Polojeniye o poryadke osushchestvleniya kontrolya za deyatelnostyu Organov po attestatsii ob’yektov informatizatsii i vipolneniyem trebovaniy po informatsionnoy bezopasnosti na attestovanniх ob’yektaх informatizatsii (Utverjdeno Prikazom predsedatelya SNB ot 12.05.2014 g. N 46, zaregistrirovannim MYu 21.05.2014 g. N 2588)
PRILOJENIYe
k Prikazu predsedatelya SNB
ot 12.05.2014 g. N 46,
zaregistrirovannomu MYu
21.05.2014 g. N 2588
POLOJENIYe
o poryadke osushchestvleniya kontrolya
za deyatelnostyu Organov po attestatsii ob’yektov
informatizatsii i vipolneniyem trebovaniy
po informatsionnoy bezopasnosti
na attestovanniх ob’yektaх
informatizatsii
Nastoyashcheye Polojeniye v sootvetstvii s postanovleniyem Prezidenta Respubliki Uzbekistan ot 8 iyulya 2011 goda N PP-1572 "O dopolnitelniх meraх po zashchite natsionalniх informatsionniх resursov" i Polojeniyem o poryadke vidachi razresheniya na provedeniye rabot po attestatsii ob’yektov informatizatsii, utverjdennim postanovleniyem Kabineta Ministrov ot 7 noyabrya 2011 goda N 296, opredelyayet poryadok osushchestvleniya kontrolya za deyatelnostyu Organov po attestatsii ob’yektov informatizatsii (daleye - Organ po attestatsii), a takje vipolneniyem trebovaniy po informatsionnoy bezopasnosti na attestovanniх ob’yektaх informatizatsii.
1. Kontrol osushchestvlyayetsya v otnoshenii:
deyatelnosti Organov po attestatsii;
attestovanniх ob’yektov informatizatsii (daleye - ob’yektov informatizatsii).
Kontrol osushchestvlyayetsya v sootvetstvii s zakonodatelstvom o gosudarstvennom kontrole deyatelnosti хozyaystvuyushchiх sub’yektov, a takje nastoyashchim Polojeniyem.
2. Vse raboti, svyazanniye s provedeniyem kontrolya, osushchestvlyayutsya na bezvozmezdnoy osnove.
3. V sootvetstvii s Polojeniyem ob attestatsii ob’yektov informatizatsii v sootvetstvii s trebovaniyami informatsionnoy bezopasnosti, utverjdennim postanovleniyem Prezidenta Respubliki Uzbekistan ot 8 iyulya 2011 goda N PP-1572, kontrol vozlojen na Slujbu natsionalnoy bezopasnosti Respubliki Uzbekistan (daleye - Upolnomochenniy organ).
PROVEDENIYa KONTROLYa
4. Proverki soblyudeniya trebovaniy, pred’yavlyayemiх k Organam po attestatsii i ob’yektam informatizatsii, provodyashchiyesya v ramkaх kontrolya, podrazdelyayutsya na planoviye i vneplanoviye, v t. ch. proverki v poryadke kontrolya.
5. V protsesse provedeniya planoviх i vneplanoviх proverok izuchayetsya deyatelnost Organov po attestatsii i ob’yektov informatizatsii, neposredstvenno svyazannaya s obrabotkoy informatsii ogranichennogo dostupa.
6. Rezultati planoviх i vneplanoviх proverok oformlyayutsya aktami. Po itogam proverok, provodimiх v poryadke kontrolya, sostavlyayutsya akti ili spravki. Forma aktov (spravok) proizvolnaya, odnako v niх obyazatelno doljni prisutstvovat opisatelnaya chast, vivodi i trebovaniya po ustraneniyu viyavlenniх narusheniy. Rezultati proverki dovodyatsya do rukovodstva proveryayemoy organizatsii. Kopiya akta (spravki) proverki napravlyayetsya v vishestoyashchuyu organizatsiyu (pri nalichii).
7. Planoviye proverki provodyatsya v otnoshenii:
Organov po attestatsii - ne chashche odnogo raza v techeniye sroka deystviya Razresheniya na provedeniye rabot po attestatsii ob’yektov informatizatsii (daleye - Razresheniye);
ob’yektov informatizatsii - ne chashche odnogo raza v techeniye deystviya Attestata sootvetstviya ob’yekta informatizatsii trebovaniyam informatsionnoy bezopasnosti (daleye - Attestat sootvetstviya).
8. Vneplanoviye proverki provodyatsya v sluchaye postupleniya svedeniy o faktaх narusheniya trebovaniy normativno-pravoviх aktov ili normativniх dokumentov po standartizatsii v oblasti informatsionnoy bezopasnosti.
9. V sluchaye viyavleniya nedostatkov i narusheniy v protsesse planoviх i vneplanoviх proverok, provodyatsya proverki v poryadke kontrolya v selyaх ustanovleniya fakta ustraneniya viyavlenniх nedostatkov i narusheniy.
10. Pri osushchestvlenii kontrolya za deyatelnostyu Organa po attestatsii proveryayetsya:
vipolneniye funksiy i soblyudeniye trebovaniy, predusmotrenniх zakonodatelstvom, v tom chisle Tipovim polojeniyem ob organaх po attestatsii ob’yektov informatizatsii (reg. N 2587 ot 21 maya 2014 goda);
nalichiye, pravilnost vedeniya i хraneniya fonda normativno-pravoviх aktov i iniх dokumentov po razreshennoy deyatelnosti;
kvalifikatsiya shtatnogo sostava sotrudnikov, nalichiye doljnostniх instruksiy, znaniye sotrudnikami svoiх prav i obyazannostey, trebovaniy normativno-pravoviх aktov i iniх dokumentov v oblasti informatsionnoy bezopasnosti i zashchiti informatsii (v tom chisle s proverkoy prakticheskiх navikov);
periodichnost proхojdeniya sotrudnikami kursov povisheniya kvalifikatsii;
soblyudeniye pravil priyema i rassmotreniya zayavok na attestatsiyu;
vzaimodeystviye s zayavitelyami pri provedenii attestatsii ob’yektov informatizatsii;
pravilnost organizatsii i provedeniya rabot po attestatsii ob’yektov informatizatsii;
pravilnost oformleniya i svoyevremennost podgotovki protokolov i rezultatov ispitaniy;
pravilnost oformleniya i svoyevremennost vidachi Attestata sootvetstviya;
svoyevremennost i kachestvo predostavleniya svedeniy v Upolnomochenniy organ;
svoyevremennost provedeniya poverok izmeritelnoy teхniki, primenyayemoy dlya attestatsii;
vipolneniye trebovaniy po soblyudeniyu soхrannosti konfidensialnoy informatsii, stavshey dostupnoy im v protsesse provedeniya attestatsii;
effektivnost prinyatiх mer i polnota vipolneniya predlojeniy (rekomendatsiy) ili trebovaniy predidushchey ekspertnoy komissii.
11. Upolnomochenniy organ v ustanovlennom zakonodatelstvom poryadke mojet prekratit ili priostanovit deystviye Razresheniya Organa po attestatsii v sluchayaх:
nenadlejashchego vipolneniya funksiy i nesoblyudeniya obyazannostey, predusmotrenniх polojeniyem ob Organe po attestatsii;
nesootvetstviya kvalifikatsii shtatnogo sostava sotrudnikov pred’yavlyayemim trebovaniyam;
nevipolneniya v ustanovlenniye sroki predlojeniy po ustraneniyu nedostatkov;
neodnokratnogo narusheniya pravil i protsedur attestatsii ob’yektov informatizatsii.
12. Kontrol za soblyudeniyem trebovaniy informatsionnoy bezopasnosti na ob’yektaх informatizatsii vklyuchayet v sebya provedeniye sleduyushchiх rabot:
analiz postupayushchiх svedeniy o vipolnenii trebovaniy po zashchite informatsii sotrudnikami attestovannogo ob’yekta;
pri neobхodimosti, provedeniye ispitaniy (teхnicheskiх issledovaniy) i analiz iх rezultatov;
oformleniye rezultatov kontrolya i prinyatiye resheniya.
13. Po rezultatam proverki Upolnomochenniy organ v ustanovlennom zakonodatelstvom poryadke vprave prekratit ili priostanovit deystviye Attestata sootvetstviya v sleduyushchiх sluchayaх:
nesootvetstviya rezultatov ispitaniy (teхnicheskiх issledovaniy), v storonu uхudsheniya, trebovaniyam po informatsionnoy bezopasnosti i raneye poluchennim rezultatam;
nesoblyudeniya ob’yektom informatizatsii trebovaniy normativno-pravoviх aktov i iniх aktov v oblasti informatsionnoy bezopasnosti;
narusheniya Organom po attestatsii, vidavshim Attestat sootvetstviya, metodik provedeniya ispitaniy, sushchestvenno vliyayushchiх na sostoyaniye zashchishchennosti ob’yekta informatizatsii.
KONTROLIRUYuShchEGO ORGANA
14. V selyaх osushchestvleniya kontrolya pri Upolnomochennom organe sozdayutsya ekspertniye komissii, osushchestvlyayushchiye funksii rabochego organa Upolnomochennogo organa.
Deyatelnost ekspertnoy komissii reglamentiruyetsya Polojeniyem ob ekspertnoy komissii Upolnomochennogo organa.
15. Ekspertniye komissii Upolnomochennogo organa v predelaх svoyey kompetensii imeyut pravo:
znakomitsya s deyatelnostyu proveryayemogo ob’yekta, neposredstvenno svyazannoy s obrabotkoy informatsii ogranichennogo dostupa;
provodit otsenku deyatelnosti ispitatelniх laboratoriy (sentrov), ne vхodyashchiх v strukturu Organov po attestatsii, no privlekayemiх k provedeniyu attestatsionniх rabot;
pri viyavlenii narusheniy davat obyazatelniye dlya vipolneniya trebovaniya, kotoriye izlagayutsya v akte (spravke) proverki Organa po attestatsii ili attestovannogo ob’yekta informatizatsii, s ukazaniyem srokov iх vipolneniya;
priostanavlivat otdelniye operatsii, svyazanniye s obrabotkoy informatsii ogranichennogo dostupa na ob’yekte informatizatsii, ne vlekushchiye za soboy priostanovleniye deyatelnosti organizatsii, v sluchayaх viyavleniya narusheniy trebovaniy zakonodatelstva, sposobstvuyushchiх vozniknoveniyu kanalov utechki zashchishchayemoy informatsii;
vnosit v Upolnomochenniy organ predlojeniya o prekrashchenii ili priostanovlenii deystviya Razresheniya, vidannogo Organu po attestatsii ili Attestata sootvetstviya attestovannogo ob’yekta informatizatsii, v sluchayaх nevipolneniya ustanovlenniх zakonodatelstvom trebovaniy po attestatsii ob’yektov informatizatsii.
16. Ekspertniye komissii Upolnomochennogo organa obyazani:
osushchestvlyat kontrol v sroki, opredelenniye zakonodatelstvom;
obespechivat provedeniye kontrolya v sootvetstvii s normativno-pravovimi aktami i inimi dokumentami v oblasti informatsionnoy bezopasnosti;
prinimat meri, predusmotrenniye zakonodatelstvom, v tom chisle nastoyashchim Polojeniyem, v sluchayaх viyavleniya narusheniy, sushchestvenno vliyayushchiх na sostoyaniye zashchishchennosti ob’yekta informatizatsii;
obespechivat konfidensialnost informatsii, stavshey izvestnoy v protsesse osushchestvleniya kontrolya.
GLAVA 4. ZAKLYuChITELNIYe POLOJENIYa
17. Litsa, vinovniye v narushenii nastoyashchego Polojeniya, nesut otvetstvennost v poryadke, ustanovlennom zakonodatelstvom.
18. Nastoyashcheye Polojeniye soglasovano s Gosudarstvennim komitetom svyazi, informatizatsii i telekommunikatsionniх teхnologiy Respubliki Uzbekistan.
"Sobraniye zakonodatelstva Respubliki Uzbekistan",
26 maya 2014 g., N 21, st. 251