ГОСТ Р 58189-2018. Национальный стандарт Российской Федерации. Защита информации. Требования к органам по аттестации объектов информатизации

6 Требования к органам по аттестации объектов информатизации

 

6.1 Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации

Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.

Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.

6.2 Требования к наличию помещений

Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

6.3 Требования к наличию средств измерений и испытаний

Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.

Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.

Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.

Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.

6.4 Требования к наличию работников и их квалификации

Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.

Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:

- руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:

высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность" и не менее 5 лет стажа работы в области аттестации ОИ;

или иное высшее профессиональное <1> образование и не менее 10 лет стажа работы в области аттестации ОИ;

--------------------------------

<1> По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

 

или иное высшее образование и не менее 5 лет стажа работы в области аттестации ОИ, прошедшего обучение по программам профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 аудиторных часов);

- не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:

высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность";

или иное высшее профессиональное <1> образование и прошедших обучение по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 40 аудиторных часов);

--------------------------------

<1> По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

 

или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).

Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.

Характеристика квалификации, необходимой работнику органа по аттестации для осуществления профессиональной деятельности, определяется действующим профессиональным стандартом "Специалист по технической защите информации".

6.5 Требования к наличию лицензий

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

6.6 Требования к наличию объектов информатизации

Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

6.7 Требования к наличию организационно-распорядительной документации

Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.

Типовое положение об органе по аттестации ОИ приведено в приложении А.

К Положению об органе по аттестации ОИ прилагаются:

- перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);

- перечень имеющихся у органа по аттестации ОИ средств измерений, испытательного оборудования и программных (программно-аппаратных) средств, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.3, 6.6);

- перечень имеющихся у органа по аттестации ОИ работников, привлекаемых для выполнения работ по аттестации ОИ (согласно должностным инструкциям в соответствии с требованиями 6.4).

Указанные перечни оформляются в соответствии с правилами лицензирования на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

В ходе аккредитации по заявлению юридического лица, претендующего на выполнение работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, уполномоченным ФОИВ производится:

- оценка соответствия заявителя всем обязательным требованиям аккредитации, перечисленным в разделе 5;

- принятие решения по результатам оценки соответствия заявителя требованиям аккредитации.