Законодательство РФ в области информации и информационной безопасности
Документация Испытательной лаборатории должна включать
жүктеу/скачать 310 Kb.
|
Лекции - Сертификация и аккредитация систем безопасности
- Бұл бет үшін навигация:
- Испытательная лаборатория несет ответственность за
- 21. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации.
| Документация Испытательной лаборатории должна включать: 1государственные, международные нормативные документы, регламентирующие технические требования и методы испытаний средств защиты на соответствие требованиям безопасности информации; 2программы и методики сертификационных испытаний средств защиты на соответствие требованиям БИ; 3графики поверки и аттестации контрольно-измерительной аппаратуры и испытательного оборудования; 4методики аттестации испытательного оборудования и проверки нестандартизованных средств измерений; 5документацию по эксплуатации средств испытаний; 6рабочие журналы, протоколы испытаний и копии выданных заключений по результатам испытаний.
Испытательная лаборатория несет ответственность за: 1правильность и полноту выполнения возложенных функций и обязанностей; 2правильность и полноту проведения испытаний, объективность, точность и достоверность результатов и выводов; 3соблюдение требований нормативных документов, предъявляемых к порядку и правилам испытаний; 4сохранность и работоспособное состояние предъявляемых на сертификационные испытания средств ЗИ; 5выполнение установленных сроков проведения испытаний, обработки и оформления результатов; 6своевременное продление аккредитации на право проведения сертификационных испытаний; 7сохранность сведений, составляющих гос., коммерческую тайны заявителя; 8соблюдение прав собственности заявителя на испытываемые средства ЗИ. Ответственность регулируется действующим законодательством, постановлениями Правительства России, нормативными актами ФСТЭК. 21. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации. Организационную структуру системы аттестации объектов информатизации образуют: - ФСТЭК (Федеральная служба по техническому и экспортному контролю. Создана в соответствии с Указом Президента Российской Федерации от 09 марта 2004 г. ) - органы по аттестации объектов информатизации по требованиям безопасности информации; - испытательные центры (лаборатории) по сертификации - заявители Федеральный орган по сертификации и аттестации (в лице ФСТЭК) осуществляет следующие функции: - организует обязательную аттестацию объектов информатизации; - создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах; - устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; - организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации; - аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ; - осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации; - рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации; Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации. Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ. Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации. Органы по аттестации: - аттестуют объекты информатизации и выдают «Аттестаты соответствия»; - осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них; - отменяют и приостанавливают действие «Аттестатов соответствия»; - формируют фонд нормативной и методической документации - ведут информационную базу аттестованных этим органом объектов информатизации; - осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов. Испытательные центры (лаборатории) сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации». Заявители: - проводят подготовку объекта информатизации к аттестации путем необходимых организационно-технических мероприятий по защите информации; - привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации; - предоставляют органам по аттестации необходимые документы и условия проведения аттестации; - осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»; - извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации - предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию. Расходы по проведению аттестации объектов информатизации оплачивают заявители. Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии – по договорной цене. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации. жүктеу/скачать 310 Kb. Достарыңызбен бөлісу:
|