язык интерфейса

Законодательство РУз

Законодательство РУз/ Информация. Информатизация. Связь/ Информатизация. Развитие телекоммуникаций/ Положение о порядке осуществления контроля за деятельностью Органов по аттестации объектов информатизации и выполнением требований по информационной безопасности на аттестованных объектах информатизации (Утверждено Приказом председателя СНБ от 12.05.2014 г. N 46, зарегистрированным МЮ 21.05.2014 г. N 2588)

Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172

ПРИЛОЖЕНИЕ

к Приказу председателя СНБ

от 12.05.2014 г. N 46,

зарегистрированному МЮ

21.05.2014 г. N 2588



ПОЛОЖЕНИЕ

о порядке осуществления контроля

за деятельностью Органов по аттестации объектов

информатизации и выполнением требований

по информационной безопасности

на аттестованных объектах

информатизации


Настоящее Положение в соответствии с постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572 "О дополнительных мерах по защите национальных информационных ресурсов" и Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296, определяет порядок осуществления контроля за деятельностью Органов по аттестации объектов информатизации (далее - Орган по аттестации), а также выполнением требований по информационной безопасности на аттестованных объектах информатизации.



ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ


1. Контроль осуществляется в отношении:

деятельности Органов по аттестации;

аттестованных объектов информатизации (далее - объектов информатизации).

Контроль осуществляется в соответствии с законодательством о государственном контроле деятельности хозяйствующих субъектов, а также настоящим Положением.


2. Все работы, связанные с проведением контроля, осуществляются на безвозмездной основе.


3. В соответствии с Положением об аттестации объектов информатизации в соответствии с требованиями информационной безопасности, утвержденным постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572, контроль возложен на Службу национальной безопасности Республики Узбекистан (далее - Уполномоченный орган).



ГЛАВА 2. ВИДЫ И ПОРЯДОК

ПРОВЕДЕНИЯ КОНТРОЛЯ


4. Проверки соблюдения требований, предъявляемых к Органам по аттестации и объектам информатизации, проводящиеся в рамках контроля, подразделяются на плановые и внеплановые, в т. ч. проверки в порядке контроля.


5. В процессе проведения плановых и внеплановых проверок изучается деятельность Органов по аттестации и объектов информатизации, непосредственно связанная с обработкой информации ограниченного доступа.


6. Результаты плановых и внеплановых проверок оформляются актами. По итогам проверок, проводимых в порядке контроля, составляются акты или справки. Форма актов (справок) произвольная, однако в них обязательно должны присутствовать описательная часть, выводы и требования по устранению выявленных нарушений. Результаты проверки доводятся до руководства проверяемой организации. Копия акта (справки) проверки направляется в вышестоящую организацию (при наличии).


7. Плановые проверки проводятся в отношении:

Органов по аттестации - не чаще одного раза в течение срока действия Разрешения на проведение работ по аттестации объектов информатизации (далее - Разрешение);

объектов информатизации - не чаще одного раза в течение действия Аттестата соответствия объекта информатизации требованиям информационной безопасности (далее - Аттестат соответствия).


8. Внеплановые проверки проводятся в случае поступления сведений о фактах нарушения требований нормативно-правовых актов или нормативных документов по стандартизации в области информационной безопасности.


9. В случае выявления недостатков и нарушений в процессе плановых и внеплановых проверок, проводятся проверки в порядке контроля в целях установления факта устранения выявленных недостатков и нарушений.


10. При осуществлении контроля за деятельностью Органа по аттестации проверяется:

выполнение функций и соблюдение требований, предусмотренных законодательством, в том числе Типовым положением об органах по аттестации объектов информатизации (рег. N 2587 от 21 мая 2014 года);

наличие, правильность ведения и хранения фонда нормативно-правовых актов и иных документов по разрешенной деятельности;

квалификация штатного состава сотрудников, наличие должностных инструкций, знание сотрудниками своих прав и обязанностей, требований нормативно-правовых актов и иных документов в области информационной безопасности и защиты информации (в том числе с проверкой практических навыков);

периодичность прохождения сотрудниками курсов повышения квалификации;

соблюдение правил приема и рассмотрения заявок на аттестацию;

взаимодействие с заявителями при проведении аттестации объектов информатизации;

правильность организации и проведения работ по аттестации объектов информатизации;

правильность оформления и своевременность подготовки протоколов и результатов испытаний;

правильность оформления и своевременность выдачи Аттестата соответствия;

своевременность и качество предоставления сведений в Уполномоченный орган;

своевременность проведения поверок измерительной техники, применяемой для аттестации;

выполнение требований по соблюдению сохранности конфиденциальной информации, ставшей доступной им в процессе проведения аттестации;

эффективность принятых мер и полнота выполнения предложений (рекомендаций) или требований предыдущей экспертной комиссии.


11. Уполномоченный орган в установленном законодательством порядке может прекратить или приостановить действие Разрешения Органа по аттестации в случаях:

ненадлежащего выполнения функций и несоблюдения обязанностей, предусмотренных положением об Органе по аттестации;

несоответствия квалификации штатного состава сотрудников предъявляемым требованиям;

невыполнения в установленные сроки предложений по устранению недостатков;

неоднократного нарушения правил и процедур аттестации объектов информатизации.


12. Контроль за соблюдением требований информационной безопасности на объектах информатизации включает в себя проведение следующих работ:

анализ поступающих сведений о выполнении требований по защите информации сотрудниками аттестованного объекта;

при необходимости, проведение испытаний (технических исследований) и анализ их результатов;

оформление результатов контроля и принятие решения.


13. По результатам проверки Уполномоченный орган в установленном законодательством порядке вправе прекратить или приостановить действие Аттестата соответствия в следующих случаях:

несоответствия результатов испытаний (технических исследований), в сторону ухудшения, требованиям по информационной безопасности и ранее полученным результатам;

несоблюдения объектом информатизации требований нормативно-правовых актов и иных актов в области информационной безопасности;

нарушения Органом по аттестации, выдавшим Аттестат соответствия, методик проведения испытаний, существенно влияющих на состояние защищенности объекта информатизации.



ГЛАВА 3. ПРАВА И ОБЯЗАННОСТИ

КОНТРОЛИРУЮЩЕГО ОРГАНА


14. В целях осуществления контроля при Уполномоченном органе создаются экспертные комиссии, осуществляющие функции рабочего органа Уполномоченного органа.

Деятельность экспертной комиссии регламентируется Положением об экспертной комиссии Уполномоченного органа.


15. Экспертные комиссии Уполномоченного органа в пределах своей компетенции имеют право:

знакомиться с деятельностью проверяемого объекта, непосредственно связанной с обработкой информации ограниченного доступа;

проводить оценку деятельности испытательных лабораторий (центров), не входящих в структуру Органов по аттестации, но привлекаемых к проведению аттестационных работ;

при выявлении нарушений давать обязательные для выполнения требования, которые излагаются в акте (справке) проверки Органа по аттестации или аттестованного объекта информатизации, с указанием сроков их выполнения;

приостанавливать отдельные операции, связанные с обработкой информации ограниченного доступа на объекте информатизации, не влекущие за собой приостановление деятельности организации, в случаях выявления нарушений требований законодательства, способствующих возникновению каналов утечки защищаемой информации;

вносить в Уполномоченный орган предложения о прекращении или приостановлении действия Разрешения, выданного Органу по аттестации или Аттестата соответствия аттестованного объекта информатизации, в случаях невыполнения установленных законодательством требований по аттестации объектов информатизации.


16. Экспертные комиссии Уполномоченного органа обязаны:

осуществлять контроль в сроки, определенные законодательством;

обеспечивать проведение контроля в соответствии с нормативно-правовыми актами и иными документами в области информационной безопасности;

принимать меры, предусмотренные законодательством, в том числе настоящим Положением, в случаях выявления нарушений, существенно влияющих на состояние защищенности объекта информатизации;

обеспечивать конфиденциальность информации, ставшей известной в процессе осуществления контроля.



ГЛАВА 4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ


17. Лица, виновные в нарушении настоящего Положения, несут ответственность в порядке, установленном законодательством.


18. Настоящее Положение согласовано с Государственным комитетом связи, информатизации и телекоммуникационных технологий Республики Узбекистан.



"Собрание законодательства Республики Узбекистан",

26 мая 2014 г., N 21, ст. 251