ВСЕ ЗАКОНОДАТЕЛЬСТВО УЗБЕКИСТАНА
Законодательство РУз / Информация. Информатизация. Связь / Информатизация. Развитие телекоммуникаций /Типовое положение об органах по аттестации объектов информатизации (Утверждено Приказом председателя СНБ от 12.05.2014 г. N 47, зарегистрированным МЮ 21.05.2014 г. N 2587)
Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172
ПРИЛОЖЕНИЕ
к Приказу председателя СНБ
от 12.05.2014 г. N 47,
зарегистрированному МЮ
21.05.2014 г. N 2587
ТИПОВОЕ ПОЛОЖЕНИЕ
об органах по аттестации объектов
информатизации
Настоящее Типовое положение в соответствии с постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572 "О дополнительных мерах по защите национальных информационных ресурсов" и Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296, устанавливает общие требования к органам по аттестации объектов информатизации (далее - органы по аттестации), их типовую структуру, задачи и функции, права, обязанности и ответственность в области информационной безопасности объектов информатизации.
1. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от воздействия компьютерных атак и утечки информации по техническим каналам.
2. Органы по аттестации являются составной частью организационной структуры системы аттестации объектов информатизации в соответствии с требованиями информационной безопасности.
3. Согласно Положению об аттестации объектов информатизации в соответствии с требованиями информационной безопасности, утвержденному постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572, органами по аттестации являются организации различных форм собственности, имеющие разрешение Службы национальной безопасности Республики Узбекистан (далее - Уполномоченный орган) на проведение определенных видов работ по аттестации объектов информатизации, выдаваемое в порядке, установленном Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296. Разрешение выдается на срок не более пяти лет.
4. Органы по аттестации в своей деятельности руководствуются нормативно-правовыми актами и иными актами, регламентирующими требования информационной безопасности в Республике Узбекистан, а также настоящим Типовым положением.
Орган по аттестации на основе настоящего Типового положения разрабатывает и утверждает внутреннее положение о своей деятельности в области аттестации объектов информатизации в соответствии с требованиями информационной безопасности.
Органы по аттестации во взаимодействии с Уполномоченным органом разрабатывают и утверждают документы, регламентирующие порядок проведения аттестации объектов информатизации.
5. Стоимость и порядок оплаты работ за проведение аттестации определяются в соответствии с законодательством. Оплата за проведение аттестации производится за счет заявителя.
ОРГАНА ПО АТТЕСТАЦИИ
6. Орган по аттестации должен быть юридическим лицом Республики Узбекистан, располагать подготовленными специалистами, испытательной базой, нормативно-правовыми актами и иными документами, необходимыми для проведения всего комплекса работ.
7. Орган по аттестации должен иметь в штате специалистов, прошедших специальную подготовку в области информационной безопасности и защиты информации, отдельная категория из которых имеет оформленный в установленном законодательством порядке допуск к государственным секретам.
Сотрудники органа по аттестации осуществляют свою деятельность в соответствии с законодательством и должностными инструкциями.
И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ
8. Основными задачами органов по аттестации являются организация и проведение аттестации объектов информатизации на соответствие требованиям информационной безопасности.
9. Органы по аттестации, в пределах своей компетенции, осуществляют следующие функции:
рассматривают заявки на аттестацию объектов информатизации, планируют работы по аттестации объектов информатизации, доводят сроки проведения аттестации до сведения заявителей;
проводят анализ исходных данных по аттестуемым объектам, определяют схему и методики проведения аттестации, решают вопросы о необходимости проведения испытаний используемой на объекте несертифицированной продукции (аппаратной, программной и аппаратно-программной) в испытательных лабораториях (центрах);
разрабатывают программы проведения аттестационных обследований объектов информатизации;
организуют работы по аттестации объектов информатизации;
командируют экспертные группы на удаленные объекты информатизации;
при необходимости, на договорной основе привлекают специалистов и оборудование других органов по аттестации;
рассматривают результаты аттестационных испытаний объекта информатизации и протоколы испытательных лабораторий, утверждают заключения по результатам аттестации и выдают заявителю Аттестат соответствия объекта информатизации требованиям информационной безопасности (далее - Аттестат соответствия);
ведут учет аттестованных объектов информатизации, на основе выданных ими Аттестатов соответствия;
формируют фонд нормативно-правовых актов и иных документов, необходимых для аттестации конкретных типов объектов информатизации, и при необходимости участвуют в их разработке;
осуществляют взаимодействие с Уполномоченным органом и в установленном порядке информируют его о ходе своей деятельности в области аттестации объектов информатизации.
ГЛАВА 4. ДЕЯТЕЛЬНОСТЬ ЭКСПЕРТНЫХ ГРУПП
10. Экспертные группы формируются органом по аттестации из числа штатных сотрудников, с учетом обеспечения качественного проведения аттестации объекта информатизации, с целью оценки его соответствия требуемому уровню информационной безопасности.
11. При необходимости, в состав экспертной группы могут включаться специалисты других органов по аттестации.
12. В состав экспертных групп включаются специалисты, компетентные в соответствующем направлении защиты информации, имеющие опыт научно-практической деятельности, не участвующие непосредственно в деятельности заявителей.
И ОТВЕТСТВЕННОСТЬ ОРГАНА
ПО АТТЕСТАЦИИ
13. Орган по аттестации имеет право:
привлекать для работы наиболее компетентных специалистов;
устанавливать сроки, договорные цены на проведение аттестации, условия взаиморасчетов и порядок взаимодействия в соответствии с законодательством;
отказывать заявителю в аттестации объекта информатизации, при наличии обоснованных мотивов;
приобретать, в соответствии с рекомендациями Уполномоченного органа, специальное оборудование для проведения аттестационных работ;
иметь в своей структуре испытательные лаборатории (центры).
14. Орган по аттестации обязан:
соблюдать установленные правила и порядок аттестации в соответствии с требованиями информационной безопасности;
организовывать и проводить аттестацию объектов информатизации в сроки, установленные договором с заявителем;
обеспечивать полноту и объективность проведения аттестации объектов информатизации;
обеспечивать конфиденциальность информации ограниченного доступа заявителя, ставшей доступной в процессе проведения аттестации объекта информатизации;
вести учет аттестованных объектов информатизации;
по окончании аттестационных работ в десятидневный срок уведомлять Уполномоченный орган о выдаче Аттестата соответствия или отказе в его выдаче;
своевременно предоставлять в Уполномоченный орган информацию о своей деятельности (сроки и формы отчетности определяются Уполномоченным органом);
предоставлять представителям Уполномоченного органа информацию, необходимую для осуществления ими контроля за соблюдением требований информационной безопасности на аттестованных объектах информатизации.
15. Орган по аттестации несет ответственность за:
несоответствие проведенных им аттестационных испытаний объекта информатизации требованиям нормативно-правовых актов и нормативных документов по стандартизации в области информационной безопасности, а также достоверность и объективность их результатов;
полноту и качество выполнения возложенных на него функций и обязанностей;
квалификацию привлекаемых для аттестации специалистов;
несоблюдение требований нормативно-правовых актов и иных документов, регламентирующих процедуру проведения аттестации;
несоблюдение сроков и условий проведения аттестации, определенных договором;
разглашение принадлежащей заявителю информации ограниченного доступа, полученной в период проведения аттестации;
нецелевое использование специального оборудования, приобретенного для проведения работ по аттестации объектов информатизации.
16. В случае выявления Уполномоченным органом нарушений органом по аттестации требований нормативно-правовых актов и нормативных документов по стандартизации в области информационной безопасности, а также методики проведения аттестации, приведших к необходимости проведения повторной аттестации, орган по аттестации осуществляет повторную аттестацию за свой счет.
ГЛАВА 6. ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ
17. Настоящее Типовое положение согласовано с Государственным комитетом связи, информатизации и телекоммуникационных технологий Республики Узбекистан.
"Собрание законодательства Республики Узбекистан",
26 мая 2014 г., N 21, ст. 250