Нормативными Актами РФ предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (программное обеспечение, средство защиты информации, техническое средство, система в целом) и целей проведения оценки. В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы как единого комплекса на практике является процедурой неоправданно дорогой, длительной и усложняет последующее использование и модернизацию сертифицированной системы, поэтому на практике, как правило, ограничиваются формированием системы с применением серийно сертифицированных средств защиты и сертификацией уже имеющихся узлов системы. Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования.
Декларирование представляет собой упрощённый аналог аттестации и может проводиться силами оператора без привлечения лицензиата. Проблема на сегодняшний день заключается в том, что технические регламенты, на положения которых следует опираться при декларировании соответствия, находятся в разработке.