Распоряжение Правительства Амурской области от 25.02.2021 N 45-р "О Региональном аттестационном центре Амурской области" (с изменениями и дополнениями)

Распоряжение Правительства Амурской области
от 25 февраля 2021 г. N 45-р
"О Региональном аттестационном центре Амурской области"

С изменениями и дополнениями от:

29 сентября 2021 г.

В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", региональным проектом "Информационная безопасность", федеральным проектом "Информационная безопасность", входящим в состав национального проекта "Цифровая экономика Российской Федерации":

1. Утвердить прилагаемое Положение о Региональном аттестационном центре Амурской области.

2. Возложить на государственное бюджетное учреждение Амурской области "Центр информационных технологий Амурской области" функции Регионального аттестационного центра Амурской области.

3. Министерству цифрового развития и связи Амурской области (Курдюков А.М.) в срок до 01.03.2021 разработать и утвердить регламент Регионального аттестационного центра Амурской области.

4. Контроль за исполнением настоящего распоряжения возложить на заместителя председателя Правительства Амурской области Матюхина П.В.

Губернатор Амурской области

В.А. Орлов

УТВЕРЖДЕНО
распоряжением Правительства
Амурской области
от 25 февраля 2021 г. N 45-р

Положение
о Региональном аттестационном центре Амурской области

С изменениями и дополнениями от:

29 сентября 2021 г.

1. Общие положения

1.1. Настоящее Положение определяет цель создания Регионального аттестационного центра Амурской области (далее - РАЦ), его задачи и функции, порядок организации и проведения РАЦ аттестации объектов информатизации на соответствие требованиям по защите конфиденциальной информации (далее - аттестация, объекты информатизации) в аппарате губернатора Амурской области и Правительства Амурской области, исполнительных органах государственной власти Амурской области, а также контроль за состоянием и эксплуатацией аттестованных РАЦ объектов информатизации.

1.2. РАЦ создан на базе государственного бюджетного учреждения Амурской области "Центр информационных технологий Амурской области" (далее - ГБУ "Центр информационных технологий Амурской области"), подведомственного министерству цифрового развития и связи Амурской области (далее - министерство), в рамках реализации регионального проекта "Информационная безопасность", федерального проекта "Информационная безопасность", входящего в состав национального проекта "Цифровая экономика Российской Федерации".

1.3. В настоящем Положении используются следующие термины и определения:

обработка информации - совокупность операций сбора, накопления, ввода, вывода, передачи, записи, хранения, регистрации, уничтожения, преобразования, осуществляемых над информацией;

объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров;

аттестация объектов информатизации - комплекс организационных и технических мероприятий, осуществляемых РАЦ, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям по защите конфиденциальной информации;

заявитель - владелец информации или владелец объекта информатизации, а именно аппарат губернатора Амурской области и Правительства Амурской области, исполнительные органы государственной власти Амурской области;

техническая защита конфиденциальной информации - выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней;

конфиденциальная информация - информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством Российской Федерации.

2. Нормативная правовая база обеспечения функционирования РАЦ

РАЦ в своей деятельности руководствуется законодательством Российской Федерации об информации, информационных технологиях и о защите информации, в том числе:

Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

постановлением Правительства Российской Федерации от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации";

постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Временной методикой оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, утвержденной первым заместителем председателя Государственной технической комиссии при Президенте Российской Федерации 08.11.2001. ДСП;

Временной методикой оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации, утвержденной первым заместителем председателя Государственной технической комиссии при Президенте Российской Федерации 08.11.2001. ДСП;

Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 N 282. ДСП;

ГОСТом Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2006 N 373-ст);

ГОСТом Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2006 N 374-ст);

ГОСТом РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. ДСП;

ГОСТом РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. ДСП.

3. Цель, задачи и функции РАЦ

3.1. РАЦ создается в целях осуществления лицензируемой деятельности по аттестации объектов информатизации в виде выполнения работ и оказания услуг по технической защите конфиденциальной информации (далее - работы, ТЗКИ) объектов информатизации в аппарате губернатора Амурской области и Правительства Амурской области, исполнительных органах государственной власти Амурской области.

3.2. Задачами РАЦ являются организация и проведение аттестации объектов информатизации в аппарате губернатора Амурской области и Правительства Амурской области, исполнительных органах государственной власти Амурской области, а также контроль за состоянием и эксплуатацией аттестованных РАЦ объектов информатизации.

3.3. РАЦ осуществляет следующие функции:

1) формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при работах по ТЗКИ объектов информатизации;

2) рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и информирует заявителей о сроках проведения аттестации;

3) проводит анализ исходных данных по аттестуемым объектам информатизации и определяет порядок проведения их аттестации;

4) разрабатывает программу и методику аттестационных испытаний;

5) рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";

6) при осуществлении контроля за состоянием и эксплуатацией аттестованных РАЦ объектов информатизации проверяет соответствие реальных условий эксплуатации объекта информатизации и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";

7) отменяет и приостанавливает действие выданных РАЦ "Аттестатов соответствий";

8) ведет реестр аттестованных РАЦ объектов информатизации и применяемой на них сертифицированной продукции, используемой в целях защиты конфиденциальной информации;

9) осуществляет взаимодействие с уполномоченными федеральными органами исполнительной власти в области информации, информационных технологий и защиты информации и информирует их о своей деятельности.

4. Объекты информатизации и работы по ТЗКИ данных объектов

4.1. К объектам информатизации относятся:

1) государственные информационные системы;

2) информационные системы персональных данных;

3) защищаемые помещения;

4) автоматизированные системы, в которых обрабатывается конфиденциальная информация.

4.2. РАЦ осуществляет деятельность по ТЗКИ на основании лицензии N 3778 от 11.06.2020, выданной Федеральной службой по техническому и экспортному контролю.

Под работами по ТЗКИ объектов информатизации понимается перечень следующих работ и услуг:

1) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

а) средств и систем информатизации;

б) помещений со средствами (системами) информатизации, подлежащими защите;

в) защищаемых помещений;

2) проектирование в защищенном исполнении:

а) средств и систем информатизации;

б) помещений со средствами (системами) информатизации, подлежащими защите;

в) защищаемых помещений;

3) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

а) средствах и системах информатизации;

б) технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в) помещениях со средствами (системами), подлежащими защите;

г) защищаемых помещениях;

4) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

5) установка, монтаж, наладка, испытания (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации);

6) контроль соответствия системы защиты конфиденциальной информации аттестованного объекта информатизации требованиям по защите конфиденциальной информации.

Информация об изменениях:

Пункт 4.3 изменен с 1 января 2022 г. - Распоряжение Правительства Амурской области от 29 сентября 2021 г. N 537-р

См. предыдущую редакцию

4.3. Работы по ТЗКИ объектов информатизации для аппарата губернатора Амурской области и Правительства Амурской области, исполнительных органов государственной власти Амурской области осуществляются на безвозмездной основе и финансируются в рамках субсидии на выполнение государственного задания ГБУ "Центр информационных технологий Амурской области".

Информация об изменениях:

Раздел 4 дополнен пунктом 4.4 с 1 января 2022 г. - Распоряжение Правительства Амурской области от 29 сентября 2021 г. N 537-р

4.4. Обеспечение (приобретение, техническая поддержка, ремонт и т.д.) необходимыми средствами защиты информации в рамках работ по ТЗКИ объектов информатизации для аппарата губернатора области и Правительства области, исполнительных органов государственной власти Амурской области осуществляется РАЦ на безвозмездной основе и финансируется в рамках субсидии на выполнение государственного задания ГБУ "Центр информационных технологий Амурской области". Проведение аттестации объектов информатизации должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации объектов информатизации, не допускается.

Информация об изменениях:

Раздел 4 дополнен пунктом 4.5 с 1 января 2022 г. - Распоряжение Правительства Амурской области от 29 сентября 2021 г. N 537-р

4.5. Аппарат губернатора области и Правительства области, исполнительные органы государственной власти Амурской области обеспечивают сохранность, соблюдение правил эксплуатации предоставленных РАЦ средств защиты информации и несут материальную ответственность за них.

5. Организационная структура РАЦ

5.1. Общую координацию и контроль деятельности РАЦ осуществляет министерство.

5.2. Структура РАЦ определяется ГБУ "Центр информационных технологий Амурской области" и согласовывается с министерством.

5.3. Деятельность РАЦ осуществляется в соответствии с настоящим Положением, Регламентом РАЦ и в соответствии с Планом выполнения работ по ТЗКИ объектов информатизации, который ежегодно в срок до 1 декабря текущего года согласовывается с министерством.