|
Задачи, функции, права и обязанности органов по аттестации
Орган по аттестации обязан:
- Соблюдать в полном объеме все правила и порядок аттестации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, а также организационно-методическими документами по вопросам защиты информации.
- Применять на объектах информатизации средства, прошедшие процедуру сертификации и имеющие сертификаты соответствия требованиям по безопасности информации (в случае необходимости использования таких средств).
- Информировать ФСТЭК России обо всех изменениях, которые могут потребовать приостановки, замены или аннулирования лицензии органа по аттестации.
- Проводить работы по аттестации объекта информатизации в сроки, установленные договором с заявителем.
- Обеспечивать полноту, объективность и качество работ по аттестации объекта информатизации.
- Обеспечивать сохранность информации ограниченного доступа, ставшей доступной в ходе проведения работ по аттестации объекта информатизации, соблюдение авторских прав.
- Вести информационную базу аттестованных этим органом объектов информатизации.
- Поддерживать в актуальном состоянии имеющиеся разрешительные документы (лицензии) на право проведения работ по аттестации объектов информатизации.
Орган по аттестации имеет право:
- Привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов, а также формировать комиссию исходя из особенностей объекта информатизации, подлежащего аттестации.
- Устанавливать сроки проведения работ по аттестации, перечень работ и их стоимость, а также устанавливать иные условия взаимодействия или взаиморасчетов при заключении договора между органом по аттестации и заявителем.
- Отказывать заявителю в аттестации объекта информатизации, с указанием причины отказа и конкретных рекомендаций по приведению объекта информатизации в соответствие требованиям по безопасности информации, а также перечня мероприятий, которые необходимо провести, чтобы объект информатизации мог быть аттестован по требованиям безопасности информации.
- Требовать от заявителя всю необходимую информацию, а также технические средства и помещения, необходимые для проведения работ по аттестации объекта информатизации.
Следует отметить, что для получения органом по аттестации лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, он должен удовлетворять лицензионным требованиям,предъявляемым к нему, как к соискателю лицензии. Исходя из требований Постановления Правительства РФ от 03.02.2012 N 79"О лицензировании деятельности по технической защите конфиденциальной информации", в наличии у соискателя лицензии должно быть следующее:
- Квалифицированные специалисты, имеющие профильное образование или курсы повышения квалификации, а также опыт работы в области защиты информации.
- Помещения, в которых созданы необходимые условия для размещения сотрудников, производственного и испытательного оборудования, а также для обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.
- Оборудование в соответствии с определяемым ФСТЭК России перечнем, необходимое для выполнения работ и (или) оказания услуг, в том числе:
- измерительные приборы, прошедшие в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
- программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов программного обеспечения.
- Автоматизированные системы, предназначенные для обработки информации ограниченного доступа, прошедшие процедуру оценки соответствия в соответствии с законодательством Российской Федерации, а также средства защиты такой информации.
- Техническая и технологическая документация, национальные стандарты и методические документы, необходимые для выполнения работ и (или) оказания услуг, в соответствии с определяемым ФСТЭК России перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.
Данные об органах по аттестации, имеющих лицензию на деятельность по технической защите конфиденциальной информации содержатся в едином реестре, ведение которого осуществляет ФСТЭК России на своем официальном сайте - http://fstec.ru/.
В данном реестре содержится информация:
- О номере лицензии.
- О дате выдачи лицензии.
- О сроке действия лицензии.
- Наименование лицензиата.
- Адрес местонахождения лицензиата.
- Фактический адрес осуществления лицензируемого вида деятельности.
Реестр можно скачать либо просмотреть на сайте с возможностью сортировки по любому из параметров. Следует иметь ввиду, что данные в реестре постоянно обновляются.
Итоги: Основными задачами органа по аттестации являются организация и проведение работ по аттестации по требованиям безопасности информации объектов информатизации заявителя, а также периодический контроль состояния защищенности объектов информатизации, аттестованных этим органом по аттестации. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент. Для получения органом по аттестации лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, он должен удовлетворять лицензионным требованиям, предъявляемым к нему, как к соискателю лицензии, в том числе обладать необходимой контрольно-измерительной аппаратурой, специальной нормативно-методической документацией, квалифицированными сотрудниками, аттестованными объектами информатизации для подготовки на них аттестационных документов заявителей.
Ключевые слова: орган по аттестации, реестр лицензий на деятельность по технической защите конфиденциальной информации