Положение о сертификации деятельности по технической защите конфиденциальной информации

.

.

.

.

.

.

.

ПОЛОЖЕНИЕ О

СЕРТИФИКАЦИИ

ДЕЯТЕЛЬНОСТИ

ПО ТЕХНИЧЕСКОЙ

ЗАЩИТЕ

КОНФИДЕНЦИАЛЬНОЙ

ИНФОРМАЦИИ

.

.

.

.

.

.

.

.

.

.

.

1. Настоящее Положение определяет порядок сертификация деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством), осуществляемой юридическими лицами и индивидуальными предпринимателями.

Не допускается осуществление деятельности, указанной в абзаце первом настоящего пункта, иностранными юридическими лицами.

2. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

3. Сертификация деятельности по технической защите конфиденциальной информации (далее сертифицируемый вид деятельности) осуществляет Государственная служба по техническому и экспортному контролю (далее орган по сертификации).

4. При осуществлении сертифицируемого вида деятельности сертификацию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;
в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в помещениях со средствами (системами), подлежащими защите;
в помещениях, предназначенных для ведения конфиденциальных переговоров (далее защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программнотехнических) средств защиты информации, защищенных программных (программнотехнических) средств обработки информации, программных (программнотехнических) средств контроля эффективности защиты информации).

5. Сертификационными требованиями, предъявляемыми к соискателю сертификата на осуществление сертифицируемого вида деятельности (далее сертификат), являются:

а) наличие у соискателя сертификата:

юридического лица в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по сертифицируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, технического дела, технологий и технических наук и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов), а также технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов);
физического лица высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, технического дела, технологий и технических наук и стажа работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов);

б) наличие по месту осуществления сертифицируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих соискателю сертификата на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления сертифицируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;

в) наличие принадлежащего соискателю сертификата на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством порядке метрологическую поверку (калибровку);
программных (программнотехнических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

г) наличие по месту осуществления сертифицируемого вида деятельности принадлежащих соискателю сертификата на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством;

д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством порядке.

6. Законными требованиями, предъявляемыми к декларанту при осуществлении сертифицируемого вида деятельности, являются:

а) выполнение работ и (или) оказание услуг декларантом:

юридическим лицом с привлечением находящихся в штате декларанта по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по сертифицируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, технического дела, технологий и технических наук и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов), а также технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов);
физическим лицом, имеющим высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, технического дела, технологий и технических наук и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по сертифицируемому виду деятельности не менее 5 лет, прошедшим обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения не менее 360 аудиторных часов);

б) повышение квалификации по сертифицируемому виду деятельности лиц, указанных в подпункте «а» настоящего пункта, не реже одного раза в 5 лет;

в) наличие по месту осуществления сертифицируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих декларанту на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления сертифицируемого вида деятельности;

г) использование принадлежащего декларанту на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством порядке метрологическую поверку (калибровку);
программных (программнотехнических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

д) наличие по месту осуществления сертифицируемого вида деятельности принадлежащих декларанту на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия, аттестованных и (или) сертифицированных по требованиям безопасности информации, в соответствии с законодательством;

е) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством порядке.

7. Грубыми нарушениями законных требований являются нарушения требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 настоящего Положения, повлекшие за собой последствия, предусмотренные частью 10 статьи 19.2 Закона «О сертификации отдельных видов деятельности».

8. Для получения сертификата соискатель сертификата направляет или представляет в орган по сертификации следующие документы:

а) заявление о предоставлении сертификата с описью прилагаемых документов;

б) копии документов, подтверждающих наличие в штате соискателя сертификата руководителя и (или) уполномоченного руководить работами по сертифицируемому виду деятельности лица, технических работников и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств), и (или) сведения о трудовой деятельности, предусмотренные Трудовым законодательством;

в) копии документов, подтверждающих наличие у соискателя сертификата по месту осуществления сертифицируемого вида деятельности помещений, не являющихся объектами жилого назначения, необходимых для осуществления сертифицируемого вида деятельности и принадлежащих соискателю сертификата на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, права на которые не зарегистрированы в Едином государственном реестре гражданских прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, сведения об этих помещениях (зданиях, сооружениях);

г) копии технических паспортов и аттестатов соответствия защищаемых помещений, находящихся по месту осуществления сертифицируемого вида деятельности, требованиям безопасности информации;

д) документы на автоматизированные системы, находящиеся в защищаемых помещениях по месту осуществления сертифицируемого вида деятельности, предназначенные для обработки конфиденциальной информации, и средства защиты такой информации:

копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями), актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств, и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации;
перечень защищаемых в автоматизированных системах ресурсов;
описание технологического процесса обработки информации в автоматизированных системах;

е) копии документов, подтверждающих право соискателя сертификата на программы для электронновычислительных машин и базы данных, планируемые к использованию при осуществлении сертифицируемого вида деятельности;

ж) документы, содержащие сведения о наличии контрольноизмерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления сертифицируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольноизмерительного оборудования, а также документов, подтверждающих права соискателя сертификата на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;

з) документы, содержащие сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством порядке;

и) копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» пункта 4 настоящего Положения).

9. Документы (копии документов), указанные в подпунктах «б» «и» пункта 8 настоящего Положения, подписываются (заверяются) соискателем сертификата.

9(1). Соискатель сертификата вправе отозвать заявление о предоставлении сертификата до принятия органом по сертификации решения о предоставлении сертификата или об отказе в ее предоставлении.

10. При намерении декларанта выполнять новые работы и (или) оказывать новые услуги, подлежащие сертификацию в соответствии с пунктом 4 настоящего Положения, сведения о которых не внесены в реестр сертификатов, в заявлении о внесении изменений в реестр сертификатов указываются сведения о работах (услугах), которые декларант намерен выполнять (оказывать), а также следующие сведения, подтверждающие соответствие декларанта сертификационным требованиям, установленным пунктом 6 настоящего Положения:

а) сведения, подтверждающие наличие в штате декларанта руководителя и (или) уполномоченного руководить работами по сертифицируемому виду деятельности лица, технических работников и их квалификацию (с указанием реквизитов приказов о назначении или трудовых книжек (при наличии), дипломов, удостоверений, свидетельств);

б) сведения, подтверждающие наличие по месту осуществления сертифицируемого вида деятельности аттестованных по требованиям безопасности информации защищаемых помещений;

в) сведения, подтверждающие наличие в защищаемых помещениях по месту осуществления сертифицируемого вида деятельности аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, сведения о защищаемых в автоматизированных системах ресурсах;

г) сведения, подтверждающие наличие на праве собственного владения или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством порядке метрологическую поверку (калибровку);

д) программных (программнотехнических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

е) сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения.

11. При намерении декларанта изменить место осуществления сертифицируемого вида деятельности, указанное в реестре сертификатов, в заявлении о внесении изменений в реестр сертификатов указывается новое место осуществления сертифицируемого вида деятельности, а также представляются следующие документы и сведения, подтверждающие соответствие декларанта сертификационным требованиям, установленным пунктом 6 настоящего Положения:

а) копии документов, подтверждающих наличие у декларанта по новому месту осуществления сертифицируемого вида деятельности помещений, не являющихся объектами жилого назначения, необходимых для осуществления сертифицируемого вида деятельности и принадлежащих соискателю сертификата на праве собственного владения или ином законном основании, предусматривающем право владения и право пользования, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, сведения об этих помещениях, зданиях, сооружениях);

б) сведения, подтверждающие наличие по новому месту осуществления сертифицируемого вида деятельности аттестованных по требованиям безопасности информации защищаемых помещений;

в) сведения, подтверждающие наличие в защищаемых помещениях по новому месту осуществления сертифицируемого вида деятельности аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, и сведения о защищаемых в автоматизированных системах ресурсах;

г) сведения, подтверждающие наличие на праве собственного владения или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Государственной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством порядке метрологическую поверку (калибровку);
программных (программнотехнических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения.

11(1). Выполнение работ и (или) оказание услуг, указанных в пункте 4 настоящего Положения, не по месту осуществления сертифицируемого вида деятельности, указанному в реестре сертификатов, не требует внесения изменений в реестр сертификатов.

12. Представление соискателем сертификата (декларантом) заявления о предоставлении сертификата (внесении изменений в реестр сертификатов) и необходимых для получения сертификата (внесения изменений в реестр сертификатов) документов, их прием органом по сертификации, принятие органом по сертификации решений о предоставлении сертификата (об отказе в предоставлении сертификата), внесении изменений в реестр сертификатов (об отказе во внесении изменений в реестр сертификатов), приостановлении, возобновлении, прекращении действия сертификата, а также формирование и ведение сертификационного дела, формирование и ведение реестра сертификатов и предоставление сведений, содержащихся в реестре сертификатов, осуществляются в порядке, установленном Законом «О сертификации отдельных видов деятельности».

12(1). Заявление о предоставлении сертификата (внесении изменений в реестр сертификатов) и прилагаемые к нему документы соискатель сертификата (декларант) представляет в орган по сертификации на бумажном носителе или направляет заказным почтовым отправлением с уведомлением о вручении.

12(2). Оценка соответствия соискателя сертификата (декларанта) сертификационным требованиям проводится органом по сертификации в форме документарной оценки в случаях, предусмотренных статьей 19.1 Закона «О сертификации отдельных видов деятельности», и в соответствии с оценочным листом, форма которого утверждается органом по сертификации.

Результаты оценки соответствия соискателя сертификата (декларанта) сертификационным требованиям оформляются актом оценки.

13. При проведении проверки сведений, содержащихся в представленных соискателем сертификата (декларантом) документах, оценки соответствия соискателя сертификата (декларанта) сертификационным требованиям орган по сертификации вправе запрашивать необходимые сведения, находящиеся в распоряжении органов, предоставляющих государственные и муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных им организаций, в том числе в порядке, установленном Законом «Об организации предоставления государственных и муниципальных услуг».

13(1). Уведомление о предоставлении сертификата (внесении изменений в реестр сертификатов), содержащее ссылку на сведения о предоставлении сертификата (внесении изменений в реестр сертификатов) из реестра сертификатов, размещенные в информационнотелекоммуникационной сети «Интернет», а также уведомление об отказе в предоставлении сертификата (об отказе во внесении изменений в реестр сертификатов) оформляются на бумажном носителе и в течение 3 рабочих дней после дня внесения записи о предоставлении сертификата в реестр сертификатов (внесении изменений в реестр сертификатов) или принятия решения об отказе в предоставлении сертификата (об отказе во внесении изменений в реестр сертификатов) вручаются или направляются органом по сертификации соискателю сертификата (декларанту) заказным почтовым отправлением с уведомлением о вручении.

14. Сертификационный контроль за деятельностью по технической защите конфиденциальной информации осуществляется в соответствии с Законом «О защите прав юридических лиц и физических лиц при осуществлении государственного контроля (надзора) и муниципального контроля».

15. За предоставление сертификата, внесение изменений в реестр сертификатов на основании заявления о внесении изменений в реестр сертификатов, подаваемого в орган по сертификации в соответствии со статьей 18 Закона «О сертификации отдельных видов деятельности», уплачивается государственная пошлина в размерах и порядке, которые установлены законодательством о налогах и сборах.

Государственная пошлина за внесение изменений в реестр сертификатов не уплачивается, если внесение изменений в реестр сертификатов в случаях, предусмотренных Законом «О сертификации отдельных видов деятельности», осуществляется декларантом самостоятельно.

.

Утверждено Председателем всемирного верховного совета–совета безопасности

.