Интересно. На данной из конференций по ИБ с представителем ФСТЭК по ЦФО был примерно такой диалог:
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы».
Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
«3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»
Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
«3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»