Аттестация по требованиям безопасности информации предшествует началу обработки информации или ведения переговоров и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте мер и средств защиты информации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным Федеральной службой по техническому и экспортному контролю органом по аттестации из компетентных специалистов в необходимых для конкретного объекта информатизации направлениях защиты информации.

Органы по аттестации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности защищаемой информации, а также за соблюдение авторских прав разработчиков средств защиты информации.

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

- экспертно-документальный метод;

- измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;

- проверка функций или комплекса функций защиты информации от НСД с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением;

- попытки “взлома” систем защиты информации.

Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств.
Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно-измерительной аппаратуры.

Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или программно-технической среды в целом по выбору аттестационной комиссии.

В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

Для проведения испытаний заявитель представляет аттестационной комиссии необходимые исходные данные и документацию.

Аттестационные испытания проводятся в следующем порядке:

- анализ и оценка исходных данных и документации по защите информации на объекте информатизации;

- проверка соответствия представленных заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения информации технических средств;

- проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка полноты и достаточности уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;

- испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств АС, средств и систем защиты информации на соответствие требованиям защиты информации по утвержденным или согласованным с заявителем методикам испытаний;

- комплексные испытания АС на соответствие требованиям защиты информации;

- подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям для принятия решения о выдаче “Аттестата соответствия”.

Аттестационные испытания объекта информатизации проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.