- соблюдение санитарных норм;
- исполнение требований пожарной безопасности;
- исполнение требований по защите сведений, составляющих государственную и иную охраняемую законом тайну;
- размещение необходимых для выполнения работ в соответствующей области аккредитации работников, измерительных приборов, испытательного оборудования и автоматизированных систем, предназначенных для обработки информации ограниченного доступа при проведении работ в заявленной (определенной аттестатом аккредитации) области аккредитации.
5.3. Наличие у заявителя (аккредитованного лица) измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, необходимых для выполнения работ в соответствующей области аккредитации, в том числе:
- наличие на праве собственности измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), и испытательного оборудования, необходимых для проведения исследований функциональных свойств аппаратных и программно-аппаратных средств защиты информации на соответствие требованиям информационной безопасности;
- наличие на праве собственности или ином законном основании программных (программно-аппаратных) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, необходимых для проведения исследований функциональных свойств программных и программно-аппаратных средств защиты информации на соответствие требованиям информационной безопасности.
5.4. Наличие у заявителя (аккредитованного лица) в штате работников, заключивших с ним трудовой договор, которые обладают знаниями в заявленной (определенной аттестатом аккредитации) области аккредитации, квалификацией, соответствующей требованиям, установленным для сотрудников организаций, имеющих лицензию на осуществление отдельных видов деятельности в части разработки средств защиты информации, выданную ФСБ России, и могут выполнять (выполняют) работы по оценке (подтверждению) соответствия требованиям по безопасности информации продукции, в том числе наличие:
- руководителя заявителя (аккредитованного лица) или лица, уполномоченного руководить работами по оценке (подтверждению) соответствия требованиям по безопасности информации продукции, указанной в области аккредитации, имеющего допуск к государственной тайне по форме, соответствующей степени секретности работ в заявленной (определенной аттестатом аккредитации) области аккредитации, а также высшее профессиональное образование по направлению подготовки "Информационная безопасность"*(3) и не менее 5 лет стажа работы в области разработки или проведения работ по оценке (подтверждению) соответствия требованиям по безопасности информации продукции, указанной в области аккредитации, или иное высшее техническое образование и не менее 10 лет стажа работы в области разработки или проведения работ по оценке (подтверждению) соответствия требованиям по безопасности информации продукции, указанной в области аккредитации, или не менее 5 лет стажа в случае прохождения им обучения по программам профессиональной переподготовки по направлению "Информационная безопасность" со сроком обучения не менее 360 часов;
- не менее 3 работников для проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности технических средств защиты информации, включая средства контроля эффективности принятых мер защиты информации, имеющих допуск к государственной тайне по третьей форме, высшее профессиональное образование по направлениям подготовки "Информационная безопасность" или "Физико-математические науки", или "Информатика и вычислительная техника", или "Приборостроение и оптотехника", или "Электронная техника, радиотехника и связь", а также имеющих не менее 3 лет стажа работы в области проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности технических средств защиты информации, включая средства контроля эффективности принятых мер защиты информации, или не менее 5 лет опыта непосредственной разработки технических средств защиты информации, включая средства контроля эффективности принятых мер защиты информации;
- не менее 3 работников для проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности технических средств и систем в защищенном исполнении, имеющих допуск к государственной тайне по третьей форме, высшее профессиональное образование по направлениям подготовки "Информационная безопасность" или "Физико-математические науки", или "Информатика и вычислительная техника", или "Приборостроение и оптотехника", или "Электронная техника, радиотехника и связь", а также имеющих не менее 3 лет стажа работы в области проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности технических средств и систем в защищенном исполнении или не менее 5 лет опыта непосредственной разработки технических средств и систем в защищенном исполнении;
- не менее 3 работников для проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности программно-технических средств некриптографической защиты информации, имеющих допуск к государственной тайне по третьей форме, высшее профессиональное образование по направлениям подготовки "Информационная безопасность" или "Информатика и вычислительная техника", или "Электронная техника, радиотехника и связь", а также имеющих не менее 3 лет стажа работы в области проведения специальных исследований и исследований функциональных свойств на соответствие требованиям информационной безопасности программно-технических средств некриптографической защиты информации или не менее 5 лет опыта непосредственной разработки программно-технических средств некриптографической защиты информации;
- не менее 3 работников для проведения исследований функциональных свойств на соответствие требованиям информационной безопасности программных средств защиты информации и защищенных программных средств обработки информации*(4), имеющих допуск к государственной тайне по третьей форме, высшее профессиональное образование по направлениям подготовки "Информационная безопасность" или "Информатика и вычислительная техника", или "Электронная техника, радиотехника и связь", или специальностям 010100, 010101, 010200, 010300, 010400, 010500, 010600 направления "Физико-математические науки", а также имеющих не менее 3 лет стажа работы в области проведения исследований функциональных свойств на соответствие требованиям информационной безопасности программных средств защиты информации или защищенных программных средств обработки информации или не менее 5 лет опыта непосредственной разработки программных средств защиты информации.
Работники, имеющие стаж работы в области проведения исследований продукции в заявленной (определенной аттестатом аккредитации) области аккредитации менее 3 лет, должны пройти обучение по программе повышения квалификации по оценке (подтверждению) соответствия требованиям по безопасности информации исследуемой продукции со сроком обучения не менее 72 часов.
5.5. Наличие у заявителя (аккредитованного лица) соответствующей лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну, со степенью секретности, соответствующей степени секретности работ в заявленной (определенной аттестатом аккредитации) области аккредитации.
5.6. Наличие у заявителя (аккредитованного лица) принадлежащих ему на праве собственности автоматизированных систем, предназначенных для обработки информации ограниченного доступа, в том числе информации, составляющей государственную тайну, а также средств ее защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации, соответствующих степени секретности используемой информации.
5.7. Наличие у заявителя (аккредитованного лица) в структуре подразделения, на которое возложены функции по защите государственной тайны, и работника, ответственного за обеспечение безопасности секретной информации при ее обработке с использованием технических средств.
5.8. Наличие у заявителя (аккредитованного лица) разрешения на право осуществления конкретных видов деятельности в области защиты информации, соответствующих заявленной (определенной аттестатом аккредитации) области аккредитации.
II. Прием и регистрация заявления об аккредитации и документов, представленных заявителем
6. Для получения аттестата аккредитации заявитель представляет в Центр заявление об аккредитации и прилагаемые к нему документы, необходимые для организации и проведения аккредитации и подтверждающие соответствие заявителя (аккредитованного лица) критериям аккредитации (далее - заявление*(5), если не оговорено иное).
7. Заявление представляется заявителем в Центр непосредственно или направляется заказным почтовым отправлением с уведомлением о вручении.
8. Заявление принимается Центром по описи, копия которой с отметкой о дате приема указанного заявления в день приема вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
9. Поступившее в Центр заявление подлежит регистрации в день его поступления.
10. Центр проверяет комплектность представленных заявителем документов и полноту изложенных в них сведений.
В случае если заявитель представил необходимые документы не в полном объеме и (или) заявление ненадлежащим образом оформлено, Центр в течение 10 рабочих дней со дня получения заявления об аккредитации и прилагаемых к нему документов направляет заявителю заказным почтовым отправлением с уведомлением о вручении или вручает ему уведомление о необходимости устранения в 30-дневный срок выявленных несоответствий и (или) представления недостающих документов.
11. В случае непредставления заявителем в установленный срок надлежащим образом оформленного заявления и (или) прилагаемых к нему документов Центр в течение 5 рабочих дней со дня истечения срока устранения заявителем выявленных несоответствий направляет заявителю заказным почтовым отправлением с уведомлением о вручении или вручает ему уведомление об отказе в аккредитации.
12. В случае если заявление об аккредитации и прилагаемые к нему документы представлены в полном объеме и соответствуют установленным ФСБ России требованиям, Центром проводится оценка соответствия заявителя критериям аккредитации.
III. Оценка соответствия заявителя критериям аккредитации и принятие решения по ее результатам
13. Оценка соответствия заявителя критериям аккредитации осуществляется экспертной комиссией путем документарной проверки и проверки заявителя, проводимой по месту (местам) осуществления деятельности (далее - выездная проверка), на безвозмездной основе.
14. В состав экспертной комиссии включаются должностные лица Центра и привлекаемые Центром в качестве экспертов по аккредитации сотрудники иных подразделений ФСБ России. Руководство экспертной комиссией осуществляет уполномоченное должностное лицо Центра.
15. Документарная проверка проводится в течение 20 рабочих дней после представления в Центр соответствующих установленным ФСБ России требованиям заявления об аккредитации и прилагаемых к нему документов в полном объеме.
В ходе документарной проверки экспертной комиссией оценивается соответствие заявителя критериям аккредитации в заявленной области на основании представленных им документов, а также проверяется полнота и достоверность сведений о заявителе, содержащихся в заявлении.
16. В случае если по результатам документарной проверки не выявлено оснований для отказа в аккредитации, Центром оформляется предписание на проведение выездной проверки.
Предписание на проведение выездной проверки подписывается начальником Центра или лицом, исполняющим его обязанности, и заверяется печатью Центра.
17. Сроки проведения выездной проверки согласуются с заявителем не позднее чем за 3 рабочих дня до ее начала письменно или любым другим способом. Выездная проверка проводится в течение 5 рабочих дней.
18. По результатам оценки соответствия заявителя критериям аккредитации составляется заключение о соответствии (несоответствии) заявителя критериям аккредитации.
Заключение подписывается всеми членами экспертной комиссии и утверждается уполномоченным должностным лицом Центра.
19. В случае отсутствия оснований для отказа в аккредитации Центром принимается решение об аккредитации (расширении области аккредитации).
Решение об аккредитации (расширении области аккредитации) оформляется приказом начальника Центра или лица, исполняющего его обязанности, о предоставлении аттестата аккредитации одновременно с аттестатом аккредитации. Аттестат аккредитации подписывается начальником Центра или лицом, исполняющим его обязанности.
20. Данные об аккредитованном лице в течение 3 дней со дня принятия решения об аккредитации вносятся в реестр аккредитованных органов по сертификации и испытательных лабораторий (центров) (далее - реестр аккредитованных лиц).
21. В течение 10 рабочих дней со дня принятия решения об аккредитации аттестат аккредитации вручается заявителю или направляется почтовым отправлением с уведомлением о вручении.
22. В случае если в ходе оценки соответствия заявителя критериям аккредитации выявлено несоответствие заявителя критериям аккредитации, Центр приостанавливает процедуру аккредитации и в течение 5 рабочих дней со дня принятия такого решения направляет заявителю уведомление о необходимости устранения в 30-дневный срок выявленного несоответствия.
23. Основаниями для отказа в аккредитации являются:
- несоответствие заявителя критериям аккредитации;
- наличие в заявлении и (или) в прилагаемых к нему документах недостоверной информации;
- неисполнение в установленный срок уведомления о необходимости устранения выявленного несоответствия заявителя критериям аккредитации;
- отказ или уклонение заявителя от процедуры оценки соответствия критериям аккредитации.
24. В случае принятия решения об отказе в аккредитации Центр в течение 5 рабочих дней со дня принятия такого решения письменно уведомляет об этом заявителя с указанием мотивированных причин отказа.
Решение об отказе в аккредитации Центр оформляет в виде соответствующего приказа.