Типовое положение об органах по аттестации объектов информатизации (Утверждено Приказом председателя СНБ от 12.05.2014 г. N 47, зарегистрированным МЮ 21.05.2014 г. N 2587)

Функция недоступна

ПРИЛОЖЕНИЕ

к Приказу председателя СНБ

от 12.05.2014 г. N 47,

зарегистрированному МЮ

21.05.2014 г. N 2587

ТИПОВОЕ ПОЛОЖЕНИЕ

об органах по аттестации объектов

информатизации

Настоящее Типовое положение в соответствии с постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572 "О дополнительных мерах по защите национальных информационных ресурсов" и Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296, устанавливает общие требования к органам по аттестации объектов информатизации (далее - органы по аттестации), их типовую структуру, задачи и функции, права, обязанности и ответственность в области информационной безопасности объектов информатизации.

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от воздействия компьютерных атак и утечки информации по техническим каналам.

2. Органы по аттестации являются составной частью организационной структуры системы аттестации объектов информатизации в соответствии с требованиями информационной безопасности.

3. Согласно Положению об аттестации объектов информатизации в соответствии с требованиями информационной безопасности, утвержденному постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572, органами по аттестации являются организации различных форм собственности, имеющие разрешение Службы национальной безопасности Республики Узбекистан (далее - Уполномоченный орган) на проведение определенных видов работ по аттестации объектов информатизации, выдаваемое в порядке, установленном Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296. Разрешение выдается на срок не более пяти лет.

4. Органы по аттестации в своей деятельности руководствуются нормативно-правовыми актами и иными актами, регламентирующими требования информационной безопасности в Республике Узбекистан, а также настоящим Типовым положением.

Орган по аттестации на основе настоящего Типового положения разрабатывает и утверждает внутреннее положение о своей деятельности в области аттестации объектов информатизации в соответствии с требованиями информационной безопасности.

Органы по аттестации во взаимодействии с Уполномоченным органом разрабатывают и утверждают документы, регламентирующие порядок проведения аттестации объектов информатизации.

5. Стоимость и порядок оплаты работ за проведение аттестации определяются в соответствии с законодательством. Оплата за проведение аттестации производится за счет заявителя.

ГЛАВА 2. ТИПОВАЯ СТРУКТУРА

ОРГАНА ПО АТТЕСТАЦИИ

6. Орган по аттестации должен быть юридическим лицом Республики Узбекистан, располагать подготовленными специалистами, испытательной базой, нормативно-правовыми актами и иными документами, необходимыми для проведения всего комплекса работ.

7. Орган по аттестации должен иметь в штате специалистов, прошедших специальную подготовку в области информационной безопасности и защиты информации, отдельная категория из которых имеет оформленный в установленном законодательством порядке допуск к государственным секретам.

Сотрудники органа по аттестации осуществляют свою деятельность в соответствии с законодательством и должностными инструкциями.

ГЛАВА 3. ОСНОВНЫЕ ЗАДАЧИ

И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ

8. Основными задачами органов по аттестации являются организация и проведение аттестации объектов информатизации на соответствие требованиям информационной безопасности.

9. Органы по аттестации, в пределах своей компетенции, осуществляют следующие функции:

рассматривают заявки на аттестацию объектов информатизации, планируют работы по аттестации объектов информатизации, доводят сроки проведения аттестации до сведения заявителей;

проводят анализ исходных данных по аттестуемым объектам, определяют схему и методики проведения аттестации, решают вопросы о необходимости проведения испытаний используемой на объекте несертифицированной продукции (аппаратной, программной и аппаратно-программной) в испытательных лабораториях (центрах);

разрабатывают программы проведения аттестационных обследований объектов информатизации;

организуют работы по аттестации объектов информатизации;

командируют экспертные группы на удаленные объекты информатизации;

при необходимости, на договорной основе привлекают специалистов и оборудование других органов по аттестации;

рассматривают результаты аттестационных испытаний объекта информатизации и протоколы испытательных лабораторий, утверждают заключения по результатам аттестации и выдают заявителю Аттестат соответствия объекта информатизации требованиям информационной безопасности (далее - Аттестат соответствия);

ведут учет аттестованных объектов информатизации, на основе выданных ими Аттестатов соответствия;

формируют фонд нормативно-правовых актов и иных документов, необходимых для аттестации конкретных типов объектов информатизации, и при необходимости участвуют в их разработке;

осуществляют взаимодействие с Уполномоченным органом и в установленном порядке информируют его о ходе своей деятельности в области аттестации объектов информатизации.

ГЛАВА 4. ДЕЯТЕЛЬНОСТЬ ЭКСПЕРТНЫХ ГРУПП

10. Экспертные группы формируются органом по аттестации из числа штатных сотрудников, с учетом обеспечения качественного проведения аттестации объекта информатизации, с целью оценки его соответствия требуемому уровню информационной безопасности.

11. При необходимости, в состав экспертной группы могут включаться специалисты других органов по аттестации.

12. В состав экспертных групп включаются специалисты, компетентные в соответствующем направлении защиты информации, имеющие опыт научно-практической деятельности, не участвующие непосредственно в деятельности заявителей.

ГЛАВА 5. ПРАВА, ОБЯЗАННОСТИ

И ОТВЕТСТВЕННОСТЬ ОРГАНА

ПО АТТЕСТАЦИИ

13. Орган по аттестации имеет право:

привлекать для работы наиболее компетентных специалистов;

устанавливать сроки, договорные цены на проведение аттестации, условия взаиморасчетов и порядок взаимодействия в соответствии с законодательством;

отказывать заявителю в аттестации объекта информатизации, при наличии обоснованных мотивов;

приобретать, в соответствии с рекомендациями Уполномоченного органа, специальное оборудование для проведения аттестационных работ;

иметь в своей структуре испытательные лаборатории (центры).

14. Орган по аттестации обязан:

соблюдать установленные правила и порядок аттестации в соответствии с требованиями информационной безопасности;

организовывать и проводить аттестацию объектов информатизации в сроки, установленные договором с заявителем;

обеспечивать полноту и объективность проведения аттестации объектов информатизации;

обеспечивать конфиденциальность информации ограниченного доступа заявителя, ставшей доступной в процессе проведения аттестации объекта информатизации;

вести учет аттестованных объектов информатизации;

по окончании аттестационных работ в десятидневный срок уведомлять Уполномоченный орган о выдаче Аттестата соответствия или отказе в его выдаче;

своевременно предоставлять в Уполномоченный орган информацию о своей деятельности (сроки и формы отчетности определяются Уполномоченным органом);

предоставлять представителям Уполномоченного органа информацию, необходимую для осуществления ими контроля за соблюдением требований информационной безопасности на аттестованных объектах информатизации.

15. Орган по аттестации несет ответственность за:

несоответствие проведенных им аттестационных испытаний объекта информатизации требованиям нормативно-правовых актов и нормативных документов по стандартизации в области информационной безопасности, а также достоверность и объективность их результатов;

полноту и качество выполнения возложенных на него функций и обязанностей;

квалификацию привлекаемых для аттестации специалистов;

несоблюдение требований нормативно-правовых актов и иных документов, регламентирующих процедуру проведения аттестации;

несоблюдение сроков и условий проведения аттестации, определенных договором;

разглашение принадлежащей заявителю информации ограниченного доступа, полученной в период проведения аттестации;

нецелевое использование специального оборудования, приобретенного для проведения работ по аттестации объектов информатизации.

16. В случае выявления Уполномоченным органом нарушений органом по аттестации требований нормативно-правовых актов и нормативных документов по стандартизации в области информационной безопасности, а также методики проведения аттестации, приведших к необходимости проведения повторной аттестации, орган по аттестации осуществляет повторную аттестацию за свой счет.

ГЛАВА 6. ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ

17. Настоящее Типовое положение согласовано с Государственным комитетом связи, информатизации и телекоммуникационных технологий Республики Узбекистан.

"Собрание законодательства Республики Узбекистан",

26 мая 2014 г., N 21, ст. 250