Нормативными Актами РФ предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (программное обеспечение, средство защиты информации, техническое средство, система в целом) и целей проведения оценки. В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы как единого комплекса на практике является процедурой неоправданно дорогой, длительной и усложняет последующее использование и модернизацию сертифицированной системы, поэтому на практике, как правило, ограничиваются формированием системы с применением серийно сертифицированных средств защиты и сертификацией уже имеющихся узлов системы. Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования.
Аттестация по требованиям безопасности информации проводится лицензиатами (компаниями, имеющими лицензию) регуляторов в технической сфере (ФСТЭК, ФСБ) и, по сути, представляет собой заключение лицензиата о возможности эксплуатации информационных систем с соблюдением требований, соответствующих заявленному классу информационной системы, описанным в руководящих документах. Заключение делается на основе проверочных мероприятий, в ходе которых выясняются особенности обработки и защиты информации. Данное заключение может учитываться регуляторами при проведении проверок и подразумевает разделение ответственности за безопасность системы между оператором и лицензиатом.