Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 37 / 0 | Длительность: 13:24:00
Лекция 9:

Государственный контроль (надзор) за соблюдением порядка аттестации и эксплуатацией аттестованных объектов информатизации

Аннотация: Принципы осуществления государственного контроля за соблюдением порядка аттестации и эксплуатацией аттестованных объектов информатизации.

Государственный контроль (надзор) за соблюдением порядка аттестации и эксплуатацией аттестованных объектов информатизации

Цель: понимание функционала ФСТЭК России при проведении государственного контроля, ознакомление с материалами по контролю, ежегодно выпускаемыми ФСТЭК России.

Государственный контроль и надзор за соблюдением порядка аттестации объектов информатизации осуществляется ФСТЭК России, как в процессе, так и после проведения аттестации. Государственный контроль и надзор за эксплуатацией аттестованных объектов информатизации осуществляется периодически в соответствии с планами работы по контролю и надзору.

ФСТЭК России может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации в соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

Государственный контроль и надзор за соблюдением порядка аттестации объектов информатизации включает в себя:

  • проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации;
  • проверку правильности подготовки органами по аттестации отчетных документов и протоколов испытаний;
  • своевременное внесение изменений в нормативные и методические документы по безопасности информации;
  • инспекционный контроль за эксплуатацией аттестованных объектов информатизации.

В том случае, если при проведении ФСТЭК России инспекционного контроля и надзора на аттестованном объекте информатизации будут выявлены грубые нарушения требований нормативно-правовых актов и нормативно-методических документов по защите информации, допущенные органом по аттестации, он может быть лишен лицензии на право проведения работ по аттестации объектов информатизации.

В случае если при проведении ФСТЭК России или уполномоченным органом периодической проверки состояния защищенности аттестованного объекта информатизации будут выявлены нарушения правил эксплуатации аттестованных объектов информатизации, технологий обработки информации или требований по безопасности информации, допущенные владельцем объекта информатизации, действие "Аттестата соответствия.." на такой объект информатизации может быть приостановлено или аннулировано. В этом случае, в "Аттестате соответствия…" делается соответствующая запись, а орган, осуществлявший контроль извещает о приостановке "Аттестата соответствия…" орган по аттестации, выдавший "Аттестат соответствия…", а также ФСТЭК России.

Решение об аннулировании "Аттестата соответствия…" принимается в случае, когда во время проведения контроля необходимый уровень безопасности информации не может быть восстановлен, даже путем принятия оперативных организационных или технических мер.

В случае, когда действия (или бездействие) органа по аттестации, связанные с грубым нарушением установленных требований по защите информации, привели к необходимости проведения повторной аттестации объекта информатизации заявителя, расходы по проведению таких работ могут быть возложены на орган по аттестации.

Также владелец объекта информатизации имеет право обратиться во ФСТЭК России с целью проведения оценки правильности выполнения норм и требований по защите его информации на объекте информатизации.

Расходы ФСТЭК России по осуществлению контроля и надзора за соблюдением порядка аттестации и эксплуатацией аттестованных объектов, оплачиваются органом надзора из средств госбюджета, выделенных ему для этих целей.

Следует отметить, что ФСТЭК России ежегодно публикует на официальном сайте доклад об осуществлении государственного контроля в соответствующих сферах деятельности и об эффективности такого контроля.

Для информации, в докладе ФСТЭК России (Служба) "Об осуществлении ФСТЭК России в 2016 году государственного контроля в соответствующих сферах деятельности и об эффективности такого контроля" (2017 г.) приведены следующие аналитические данные:

  • в 2016 году Службой было проведено 143 проверки;
  • по результатам 101 проверки (из 143-х) выявлено 446 нарушений обязательных требований законодательства Российской Федерации (в 2015 году – 394, в 2014 году – 600), при этом выдано 46 предписаний об устранении выявленных нарушений (в 2015 году – 36, в 2014 году – 38). Все предписания исполнены в установленные сроки.
  • общая сумма наложенных административных штрафов по сравнению с2015 годом уменьшилась на 13,66 % (2016 год – 398 тыс. руб., 2015 год – 461тыс. руб., 2014 год – 2802 тыс. руб.);
  • юридическими лицами, в отношении которых были проведены проверки, при методической помощи со стороны ФСТЭК России разработаны планы устранения выявленных нарушений и недостатков. Ход реализации указанных планов взят на контроль ФСТЭК России;
  • значительное внимание в рамках осуществления контрольных полномочий ФСТЭК России уделяет информированию и оказанию методической помощи юридическим лицам и индивидуальным предпринимателям по вопросам, связанным с выполнением обязательных требований.

Итоги: ФСТЭК России осуществляет государственный контроль и надзор за соблюдением порядка аттестации объектов информатизации, а также за эксплуатацией аттестованных объектов информатизации в соответствии с планами работы по контролю и надзору. В случае выявления в ходе контроля на аттестованном объекте информатизации грубых нарушений требований нормативно-правовых актов и нормативно-методических документов по защите информации, допущенных органом по аттестации, он может быть лишен лицензии на право проведения работ по аттестации объектов информатизации. В случае выявления в ходе периодической проверки состояния защищенности аттестованного объекта информатизации нарушения правил эксплуатации аттестованных объектов информатизации, технологий обработки информации или требований по безопасности информации, допущенные владельцем объекта информатизации, действие "Аттестата соответствия.." на такой объект информатизации может быть приостановлено или аннулировано.

Ключевые слова: ФСТЭК России

Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?