МВД утвердило Порядок организации и проведения первичной и дополнительной экспертизы комплексной системы защиты информации в информационно-телекоммуникационных системах органов и подразделений Национальной полиции.
Как отмечается в приказе от 30 марта 2016 года № 228, первичная экспертиза является основным видом экспертизы и предусматривает выполнение организатором экспертизы всех необходимых мероприятий для подготовки и принятия решения о соответствии объекта экспертизы требованиям действующего законодательства.
Дополнительная экспертиза проводится в отношении объектов экспертизы, в отношении которых открылись новые научные и научно-технические обстоятельства или в связи с окончанием срока действия документов, подтверждающих результаты экспертизы.
Работы по созданию комплексной системы защиты информации (далее – КСЗИ) в информационно-телекоммуникационных системах (далее – ИТС) выполняются органом или подразделением Национальной полиции, эксплуатирующем ИТС.
Организация и проведение работ по защите информации в ИТС осуществляется службой защиты информации, которая обеспечивает определение требований к защите информации в системе, проектирование, разработку и модернизацию системы защиты, а также выполнение работ по эксплуатации системы и контролю за состоянием защищенности информации.
Работы по созданию КСЗИ завершаются проведением экспертизы относительно соответствия КСЗИ требованиям нормативных документов по технической защите информации.
Субъектами экспертизы являются:
– заказчик – орган (или подразделение) Национальной полиции, который является собственником (распорядителем) ИТС, который заказывает проведение экспертизы;
– организатор – подразделение технической защиты информации центрального органа управления Национальной полиции, которое проводит экспертизу;
– работники подразделения технической защиты информации центрального органа управления Национальной полиции, которые являются исполнителями экспертных работ.
Срок проведения экспертизы не должен превышать 6 месяцев.
По результатам экспертных работ составляется перечень выявленных недостатков и нарушений (при их наличии), а также замечаний по устранению указанных недостатков и совершенствованию КСЗИ.
По результатам экспертизы составляется экспертное заключение относительно соответствия КСЗИ требованиям нормативных документов по технической защите информации. На основании положительного экспертного заключения составляется аттестат соответствия, который вместе с экспертным заключением направляется заказчику экспертизы.
https://clck.ru/9uVQC