И аттестующих, и аттестованных будут контролировать
Приказом председателя Службы национальной безопасности утверждено Положение о порядке осуществления контроля за деятельностью органов по аттестации объектов информатизации и выполнением требований по информационной безопасности на аттестованных объектах информатизации.
Согласно документу контролю подлежат как деятельность органов по аттестации, так и аттестованные ими объекты информатизации.
Контроль за соблюдением требований информационной безопасности на объектах информатизации включает в себя:
— проведение анализа поступающих сведений о выполнении требований по защите информации сотрудниками аттестованного объекта;
— проведение испытаний (технических исследований) и анализа их результатов – при необходимости;
— оформление результатов контроля и принятие решения.
Все работы, связанные с проведением контроля, осуществляются безвозмездно. Проверки соблюдения требований подразделяются на плановые и внеплановые, в том числе проверки в порядке контроля.
В процессе проведения плановых и внеплановых проверок изучается деятельность органов по аттестации и объектов информатизации, непосредственно связанная с обработкой информации ограниченного доступа.
Плановые проверки проводятся в отношении:
— органов по аттестации – не чаще 1 раза в течение срока действия Разрешения на проведение работ по аттестации объектов информатизации;
— объектов информатизации – не чаще 1 раза в течение действия Аттестата соответствия объекта информатизации требованиям информационной безопасности.
Внеплановые проверки проводятся в случае поступления сведений о фактах нарушения требований нормативно-правовых актов или нормативных документов по стандартизации в области информационной безопасности.
В случае выявления недостатков и нарушений в процессе плановых и внеплановых проверок, проводятся проверки в порядке контроля, чтобы установить факт устранения выявленных недостатков и нарушений. Результаты проверок оформляются актами.
Контроль осуществляется Уполномоченным органом – Службой национальной безопасности Республики Узбекистан в соответствии с законодательством о государственном контроле деятельности хозяйствующих субъектов и данным Положением.
По результатам проверки Уполномоченный орган в установленном законодательством порядке вправе прекратить или приостановить действие Аттестата соответствия в случаях:
— несоответствия результатов испытаний (технических исследований), в сторону ухудшения, требованиям по информационной безопасности и ранее полученным результатам;
— несоблюдения объектом информатизации требований нормативно-правовых актов и иных актов в области информационной безопасности;
— нарушения органом по аттестации, выдавшим Аттестат соответствия, методик проведения испытаний, существенно влияющих на состояние защищенности объекта информатизации.
Для осуществления контроля при Уполномоченном органе создаются экспертные комиссии, осуществляющие функции рабочего органа Уполномоченного органа. Деятельность экспертной комиссии регламентируется Положением об экспертной комиссии Уполномоченного органа, сообщает Norma.uz
Комментарии