Какой федеральный орган осуществляет деятельность по аккредитации объектов информатизации

Обновлено: 02.07.2024

По определению (ст.2 п.8 N187-ФЗ) субъектами КИИ являются государственные органы и учреждения, юр. лица и ИП, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из 12 сфер деятельности:
1 - здравоохранение;
2 - наука;
3 - транспорт;
4 - связь;
5 - банковская и иные сферы финансового рынка;
6 - энергетика и ТЭК;
7 - атомная энергия;
8 - оборонная промышленность;
9 - ракетно-космическая промышленность;
10 - горнодобывающая промышленность;
11 - металлургическая промышленность;
12 - химическая промышленность.

Как проходят проверки субъектов/объектов КИИ? Кто контролирует выполнение требований закона о безопасности КИИ?

Постановление Правительства Российской Федерации от 17.02.2018 г. № 162 устанавливает правила осуществления гос. контроля в области обеспечения безопасности Значимых объектов КИИ (ЗО КИИ). Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а) внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б) окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а) истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б) возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в) приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки.

Будет ли в открытом доступе план проверок КИИ ФСТЭК, ФСБ?

Надзор за выполнением требований к системам защиты значимых объектов КИИ осуществляет только ФСТЭК. При этом ежегодный план проведения плановых проверок будет утверждаться до 20 декабря года, предшествующего году проведения плановых проверок, и выписка из плана проверок будет направляться субъектам КИИ в срок до 1 января года проведения данных проверок.

Можно ли для защиты КИИ использовать несертифицированные средства?

Согласно п.28 приказа ФСТЭК №239 для обеспечения безопасности значимых объектов КИИ должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки. Сертифицированные средства применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях могут применяться несертифицированные средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих соответствующие лицензии на деятельность в области защиты информации.

Если информационная система одновременно и ИСПДн, и ГИС, и КИИ – по какой нормативке защищать?

В данном случае необходимо одновременно выполнять требования по КИИ, ГИС, ИСПДн –при создании систем защиты следует выбирать по максимальному из требований.

Можно ли в состав комиссии по категорированию привлекать представителей ФСТЭК?

В пункте 12 Постановления Правительства от 8.02.18 №127 написано, что в состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами. Этот пункт подразумевает, что субъект КИИ может привлекать в состав комиссии представителей организаций, которые являются ведомственными, отраслевыми регуляторами. Сотрудники ФСТЭК России не будут принимать участие в составе комиссии по категорированию объектов КИИ.

Как выделять объекты КИИ, подлежащие категорированию? Что может выступать основой определения границ информационных систем?

Субъект КИИ сам определяет свои объекты и проводит границы. То есть сегментировать объекты субъект КИИ может по-разному. Мы рекомендуем делать сегментацию объектов таким образом, чтобы снизить возможные риски и актуальные угрозы на объекте, что позволит минимизировать возможный ущерб от инцидента и снизить категорию значимости объекта.

Когда актуален 31-й приказ, а когда подзаконные акты по 187-ФЗ?

Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.

Не следует путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.

Что такое электронная подпись?

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

противодействия иностранным техническим разведкам на территории Российской Федерации;

обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Основными задачами ФСБ России в области защиты информации являются:

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне" и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

защита информации при обработке сведений, составляющих государственную тайну;

защита конфиденциальной информации (в т.ч. персональных данных);

защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

разработки и производства средств защиты информации, составляющей государственную тайну;

разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.


  • АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ.
  • АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
  • ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • ВЫДЕЛЕННЫЕ И ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ПРОВЕДЕНИЯ СЕКРЕТНЫХ И КОНФИДЕНЦИАЛЬНЫХ МЕРОПРИЯТИЙ (СОВЕЩАНИЙ, ОБСУЖДЕНИЙ, КОНФЕРЕНЦИЙ, ПЕРЕГОВОРОВ И Т.Д.).

НАШИ УСЛУГИ

Обследование объекта и разработка аналитического отчета

Классификация и/или категорирование объекта с подготовкой проектов актов

Разработка проектов моделей угроз и требований по обеспечению безопасности информации

Разработка технического задания/проекта на систему защиты информации

Проведение специальных проверок и специальных исследований технических средств объекта

Объектовый контроль защищенности и оценка эффективности принятых мер

Поставка, установка и конфигурирование сертифицированных средств защиты информации

Разработка комплекта проектов организационно-распорядительных документов, техпаспорта, должностных инструкций

Разработка и согласование программы и методик проведения аттестационных испытаний

Проведение аттестационных испытаний и оформление протоколов

Подготовка заключения по результатам аттестационных испытаний

Выдача аттестата соответствия в случае положительного заключения

НАШИ ПРЕИМУЩЕСТВА

Полный комплекс работ

Комплексное обследование объектов информатизации

в рамках подготовки к аттестации, выбор и обоснование рекомендаций по обеспечению требуемого уровня защиты информации

Поставка, монтаж и ввод в эксплуатацию

современных сертифицированных средств и систем защиты информации

Методическая помощь заказчику

в подготовке организационно-распорядительных документов на объект информатизации

Аттестация на соответствие требованиям

по защите конфиденциальной информации и информации, содержащей сведения, составляющие государственную тайну

Сопровождение аттестованных объектов информатизации

в течение всего срока эксплуатации

Собственная производственно-техническая база

использование современной контрольно-измерительной аппаратуры

Собственная аттестованная измерительная площадка

для проведения спецпроверок и специсследований технических средств

Опыт проведения работ

на объектах различной степени сложности, на всей территории РФ

НАШИ ЛИЦЕНЗИИ

На осуществление выявления устройств, предназначенных для негласного получения информации


На деятельность по технической защите конфиденциальной информации


Лицензия на осуществление мероприятий или оказания услуг в области защиты гостайны


Лицензия на осуществление мероприятий или оказания услуг в области защиты гостайны


Лицензия на осуществление работ, с использованием сведений, составляющих гостайну


Аттестат аккредитации органа по аттестации (ФСТЭК)для проведения аттестации объектов информатизации


ЭТАПЫ РАБОТ

ПЕРВЫЙ ЭТАП

Осмотр и исследования, при помощи которых происходит обработка закрытой информации или контроль инструментов звуковой безопасности ограждения выделенного помещения.

ВТОРОЙ ЭТАП

Проведение специальных исследований объектов, всех технических средств, проводных коммуникаций, средств программных информационных систем и в том числе спецпроверки технических средств зарубежного производителя.

ТРЕТИЙ ЭТАП

Комплексные работы по испытанию оборудования и систем, проверяемого объекта, проверка на соответствие требованиям по защите информации, оформление отчетной документации и выпуск аттестата соответствия.

3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 2 августа 2018 г. № 447-ст

4. Введен впервые

1. Область применения

Настоящий стандарт устанавливает обязательные требования к органам по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также к организациям, претендующим на аккредитацию в качестве органа по аттестации.

2. Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922 Защита информации. Основные термины и определения

3. Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1. аккредитация органа по аттестации объектов информатизации: Официальное признание уполномоченным федеральным органом исполнительной власти компетентности юридического лица выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.2. аттестация объектов информатизации: Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

объект информатизации; ОИ: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
[ГОСТ Р 51275-2006, статья 3.1]

3.4. орган по аттестации объектов информатизации: Юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.5. уполномоченные федеральные органы исполнительной власти: Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации.

4. Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

АС – автоматизированная система;

БИ – безопасность информации;

НСД – несанкционированный доступ;

ОИ – объект информатизации;

ФОИВ – федеральный орган исполнительной власти.

5. Общие требования к органам по аттестации объектов информатизации

Орган по аттестации ОИ и организация, претендующая на аккредитацию в качестве органа по аттестации ОИ, должны удовлетворять следующим обязательным требованиям к наличию:

– документов, определяющих порядок и правила выполнения работ по аттестации ОИ;

– помещений, предназначенных для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ;

– средств измерений и испытаний, необходимых для выполнения работ по аттестации ОИ;

– работников, имеющих соответствующую квалификацию, стаж работы, знания и навыки;

– лицензий, необходимых для выполнения работ по аттестации ОИ;

– ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;

– организационно-распорядительной документации, определяющей задачи, функции, обязанности, права и ответственность органа по аттестации.

6. Требования к органам по аттестации объектов информатизации

6.1. Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации

Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.

Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.

6.2. Требования к наличию помещений

Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

6.3. Требования к наличию средств измерений и испытаний

Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.

Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.

Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.

Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.

6.4. Требования к наличию работников и их квалификации

Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.

Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:

– руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:

или иное высшее профессиональное* образование и не менее 10 лет стажа работы в области аттестации ОИ;

* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

– не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:

* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).

Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.

6.5. Требования к наличию лицензий

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

6.6. Требования к наличию объектов информатизации

Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

6.7. Требования к наличию организационно-распорядительной документации

Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.

Типовое положение об органе по аттестации ОИ приведено в приложении А.

К Положению об органе по аттестации ОИ прилагаются:

– перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);

– перечень имеющихся у органа по аттестации ОИ средств измерений, испытательного оборудования и программных (программно-аппаратных) средств, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.3, 6.6);

– перечень имеющихся у органа по аттестации ОИ работников, привлекаемых для выполнения работ по аттестации ОИ (согласно должностным инструкциям в соответствии с требованиями 6.4).

Указанные перечни оформляются в соответствии с правилами лицензирования на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

В ходе аккредитации по заявлению юридического лица, претендующего на выполнение работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, уполномоченным ФОИВ производится:

– оценка соответствия заявителя всем обязательным требованиям аккредитации, перечисленным в разделе 5;

– принятие решения по результатам оценки соответствия заявителя требованиям аккредитации.

Читайте также: