12.6. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.
12.7. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых отделом безопасности, моделью актуальных угроз ИСПДн «и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов
информатизации, а также определять сроки, условия и методики проведения испытаний.
12.8. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
12.9. Для проведения испытаний Организация представляет аттестационной комиссии следующие исходные данные и документацию:
техническое задание на ИСПДн;
технический паспорт на ИСПДн;
приемо-сдаточную документацию на ИСПДн;
акт классификации ИСПДн;
состав технических и программных средств, входящих в ИСПДн;
планы размещения технических средств и систем;
состав и схемы размещения средств защиты ПДн;
план контролируемой зоны;
схемы прокладки линий передачи данных;
схемы и характеристики систем электропитания и заземления технических средств;
перечень защищаемых в ИСПДн ресурсов;
организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;
описание технологического процесса обработки ПДн в ИСПДн;
технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;
инструкции по эксплуатации средств защиты ПДн;
предписания на эксплуатацию технических средств;
протоколы специальных исследований технических средств;
сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн
данные по уровню подготовки кадров, обеспечивающих защиту ПДн;
данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;
нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.
12.10. Приведенный общий перечень исходных данных и документации может уточняться Организацией в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.
12.11. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.
12.12. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.
12.13. В случае изменений условий и технологии обработки ПДн ответственные за эксплуатацию ИСПДн лица обязаны известить об этом начальника отдела безопасности, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.
13. Взаимодействие с другими организациями
13.1. Взаимодействие по вопросам защиты ПДн Организации со сторонними организациями (при необходимости) организуется начальником отдела безопасности с целью:
обеспечения Организации недостающими и вновь разработанными руководящими, нормативно-методическими и иными материалами по вопросам защиты ПДн;
обеспечения средствами защиты ПДн;
выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у Организации отсутствует соответствующее разрешение либо отсутствуют технические средства и подготовленные работники (специалисты);
выполнения организационных и технических мероприятий в области защиты ПДн, выполнение которых силами Организации экономически невыгодно;
контроля эффективности проводимых мероприятий по защите ПДн.
13.2. Привлекаемая для оказания услуг в области защиты ПДн сторонняя организация должна иметь лицензию на соответствующий вид деятельности.