Аттестация информационной системы – официальное подтверждение ФСТЭК России, что защита системы отвечает требованиям. Обязательна она для государственных информационных систем (ГИС) и систем, работающих с государственной тайной: без аттестата соответствия их нельзя ввести в эксплуатацию.
Для информационных систем персональных данных (ИСПДн) аттестация — добровольная. По 152-ФЗ оператор обязан периодически оценивать эффективность защиты, а по приказу ФСТЭК №21 — определить уровень защищённости (УЗ) и внедрить под него набор мер с сертифицированными СЗИ. Состав мер зависит от УЗ и адаптируется под конкретную систему. Аттестацию многие проходят по своей инициативе — чтобы официально подтвердить соответствие перед клиентами и регулятором.