allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации

Обозначение:
ГОСТ Р 58189-2018
Наименование:
Защита информации. Требования к органам по аттестации объектов информатизации
Статус:
Действует
Дата введения:
01/01/2019
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации


ГОСТ Р 58189-2018



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ТРЕБОВАНИЯ К ОРГАНАМ ПО АТТЕСТАЦИИ ОБЪЕКТОВИНФОРМАТИЗАЦИИ

Information protection. Requirements to bodies forcertification of informatization objects



ОКС 35.020

Датавведения 2019-01-01

Предисловие

Предисловие

1РАЗРАБОТАН Федеральной службой по техническому и экспортномуконтролю (ФСТЭК России), Федеральным автономным учреждением"Государственный научно-исследовательский испытательный институтпроблем технической защиты информации Федеральной службы потехническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭКРоссии")

2ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защитаинформации"

3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 2 августа 2018 г. N447-ст

4ВВЕДЕН ВПЕРВЫЕ


Правила применениянастоящего стандарта установлены в статье26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "Остандартизации в Российской Федерации". Информация обизменениях к настоящему стандарту публикуется в ежегодном (посостоянию на 1 января текущего года) информационном указателе"Национальные стандарты", а официальный текст изменений и поправок- в ежемесячном информационном указателе "Национальные стандарты".В случае пересмотра (замены) или отмены настоящего стандартасоответствующее уведомление будет опубликовано в ближайшем выпускеежемесячного информационного указателя "Национальные стандарты".Соответствующая информация, уведомление и тексты размещаются такжев информационной системе общего пользования - на официальном сайтеФедерального агентства по техническому регулированию и метрологии всети Интернет (www.gost.ru)

1Область применения


Настоящий стандартустанавливает обязательные требования к органам по аттестацииобъектов информатизации, предназначенных для обработки информации,содержащей сведения, составляющие государственную тайну, а также корганизациям, претендующим на аккредитацию в качестве органа поаттестации.

2Нормативные ссылки


Внастоящем стандарте использована нормативная ссылка на следующийстандарт:

ГОСТ Р 50922 Защита информации. Основныетермины и определения

Примечание - Припользовании настоящим стандартом целесообразно проверить действиессылочных стандартов в информационной системе общего пользования -на официальном сайте Федерального агентства по техническомурегулированию и метрологии в сети Интернет или по ежегодномуинформационному указателю "Национальные стандарты", которыйопубликован по состоянию на 1 января текущего года, и по выпускамежемесячного информационного указателя "Национальные стандарты" затекущий год. Если заменен ссылочный стандарт, на который дананедатированная ссылка, то рекомендуется использовать действующуюверсию этого стандарта с учетом всех внесенных в данную версиюизменений. Если заменен ссылочный стандарт, на который данадатированная ссылка, то рекомендуется использовать версию этогостандарта с указанным выше годом утверждения (принятия). Если послеутверждения настоящего стандарта в ссылочный стандарт, на которыйдана датированная ссылка, внесено изменение, затрагивающееположение, на которое дана ссылка, то это положение рекомендуетсяприменять без учета данного изменения. Если ссылочный стандартотменен без замены, то положение, в котором дана ссылка на него,рекомендуется применять в части, не затрагивающей эту ссылку.

3Термины и определения


Внастоящем стандарте применены термины по ГОСТ Р 50922, а также следующие терминыс соответствующими определениями:

3.1 аккредитацияоргана по аттестации объектов информатизации: Официальноепризнание уполномоченным федеральным органом исполнительной властикомпетентности юридического лица выполнять работы по аттестацииобъектов информатизации, предназначенных для обработки информации,содержащей сведения, составляющие государственную тайну.

3.2 аттестацияобъектов информатизации: Комплекс организационных и техническихмероприятий, в результате которых подтверждается соответствиесистемы защиты информации объекта информатизации требованиямбезопасности информации.

3.3

объектинформатизации; ОИ: Совокупность информационных ресурсов,средств и систем обработки информации, используемых в соответствиис заданной информационной технологией, а также средств ихобеспечения, помещений или объектов (зданий, сооружений,технических средств), в которых эти средства и системы установлены,или помещений и объектов, предназначенных для веденияконфиденциальных переговоров.

[ГОСТ Р 51275-2006, статья 3.1]

3.4 орган поаттестации объектов информатизации: Юридическое лицо,выполняющее работы по аттестации объектов информатизации,предназначенных для обработки информации, содержащей сведения,составляющие государственную тайну.

3.5 уполномоченныефедеральные органы исполнительной власти: Федеральные органыисполнительной власти, устанавливающие в пределах своих полномочийобязательные требования соответствия безопасности информации, атакже порядок сертификации продукции, используемой в целях защитыинформации, и аттестации объектов информатизации.

4Обозначения и сокращения


Внастоящем стандарте применены следующие сокращения:

АС - автоматизированнаясистема;

БИ - безопасностьинформации;

НСД - несанкционированныйдоступ;

ОИ - объектинформатизации;

ФОИВ - федеральный органисполнительной власти.

5Общие требования к органам по аттестации объектовинформатизации


Орган по аттестации ОИ иорганизация, претендующая на аккредитацию в качестве органа поаттестации ОИ, должны удовлетворять следующим обязательнымтребованиям к наличию:

-документов, определяющих порядок и правила выполнения работ поаттестации ОИ;

-помещений, предназначенных для размещения работников, измерительныхприборов, средств контроля эффективности технической защитыинформации и ОИ;

-средств измерений и испытаний, необходимых для выполнения работ поаттестации ОИ;

-работников, имеющих соответствующую квалификацию, стаж работы,знания и навыки;

-лицензий, необходимых для выполнения работ по аттестации ОИ;

-ОИ, предназначенных для обработки информации, содержащей сведения,составляющие государственную тайну;

-организационно-распорядительной документации, определяющей задачи,функции, обязанности, права и ответственность органа поаттестации.

6Требования к органам по аттестации объектов информатизации

6.1 Требования кналичию документов, определяющих порядок и правила выполнения работпо аттестации объектов информатизации

Орган по аттестации ОИдолжен иметь в наличии необходимые для выполнения работ поаттестации ОИ нормативные правовые акты, методические документы инациональные стандарты, определяющие порядок и методики проведенияаттестационных испытаний в целях подтверждения соответствия ОИтребованиям БИ. Перечень таких документов определяетсясоответствующим уполномоченным ФОИВ.

Орган по аттестации ОИдолжен обеспечить учет, хранение и актуализацию фонда нормативныхправовых актов, методических документов и национальных стандартов вустановленном законодательством Российской Федерации порядке.

6.2 Требования кналичию помещений

Орган по аттестации ОИдолжен иметь помещения, принадлежащие ему на праве собственностиили ином законном основании, в которых созданы необходимые условия,установленные требованиями руководящих и нормативных документов,утвержденных соответствующими уполномоченными ФОИВ, для размещенияработников, измерительных приборов, средств контроля эффективноститехнической защиты информации и ОИ, предназначенных для обработкиинформации, содержащей сведения, составляющие государственнуютайну.

6.3 Требования кналичию средств измерений и испытаний

Орган по аттестации ОИдолжен иметь принадлежащие ему на праве собственности средстваизмерений, испытательное оборудование и программные(программно-аппаратные) средства, необходимые для выполнения работпо аттестации ОИ. Примерный перечень средств измерений,испытательного оборудования и программных (программно-аппаратных)средств определяется соответствующим ФОИВ.