МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ УДМУРТСКОЙ РЕСПУБЛИКИ
ПРИКАЗ
от 2 мая 2006 г. № 348
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОРГАНЕ ПО АТТЕСТАЦИИ
ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ МВД ПО УДМУРТСКОЙ РЕСПУБЛИКЕ
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
В соответствии с требованиями приказа МВД России от 05.07.2001 № 029 "Об утверждении Временного наставления по технической защите информации в органах внутренних дел Российской Федерации и внутренних войск Министерства внутренних дел Российской Федерации" приказываю:
Утвердить прилагаемое Положение
об органе по аттестации объектов информатизации по требованиям безопасности информации МВД по Удмуртской Республике.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
И.о. министра
полковник милиции
Р.А.САИТГАРЕЕВ
Приложение
к приказу
МВД УР
от 2 мая 2006 г. № 348
ПОЛОЖЕНИЕ
ОБ ОРГАНЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
МВД ПО УДМУРТСКОЙ РЕСПУБЛИКЕ
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
I. Общие положения
1. Настоящее Положение устанавливает требования к МВД по Удмуртской Республике <1>
как органу по аттестации объектов информатизации по требованиям безопасности информации, его функции, права, обязанности и ответственность.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
--------------------------------
<1> Далее - МВД по Удмуртской Республике.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
2. Положение разработано в соответствии с Законами Российской Федерации "О государственной тайне", "О техническом регулировании", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Положения по аттестации объектов информатики по требованиям безопасности информации", "Типового положения об органе по аттестации объектов информатизации по требованиям безопасности информации" с учетом области аккредитации.
3. МВД по Удмуртской Республике является составной частью организационной структуры системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
4. Практическая работа по аттестации объектов информатизации организуется и проводится МВД по Удмуртской Республике с привлечением при необходимости сотрудников других специализированных подразделений МВД по Удмуртской Республике.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
5. МВД по Удмуртской Республике аккредитовано как орган по аттестации ФСТЭК России в пределах ее компетенции, определенной законодательными актами Российской Федерации и "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
6. МВД по Удмуртской Республике в своей деятельности руководствуется законодательством Российской Федерации, национальными стандартами России, нормативной и методической документацией ФСТЭК России.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
7. Область аккредитации МВД по Удмуртской Республике распространяется на объекты информатизации, подлежащие аттестации:
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
7.1. Автоматизированные системы различного уровня и назначения.
7.2. Системы связи, приема, обработки и передачи данных.
7.3. Системы отображения и размножения.
7.4. Технические средства (системы), не обрабатывающие информацию, составляющую государственную тайну, но размещенные в помещениях, где она обрабатывается.
7.5. Помещения со средствами (системами), подлежащими защите.
7.6. Помещения, предназначенные для ведения секретных переговоров.
8. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации по требованиям безопасности информации как при обязательной, так и добровольной аттестации подразделений МВД по Удмуртской Республике финансируются из средств федерального и бюджета Удмуртской Республики.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
9. Деятельность МВД по Удмуртской Республике, аккредитованного ФСТЭК России, осуществляется на основе лицензий и аттестата аккредитации, выданных ему на право проведения аттестации объектов информатизации.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
II. Задачи
10. Организация и проведение аттестации объектов информатизации по требованиям безопасности информации.
11. Контроль состояния и эксплуатации аттестованных объектов информатизации.
III. Функции
12. Формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатизации.
13. Рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей.
14. Проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях).
15. Организует работы по аттестации объектов информатизации в порядке, установленном приказом МВД России № 029 от 05.07.2006 и другими руководящими документами в области технической защиты информации, а также на основании заключенных договоров.
16. Разрабатывает программу, а при необходимости и методики аттестационных испытаний, согласованные с заказчиком.
17. Формирует и командирует (при проведении работ по аттестации по заявкам подразделений) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатизации направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации продукции в случае испытаний продукции непосредственно на аттестуемом объекте информатизации.
18. Рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам аттестации и выдает заявителю аттестат соответствия.
19. При осуществлении контроля за состоянием и эксплуатацией аттестованных им объектов информатизации проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан аттестат соответствия.
20. Отменяет и приостанавливает действие выданных аттестатов соответствия.
21. Ведет информационную базу аттестованных объектов информатизации.
22. Осуществляет взаимодействие с ФСТЭК России, Управлением ФСТЭК России по ПФО, информирует их о своей деятельности в области аттестации.
IV. Деятельность аттестационных комиссий
23. Аттестационные комиссии формируются МВД по Удмуртской Республике из числа штатных сотрудников отделения спецтехники и ТЗИ ЭТЦ МВД по Удмуртской Республике, при необходимости с привлечением специалистов в различных направлениях защиты информации других предприятий и организаций, таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
24. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.
25. В состав аттестационных комиссий МВД по Удмуртской Республике включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
26. Постоянный штат сотрудников осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.
V. Права
27. Устанавливать сроки на проведение аттестации, условия взаимодействия или взаиморасчетов.
28. Отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации.
29. Участвовать в контроле за состоянием и эксплуатацией аттестованного им объекта информатизации.
30. Лишать и приостанавливать действие выданного им аттестата соответствия в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
VI. Обязанности
31. Соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной системы и другими документами, предъявляемыми при аккредитации.
32. Признавать сертификаты соответствия на ту продукцию, для которой доказано ее соответствие конкретным нормативным документам по правилам системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.
33. При введении в нормативные документы на продукцию новой нормы на ранее сертифицированное требование информировать изготовителя продукции в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации продукции в соответствии с новыми нормами.
34. Информировать ФСТЭК России, Управление ФСТЭК России по ПФО обо всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации.
35. Вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об этом ФСТЭК России, Управление ФСТЭК России по ПФО.
36. Организовывать и проводить аттестацию объектов информатизации в соответствии с утвержденным МВД по Удмуртской Республике планом проведения работ.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
37. Обеспечивать полноту и объективность проведения аттестации объекта информатизации.
38. Обеспечивать сохранность государственной тайны и конфиденциальной информации в процессе и по завершении аттестации объекта информатизации, соблюдение авторского права.
39. Вести информационную базу аттестованных им объектов информатизации.
40. Представлять ФСТЭК России, Управлению ФСТЭК России по ПФО заключения по результатам аттестации объектов информатизации и материалы аттестационных испытаний.
41. Допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатизации при наличии предписания на выполнение задания.
VII. Ответственность
42. МВД по Удмуртской Республике как орган по аттестации несет ответственность за:
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
42.1. Соответствие проведенных им аттестационных испытаний объекта информатизации требованиям национальных стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов.
42.2. Соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестации.
42.3. Соблюдение утвержденного МВД по Удмуртской Республике плана работ и условий проведения аттестации.
(в ред. приказа
МВД по УР от 06.03.2007 № 230)
(см. текст в предыдущей редакции
)
42.4. Обеспечение сохранности государственной тайны и конфиденциальной информации заявителя.
