  • О сертификации продукции и услуг. -- закон РФ, N 5151-1, 10.06.93
  • О сертификации средств защиты информации. -- Постановление правительства РФ, N 608, 26.06.95
  • Система сертификации средств криптографической защиты информации (Система сертификации СКзИ)., 1993
  • Положение о сертификации средств защиты информации по требованиям безопасности информации (с дополнениями в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N608 "О сертификации средств защиты информации"). -- Гостехкомиссия России, 1996
  • Положение по аттестации объектов информатизации по требованиям безопасности информации. -- Гостехкомиссия России, 1994
  • Положение об аккредитации органов по аттестованию объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации. -- Гостехкомиссия России, 1994
  • Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. -- Гостехкомиссия России, 1994
  • Перечень средств защиты информации, подлежащих сертификации в Системе сертификации Гостехкомиссии России. -- Гостехкомиссия России, 1995
  • Аттестационные испытания АС по требованиям безопасности информации. Типовая методика испытаний объектов информатики по требованиям безопасности информации (Аттестация АС). -- Гостехкомиссия России, 1995
  • Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. -- Гостехкомиссия России, 1994
  • Положение о государственном лицензировании деятельности в области защиты информации. -- Гостехкомиссия России, ФАПСИ, 1997
  • Гостехкомиссия России. Руководящий документ. Автоматизированные системы. защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. , 1997

Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке.

Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России [34].
Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.
Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [35].

Система сертификации

  • Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации
  • Центральный орган системы сертификации средств защиты информации
  • Органы по сертификации средств защиты информации
  • Испытательные центры (лаборатории)
  • заявители (разработчики, изготовители, поставщики, потребители средств защиты информации)

Целями создания системы сертификации являются:

  • обеспечение реализации требований государственной системы защиты информации;
  • создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации;
    обеспечение национальной безопасности в сфере информатизации;
  • содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
  • формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации;
  • поддержка проектов и программ информатизации.


Система сертификации средств защиты информации по требованиям ИБ включает в себя и аттестацию объектов информатизации по требованиям ИБ и подлежит государственной регистрации в установленном Госстандартом России порядке.

Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Добровольная сертификация осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации. Порядок проведения сертификации включает:

  • подачу и рассмотрение заявки на сертификацию средств защиты информации;
  • испытания сертифицируемых средств защиты информации и аттестация их производства;
  • экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
  • осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
  • информирование о результатах сертификации средств защиты информации;
  • рассмотрение апелляций.

Система аттестации

  • Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям ИБ
  • Органы по аттестации объектов информатизации по требованиям ИБ
  • Испытательные центры (лаборатории) по сертификации продукции по требованиям ИБ
  • заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации)

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — "Аттестата соответствия" — подтверждается, что объект соответствует требованиям стандартов или иным нормативно-техническим документам по безопасности информации, утвержденным Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период, установленными в "Аттестате соответствия".

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

анализ исходных данных по аттестуемому объекту информатизации;

предварительное ознакомление с аттестуемым объектом информатизации;

проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации должна предшествовать началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

Органы по аттестации аккредитуются Гостехкомиссией России.