ВСЕ ЗАКОНОДАТЕЛЬСТВО УЗБЕКИСТАНА
Законодательство РУз / Информация. Информатизация. Связь / Информатизация. Развитие телекоммуникаций /Положение о порядке осуществления контроля за деятельностью Органов по аттестации объектов информатизации и выполнением требований по информационной безопасности на аттестованных объектах информатизации (Утверждено Приказом председателя СНБ от 12.05.2014 г. N 46, зарегистрированным МЮ 21.05.2014 г. N 2588)
Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172
ПРИЛОЖЕНИЕ
к Приказу председателя СНБ
от 12.05.2014 г. N 46,
зарегистрированному МЮ
21.05.2014 г. N 2588
ПОЛОЖЕНИЕ
о порядке осуществления контроля
за деятельностью Органов по аттестации объектов
информатизации и выполнением требований
по информационной безопасности
на аттестованных объектах
информатизации
Настоящее Положение в соответствии с постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572 "О дополнительных мерах по защите национальных информационных ресурсов" и Положением о порядке выдачи разрешения на проведение работ по аттестации объектов информатизации, утвержденным постановлением Кабинета Министров от 7 ноября 2011 года N 296, определяет порядок осуществления контроля за деятельностью Органов по аттестации объектов информатизации (далее - Орган по аттестации), а также выполнением требований по информационной безопасности на аттестованных объектах информатизации.
1. Контроль осуществляется в отношении:
деятельности Органов по аттестации;
аттестованных объектов информатизации (далее - объектов информатизации).
Контроль осуществляется в соответствии с законодательством о государственном контроле деятельности хозяйствующих субъектов, а также настоящим Положением.
2. Все работы, связанные с проведением контроля, осуществляются на безвозмездной основе.
3. В соответствии с Положением об аттестации объектов информатизации в соответствии с требованиями информационной безопасности, утвержденным постановлением Президента Республики Узбекистан от 8 июля 2011 года N ПП-1572, контроль возложен на Службу национальной безопасности Республики Узбекистан (далее - Уполномоченный орган).
ПРОВЕДЕНИЯ КОНТРОЛЯ
4. Проверки соблюдения требований, предъявляемых к Органам по аттестации и объектам информатизации, проводящиеся в рамках контроля, подразделяются на плановые и внеплановые, в т. ч. проверки в порядке контроля.
5. В процессе проведения плановых и внеплановых проверок изучается деятельность Органов по аттестации и объектов информатизации, непосредственно связанная с обработкой информации ограниченного доступа.
6. Результаты плановых и внеплановых проверок оформляются актами. По итогам проверок, проводимых в порядке контроля, составляются акты или справки. Форма актов (справок) произвольная, однако в них обязательно должны присутствовать описательная часть, выводы и требования по устранению выявленных нарушений. Результаты проверки доводятся до руководства проверяемой организации. Копия акта (справки) проверки направляется в вышестоящую организацию (при наличии).
7. Плановые проверки проводятся в отношении:
Органов по аттестации - не чаще одного раза в течение срока действия Разрешения на проведение работ по аттестации объектов информатизации (далее - Разрешение);
объектов информатизации - не чаще одного раза в течение действия Аттестата соответствия объекта информатизации требованиям информационной безопасности (далее - Аттестат соответствия).
8. Внеплановые проверки проводятся в случае поступления сведений о фактах нарушения требований нормативно-правовых актов или нормативных документов по стандартизации в области информационной безопасности.
9. В случае выявления недостатков и нарушений в процессе плановых и внеплановых проверок, проводятся проверки в порядке контроля в целях установления факта устранения выявленных недостатков и нарушений.
10. При осуществлении контроля за деятельностью Органа по аттестации проверяется:
выполнение функций и соблюдение требований, предусмотренных законодательством, в том числе Типовым положением об органах по аттестации объектов информатизации (рег. N 2587 от 21 мая 2014 года);
наличие, правильность ведения и хранения фонда нормативно-правовых актов и иных документов по разрешенной деятельности;
квалификация штатного состава сотрудников, наличие должностных инструкций, знание сотрудниками своих прав и обязанностей, требований нормативно-правовых актов и иных документов в области информационной безопасности и защиты информации (в том числе с проверкой практических навыков);
периодичность прохождения сотрудниками курсов повышения квалификации;
соблюдение правил приема и рассмотрения заявок на аттестацию;
взаимодействие с заявителями при проведении аттестации объектов информатизации;
правильность организации и проведения работ по аттестации объектов информатизации;
правильность оформления и своевременность подготовки протоколов и результатов испытаний;
правильность оформления и своевременность выдачи Аттестата соответствия;
своевременность и качество предоставления сведений в Уполномоченный орган;
своевременность проведения поверок измерительной техники, применяемой для аттестации;
выполнение требований по соблюдению сохранности конфиденциальной информации, ставшей доступной им в процессе проведения аттестации;
эффективность принятых мер и полнота выполнения предложений (рекомендаций) или требований предыдущей экспертной комиссии.
11. Уполномоченный орган в установленном законодательством порядке может прекратить или приостановить действие Разрешения Органа по аттестации в случаях:
ненадлежащего выполнения функций и несоблюдения обязанностей, предусмотренных положением об Органе по аттестации;
несоответствия квалификации штатного состава сотрудников предъявляемым требованиям;
невыполнения в установленные сроки предложений по устранению недостатков;
неоднократного нарушения правил и процедур аттестации объектов информатизации.
12. Контроль за соблюдением требований информационной безопасности на объектах информатизации включает в себя проведение следующих работ:
анализ поступающих сведений о выполнении требований по защите информации сотрудниками аттестованного объекта;
при необходимости, проведение испытаний (технических исследований) и анализ их результатов;
оформление результатов контроля и принятие решения.
13. По результатам проверки Уполномоченный орган в установленном законодательством порядке вправе прекратить или приостановить действие Аттестата соответствия в следующих случаях:
несоответствия результатов испытаний (технических исследований), в сторону ухудшения, требованиям по информационной безопасности и ранее полученным результатам;
несоблюдения объектом информатизации требований нормативно-правовых актов и иных актов в области информационной безопасности;
нарушения Органом по аттестации, выдавшим Аттестат соответствия, методик проведения испытаний, существенно влияющих на состояние защищенности объекта информатизации.
КОНТРОЛИРУЮЩЕГО ОРГАНА
14. В целях осуществления контроля при Уполномоченном органе создаются экспертные комиссии, осуществляющие функции рабочего органа Уполномоченного органа.
Деятельность экспертной комиссии регламентируется Положением об экспертной комиссии Уполномоченного органа.
15. Экспертные комиссии Уполномоченного органа в пределах своей компетенции имеют право:
знакомиться с деятельностью проверяемого объекта, непосредственно связанной с обработкой информации ограниченного доступа;
проводить оценку деятельности испытательных лабораторий (центров), не входящих в структуру Органов по аттестации, но привлекаемых к проведению аттестационных работ;
при выявлении нарушений давать обязательные для выполнения требования, которые излагаются в акте (справке) проверки Органа по аттестации или аттестованного объекта информатизации, с указанием сроков их выполнения;
приостанавливать отдельные операции, связанные с обработкой информации ограниченного доступа на объекте информатизации, не влекущие за собой приостановление деятельности организации, в случаях выявления нарушений требований законодательства, способствующих возникновению каналов утечки защищаемой информации;
вносить в Уполномоченный орган предложения о прекращении или приостановлении действия Разрешения, выданного Органу по аттестации или Аттестата соответствия аттестованного объекта информатизации, в случаях невыполнения установленных законодательством требований по аттестации объектов информатизации.
16. Экспертные комиссии Уполномоченного органа обязаны:
осуществлять контроль в сроки, определенные законодательством;
обеспечивать проведение контроля в соответствии с нормативно-правовыми актами и иными документами в области информационной безопасности;
принимать меры, предусмотренные законодательством, в том числе настоящим Положением, в случаях выявления нарушений, существенно влияющих на состояние защищенности объекта информатизации;
обеспечивать конфиденциальность информации, ставшей известной в процессе осуществления контроля.
ГЛАВА 4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
17. Лица, виновные в нарушении настоящего Положения, несут ответственность в порядке, установленном законодательством.
18. Настоящее Положение согласовано с Государственным комитетом связи, информатизации и телекоммуникационных технологий Республики Узбекистан.
"Собрание законодательства Республики Узбекистан",
26 мая 2014 г., N 21, ст. 251