Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) «О техническом регулировании» предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (программное обеспечение, средство защиты информации, техническое средство, система в целом) и целей проведения оценки. В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы как единого комплекса на практике является процедурой неоправданно дорогой, длительной и усложняет последующее использование и модернизацию сертифицированной системы, поэтому на практике, как правило, ограничиваются формированием системы с применением серийно сертифицированных средств защиты и сертификацией уже имеющихся узлов системы. Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования.
Аттестация по требованиям безопасности информации проводится лицензиатами (компаниями, имеющими лицензию) регуляторов в технической сфере (ФСТЭК России, ФСБ России) и, по сути, представляет собой заключение лицензиата о возможности эксплуатации информационных систем с соблюдением требований, соответствующих заявленному классу информационной системы, описанным в руководящих документах. Заключение делается на основе проверочных мероприятий, в ходе которых выясняются особенности обработки и защиты информации. Данное заключение может учитываться регуляторами при проведении проверок и подразумевает разделение ответственности за безопасность системы между оператором и лицензиатом.
Декларирование представляет собой упрощённый аналог аттестации и может проводиться силами оператора без привлечения лицензиата. Проблема на сегодняшний день заключается в том, что технические регламенты, на положения которых следует опираться при декларировании соответствия находятся в разработке.