что такое аттестат соответствия
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Проходим аттестацию на соответствие в строительстве
Аттестацию соответствия на деятельность в области строительства ввел Указ от 14 января 2014 г. N 26 «О мерах по совершенствованию строительной деятельности» (Указ N 26). Он запретил осуществлять деятельность в области строительства (ее составляющие) без аттестата соответствия, когда его наличие обязательно. Рассмотрим пошагово, как получить такой аттестат.
Шаг 1. Определяем, нужен ли аттестат соответствия
Аттестат соответствия на осуществление деятельности в области строительства потребуется:
— если заинтересованное лицо (соискатель) работает на объектах строительства 1-4-го классов сложности;
На заметку
Класс сложности объекта строительства определяется в соответствии с СТБ 2331-2015 «Здания и сооружения. Классификация. Основные положения» (СТБ 2331). В силу подп. 4.4 п. 4 СТБ 2331 не классифицируются:
— изолированные помещения зданий;
— системы (оборудование) кондиционирования, которыми оснащают эксплуатируемые здания и сооружения;
— технологическое оборудование;
Необходимость получить аттестат соответствия не зависит от вида строительства (возведение, реконструкция, реставрация, капремонт, текущий ремонт, благоустройство объекта, снос).
Многие заблуждаются, думая, что если работы выполняются в рамках текущего ремонта, то аттестат соответствия не требуется. При этом ссылаются на письмо Минстройархитектуры от 27 ноября 2014 г. N 09-08/9696 «По вопросам аттестации в строительстве». Согласно этому документу не нужен аттестат соответствия на выполнение работ, которые:
— относятся к текущему ремонту на основании ТКП 45-1.04-206-2010 «Ремонт, реконструкция и реставрация жилых и общественных зданий и сооружений. Основные требования по проектированию»;
— не входят в перечень, предусмотренный приложением 1 к Положению об аттестации соответствия.
Если же работы относятся к текущему ремонту согласно ТКП 45-1.04-206-2010, но входят в этот перечень, потребуется аттестат соответствия. Исключение составит случай, когда объект строительства относится к 5-му классу сложности.
Шаг 2. Регистрируемся на сайте Белстройцентра
Соискатель должен зарегистрироваться на официальном сайте РУП «Белстройцентр».
После регистрации на том же сайте размещается заявка. В ней надо указать желаемую категорию аттестата соответствия, свои реквизиты, квалификационные аттестаты руководителей, специалистов (при наличии), предполагаемую дату подачи документов и т.д.
Через одну-две недели на электронную почту соискателя, указанную при регистрации заявки, приходит уведомление Белстройцентра с утвержденной датой и временем подачи документов, а также Ф.И.О. специалиста, принимающего документы.
На практике, как правило, ближайшее время для подачи документов назначается через месяц после регистрации заявки.
Чтобы изменить время, нужно напрямую связаться с Белстройцентром, например:
— приехать по адресу: ул. Р. Люксембург, 101, каб. 18, г. Минск;
— позвонить по тел. (017) 2085996;
— написать на e-mail attur@bsc.by.
Шаг 3. Берем в штат аттестованных сотрудников
Если у руководителя, специалиста нет квалификационного аттестата, соискателю необходимо отправить их на квалификационный экзамен исходя из образования и стажа работы. Условия и порядок экзамена регулирует:
— Положение об аттестации руководителей, специалистов организаций и индивидуальных предпринимателей, осуществляющих деятельность в области архитектурной, градостроительной, строительной деятельности, выполнение работ по обследованию зданий и сооружений ;
— постановление Минстройархитектуры от 21-26 марта 2014 г. N 15 «О некоторых вопросах аттестации руководителей, специалистов организаций и индивидуальных предпринимателей, осуществляющих деятельность в области архитектурной, градостроительной, строительной деятельности, выполнение работ по обследованию зданий и сооружений».
До экзамена руководитель, специалист должны пройти повышение квалификации (раз в пять лет).
На практике время с момента подачи документов на квалификационный экзамен до самого экзамена составляет около месяца. Если необходимо повысить квалификацию — около двух месяцев.
На заметку
Аттестованный руководитель, специалисты в количестве, необходимом для получения аттестата соответствия, должны быть заняты у соискателя по основному месту работы. Белстройцентр вправе затребовать у соискателя оригиналы их трудовых книжек.
Остальные руководители и специалисты (сверх минимально необходимого количества) могут работать по совместительству. Их не обязательно указывать в документах на аттестацию соответствия.
Шаг 4. Создаем систему менеджмента качества
Чтобы получить аттестат соответствия на инженерные изыскания, выполнение функций генпроектировщика, генподрядчика 1-й и 2-й категории, нужна сертифицированная система менеджмента качества (СМК).
На заметку
Белстройцентр занимает следующую позицию:
— если соискатель аттестата — резидент Беларуси, принимаются сертификаты соответствия СМК, выданные только органом, аккредитованным в Национальной системе подтверждения соответствия (НСПС);
— если соискатель аттестата — нерезидент, могут приниматься сертификаты соответствия СМК, выданные не аккредитованными в НСПС органами.
Средний срок для получения сертификата соответствия СМК в органе по сертификации, аккредитованном в НСПС, составляет два месяца.
Для иных аттестатов соответствия достаточно иметь собственную разработанную и внедренную СМК. На практике соискатель представляет положение (руководство) о СМК на предприятии, приказ по предприятию о внедрении СМК и назначении ответственного лица.
Шаг 5. Проходим оценку системы производственного контроля и сертификации соответствия строительных работ
Чтобы получить аттестат соответствия на выполнение функций генподрядчика и (или) строительство объектов 1-4-го классов сложности, необходимо заранее пройти оценку системы производственного контроля и сертификацию соответствия строительных работ.
Оценку на соответствие требованиям ТКП 45-1.01-221-2010 «Строительство. Оценка системы производственного контроля. Основные положения и порядок проведения» проводят назначаемые Минстройархитектуры организации. Если результат положительный, соискателю выдается свидетельство о технической компетентности.
В основе сертификации соответствия строительных работ лежат требования ТР 2009/013/BY «Здания и сооружения, строительные материалы и изделия. Безопасность» и ТКП 5.3.13-2007 «Сертификация работ (услуг) в строительстве. Порядок проведения».
Средняя продолжительность прохождения оценки системы производственного контроля и сертификации соответствия строительных работ составляет один-два месяца.
Шаг 6. Создаем систему охраны труда
Квалификационное требование к системе охраны труда включает:
— наличие разработанной и внедренной системы управления охраной труда в соответствии с СТБ 18001-2009 «Системы управления охраной труда. Требования»;
— подтверждение проверки знаний по вопросам охраны труда руководителя, его замов и ответственного за охрану труда (требуется как минимум три удостоверения, подтверждающие сдачу экзамена по охране труда).
Экзамены по охране труда проводятся в исполкомах, как правило, два раза в месяц.
Шаг 7. Готовим пакет документов, чтобы подать в Белстройцентр
Пакет документов для получения определенного аттестата соответствия готовится согласно квалификационным требованиям и формам, утвержденным постановлением Минстройархитектуры от 2 мая 2014 г. N 25.
Все документы подаются в Белстройцентр на бумажном носителе и заверяются подписью руководителя и печатью юридического лица или подписью ИП и печатью (если есть).
Прилагаемые к заявлению документы нужно сброшюровать в папке-регистраторе типа «Корона», составить их опись и проставить сквозную нумерацию страниц.
Документы принимаются по описи (в двух экземплярах). Один вручается соискателю (его уполномоченному представителю) с отметкой о дате приема этих документов.
Шаг 8. Подаем документы на аттестацию соответствия
Соискатель (его представитель) в указанное в уведомлении Белстройцентра время представляет заявление о выдаче аттестата соответствия и прилагаемые к нему документы.
У представителя соискателя должны быть документы, подтверждающие полномочия (для руководителя организации — выписка из протокола (решения) о назначении, копия приказа о вступлении в должность, для иных лиц — доверенность).
Обычно правильность оформления заявления о выдаче аттестата соответствия и прилагаемые к нему документы проверяет специалист Белстройцентра при их приеме. Он же составляет договор оказания услуг и предоставляет его соискателю для оплаты.
Шаг 9. Получаем аттестат соответствия на деятельность в области строительства
Решение о выдаче аттестата соответствия принимает Минстройархитектуры.
Соответствующие приказы издаются, как правило, два раза в месяц.
После того как на официальном сайте Белстройцентра появится информация о выдаче соискателю аттестата соответствия, можно забирать бланк аттестата по адресу: ул. Р. Люксембург, 101, каб. 18, г. Минск.
Опубликовано в журнале «Промышленно-торговое право», 2017, № 7
Аттестация ФСТЭК России: мифы и реальность
Что такое аттестация?
Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:
А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:
В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».
Как правильно? Давайте разбираться
Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.
Для того, чтобы разобраться, давайте определимся, что же такое аттестация?
Данное определение точки над «i» не расставляет.
Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.
Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте:
«13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.
Типы аттестуемых объектов информатизации
Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:
Виды аттестации
Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:
По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.
По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.
По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.
По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.
По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.
По требованиям к объектам критической информационной инфраструктуры аттестуются особые объекты государственного значения, вредоносное воздействие на которые влечет ухудшение государственной силы России. Перечень объектов критической инфраструктуры установлен ФЗ-187.
По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.
Для кого аттестация является обязательной?
Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:
Является ли аттестация обязательной для коммерческих организаций?
Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:
Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:
Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.
Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.
Срок действия аттестата
В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:
А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.
Переаттестация (повторная аттестация)
Переаттестацией считается процедура повторной аттестации ранее аттестованного объекта.
Переаттестация, как правило, проводится прямо к окончанию действия аттестата, но может быть проведена и существенно раньше окончания срока его действия, например, по причинам внесения изменений в систему защиты информационной системы.
На практике переаттестацией считается и процедура повторной аттестации объекта информатизации, срок действия аттестата которого закончился. Так делается потому, что все же объект информатизации ранее был аттестован, и оценка его защищенности уже проводилась.
Для переаттестации объекта информатизации собственник (владелец) автоматизированной системы обращается к тому же лицензиату ФСТЭК России, который ранее проводил аттестацию объекта информатизации, или к иному лицензиату, что также допустимо.
Переаттестация, как правило, проводится по причине внесения изменений в аттестованный объект информатизации. Такими изменениями являются:
Можно ли вносить изменения в аттестованную систему?
Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.
Какие изменения могут влиять на защищенность?
В первую очередь это:
В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.
Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.
Кто выдает аттестат?
Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3. ГОСТ РО 0043-003-2012 также должен быть аттестат аккредитации органа по аттестации (далее — ОА) объектов информатизации.
Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов, имеет закрытый характер (ГОСТ РО 0043-003-2012 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.
Порядок выдачи аттестата (как выдается аттестат)
При аттестации конфиденциальных объектов:
При аттестации секретных объектов:
Кто регулятор (законодательный орган) по аттестации?
Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Официальный сайт ведомства – fstec.ru
Адрес ведомства: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела по технической защите информации: 8 (499) 263-27-75
Кто и как контролирует аттестованные объекты?
ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.
В соответствии с нормативно-правовыми актами ФСТЭК России:
Чем отличается аттестация от декларации соответствия?
Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».
В частности, это указано в НПА:
Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.
Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.
Итого мы имеем:
Аттестация:
Стоимость аттестации
Стоимость аттестации прямо зависит от:
Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.
За что может быть отобран (отозван) аттестат?
Достаточно одной из перечисленных причин:
При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.
Ответственность за аттестованный объект информатизации
Ответственность за аттестованный объект обоюдно несут два субъекта:
Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.
Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?
В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.
Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.
Какие требования по безопасности к информационным системам?
Требования по безопасности зависят в первую очередь от типа объекта.
Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.
Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:
Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.
Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:
Обязателен ли ежегодный контроль аттестованного объекта информатизации?
В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.
Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.