Участники аттестации и их полномочия (компетенции)

Участники аттестации и их полномочия (компетенции)

Цель: получение представления об участниках аттестации, понимания роли каждого из них в процедуре аттестации объектов информатизации.

Участниками аттестации объектов информатизации по требованиям безопасности информации являются:

• заявители;
• органы по аттестации;
• Федеральный орган по сертификации и аттестации.

В случае необходимости сертификации средств защиты информации или программного обеспечения –привлекаются испытательные лаборатории.

Схема взаимодействия участников аттестации представлена ниже:

увеличить изображение
Рис. 3. Схема взаимодействия участников аттестации

ЗАЯВИТЕЛИ

Заявители – это предприятия и организации, индивидуальные предприниматели, органы власти, органы местного самоуправления и подведомственные им учреждения, которые планируют обработку информации ограниченного доступа на объектах информатизации и нуждаются в аттестации своих объектов.

В соответствии с Федеральным законом Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗ, обладатель информации при осуществлении своих прав обязан:

• соблюдать права и законные интересы иных лиц;
• принимать меры по защите информации;
• ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Обладатели информации (впоследствии – заявители), в соответствии с Федеральным законом Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗ, в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
2. Своевременное обнаружение фактов несанкционированного доступа к информации.
3. Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации.
4. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
5. Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.
6. Постоянный контроль за обеспечением уровня защищенности информации.
7. Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Если в качестве объекта информатизации выступает государственная информационная система, то заявителем будет выступать государственный орган.

Если в качестве объекта информатизации выступает информационная система персональных данных, то заявителем может быть любая организация или орган власти, именуемые в этом случае - оператор персональных данных. Согласно Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Если на объекте информатизации планируется обработка информации, составляющей служебную тайну, то заявителем в этом случае будет являться государственный орган или подведомственное ему учреждение.

Если на объекте информатизации планируется обработка информации, составляющей коммерческую тайну, то заявителем в этом случае будет являться юридическое лицо или индивидуальный предприниматель.

Заявитель в рамках проведения работ по аттестации объекта информатизации обязан провести следующие процедуры:

1. Подготовить объект информатизации для аттестации посредством реализации организационно-технических мер по защите информации. В процессе подготовки объекта заявители осуществляют:
• определение вида информации, планируемой к обработке на объекте информатизации;
• выбор и обоснование выбора объекта информатизации, необходимости аттестации защищаемого помещения для проведения конфиденциальных переговоров (совещаний);
• классификацию объекта информатизации в соответствии с требованиями руководящих документов;
• разработку организационно-распорядительных документов по защите информации в организации в целом и на объекте информатизации в частности.

2. Привлечь орган по аттестации для организации и проведения аттестации объекта информатизации.

Для проведения аттестации заявители предоставляют органу по аттестации необходимые документы и создают условия для проведения аттестации. Заявители имеют право запросить у нескольких органов по аттестации разрешительные документы на право проведения работ по аттестации, сведения о квалификации сотрудников, об опыте проведения аналогичных работ, калькуляцию затрат и выбрать для проведения работ один из них.

Работы по проведению аттестации осуществляются в тесной взаимосвязи сотрудников Заявителя и специалистов органа по аттестации. Между органом по аттестации и заявителем заключается договор на проведение работ по аттестации, в котором указывается перечень работ, их стоимость, сроки проведения работ, определяются права и обязанности заявителя и органа по аттестации, а также отражаются вопросы защиты информации при проведении работ по аттестации.

В том случае, если заявитель не может определиться ни с видом обрабатываемой информации, ни с количеством и составом необходимых объектов информатизации, он имеет право проконсультироваться по этим вопросам с органом по аттестации и, опираясь на его опыт и квалификацию, подобрать для своей организации оптимальный вариант.

3. После получения "Аттестата соответствия…" осуществлять эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия".

В случае возникновения изменений в составе и размещении средств и систем информатизации, технологий обработки и условий эксплуатации, которые могут понизить уровень безопасности информации заявитель обязан известить орган по аттестации с целью принятия необходимых мер для восстановления заданного уровня безопасности. Полный перечень параметров, влияющих на безопасность информации, об изменениях которых необходимо извещать орган по аттестации, определен в "Аттестате соответствия…". Невыполнение данного условия чревато возможностью утечки информации ограниченного доступа с последующим разбирательством и возложением ответственности на должностных лиц, ответственных за защиту информации на объекте и в организации. Также возможно выявление нарушений в ходе проведения плановых и внеплановых проверок ФСТЭК России или, в случае обработки персональных данных, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (Роскомнадзор).

4. При проведении периодического контроля состояния защищенности аттестованного объекта информатизации, создать необходимые условия и предоставить органу по аттестации документы на аттестованный объект информатизации.

При проведении периодического контроля силами заявителя либо с привлечением органа по аттестации необходимо оценить эффективность принятых мер защиты, при необходимости внести изменения в состав объекта информатизации, перечень сведений и лиц, допущенных к обработке информации, а также проверить сроки действия сертификатов соответствия на средства защиты информации.

Следует отметить, что все расходы по подготовке и проведению аттестации и периодического контроля, в том числе закупка средств вычислительной техники, программного обеспечения, средств защиты информации, а также услуги органа по аттестации оплачиваются заявителем. Заявитель оплачивает как работы по обязательной, так и по добровольной аттестации. Если речь идет о бюджетной организации – то оплата осуществляется из соответствующей статьи расходов, если о коммерческой организации – то оплата осуществляется из средств прибыли.

В случае неудовлетворительного качества проведенных органом по аттестации работ, заявитель имеет право подать апелляцию во ФСТЭК России.