ГОСТ Р 58189-2018. Национальный стандарт РФ: "Защита информации. Требования к органам по аттестации объектов информатизации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 02.08.2018 N 447-ст) (документ отменен)

Национальный стандарт РФ ГОСТ Р 58189-2018
"Защита информации. Требования к органам по аттестации объектов информатизации"
(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 2 августа 2018 г. N 447-ст)

Information protection. Requirements to bodies for certification of informatization objects

ОКС 35.020

Дата введения - 1 января 2019 г.
Введен впервые

Предисловие

1 Разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России")

2 Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 2 августа 2018 г. N 447-ст

4 Введен впервые

1 Область применения

Настоящий стандарт устанавливает обязательные требования к органам по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также к организациям, претендующим на аккредитацию в качестве органа по аттестации.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922 Защита информации. Основные термины и определения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 аккредитация органа по аттестации объектов информатизации: Официальное признание уполномоченным федеральным органом исполнительной власти компетентности юридического лица выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.2 аттестация объектов информатизации: Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

3.3

объект информатизации; ОИ: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [ГОСТ Р 51275-2006, статья 3.1]

3.4 орган по аттестации объектов информатизации: Юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.5 уполномоченные федеральные органы исполнительной власти: Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации.

4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

АС - автоматизированная система;

БИ - безопасность информации;

НСД - несанкционированный доступ;

ОИ - объект информатизации;

ФОИВ - федеральный орган исполнительной власти.

5 Общие требования к органам по аттестации объектов информатизации

Орган по аттестации ОИ и организация, претендующая на аккредитацию в качестве органа по аттестации ОИ, должны удовлетворять следующим обязательным требованиям к наличию:

- документов, определяющих порядок и правила выполнения работ по аттестации ОИ;

- помещений, предназначенных для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ;

- средств измерений и испытаний, необходимых для выполнения работ по аттестации ОИ;

- работников, имеющих соответствующую квалификацию, стаж работы, знания и навыки;

- лицензий, необходимых для выполнения работ по аттестации ОИ;

- ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;

- организационно-распорядительной документации, определяющей задачи, функции, обязанности, права и ответственность органа по аттестации.

6 Требования к органам по аттестации объектов информатизации

6.1 Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации

Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.

Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.

6.2 Требования к наличию помещений

Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

6.3 Требования к наличию средств измерений и испытаний

Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.

Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.

Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.

Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.

6.4 Требования к наличию работников и их квалификации

Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.

Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:

- руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:

высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность" и не менее 5 лет стажа работы в области аттестации ОИ;

или иное высшее профессиональное* образование и не менее 10 лет стажа работы в области аттестации ОИ;

или иное высшее образование и не менее 5 лет стажа работы в области аттестации ОИ, прошедшего обучение по программам профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 аудиторных часов);

- не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:

высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность";

или иное высшее профессиональное* образование и прошедших обучение по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 40 аудиторных часов);

------------------------------

* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).

Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.

Характеристика квалификации, необходимой работнику органа по аттестации для осуществления профессиональной деятельности, определяется действующим профессиональным стандартом "Специалист по технической защите информации".

6.5 Требования к наличию лицензий

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

6.6 Требования к наличию объектов информатизации

Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

6.7 Требования к наличию организационно-распорядительной документации

Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.

Типовое положение об органе по аттестации ОИ приведено в приложении А.

К Положению об органе по аттестации ОИ прилагаются:

- перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);

- перечень имеющихся у органа по аттестации ОИ средств измерений, испытательного оборудования и программных (программно-аппаратных) средств, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.3, 6.6);

- перечень имеющихся у органа по аттестации ОИ работников, привлекаемых для выполнения работ по аттестации ОИ (согласно должностным инструкциям в соответствии с требованиями 6.4).

Указанные перечни оформляются в соответствии с правилами лицензирования на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

В ходе аккредитации по заявлению юридического лица, претендующего на выполнение работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, уполномоченным ФОИВ производится:

- оценка соответствия заявителя всем обязательным требованиям аккредитации, перечисленным в разделе 5;

- принятие решения по результатам оценки соответствия заявителя требованиям аккредитации.