Глава III. Общие требования к защите информации
Статья 13. Обеспечение защиты информации
Защита информации обеспечивается путем:
соблюдения субъектами правовых отношений норм, требований и правил организационного и технического характера по защите информации;
использования средств вычислительной техники, программного и аппаратного обеспечения и в целом средств защиты, отвечающих установленным требованиям по защите информации; осуществления контроля по защите информации.
Статья 14. Установление требований, правил и условий по защите информации
Требования и правила по защите информации, являющейся собственностью государства или информации, защита которой гарантируется государством, устанавливаются государственными органами, уполномоченными Правительством Республики Таджикистан.
Условия защиты информации в технических средствах обработки информации осуществляются в порядке, установленном соответствующим положением, утверждаемым Правительством Республики Таджикистан.
Эти требования, правила и условия по защите информации являются обязательными для субъектов этих отношений.
Статья 15. Функции Государственного органа по сертификации средств защиты информации
Средства защиты информации должны иметь сертификат государственного органа, уполномоченного Правительством Республики Таджикистан. В процессе сертификации средств защиты осуществляется также их проверка (аттестация). Собственник информации вправе обратиться в органы сертификации с ходатайством о проведении проверки средств защиты и получить соответствующее заключение. Создание и координация системы сертификации средств защиты информации по требованиям безопасности информации осуществляется уполномоченным Правительством Республики Таджикистан государственным органом, который осуществляет свою деятельность на основании законодательства Республики Таджикистан и положения о сертификации средств защиты информации по требованиям безопасности информации, утверждаемого Правительством Республики Таджикистан. Государственный орган, осуществляющий сертификацию средств защиты информации, обеспечивает выполнение следующих функций:
создание и координация системы сертификации средств защиты информации по требованиям безопасности информации;
создание и функционирование системы сертификации средств защиты информации; определение перечня средств защиты подлежащих обязательной сертификации;
установление правил аккредитации и выдачи лицензий на проведение работ по сертификации;
разработку и утверждение нормативных и методических документов системы сертификации средств защиты информации;
ведение государственного реестра участников и объектов сертификации; осуществление государственного контроля и надзора (в том числе инспекционного) за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
рассмотрение апелляций по вопросам сертификации; организация периодической публикации сведений о системе сертификации, ее требованиях и правилах, с указанием перечня средств защиты информации подлежащих сертификации с их сертификационными параметрами, перечня органов по сертификации конкретных видов средств защиты информации, перечня испытательных центров (лабораторий), перечня нормативных документов на соответствие требованиям, по которым проводится сертификация средств защиты информации и методических документов по проведению сертификационных испытаний; координация деятельности органов по сертификации и испытательных органов (лабораторий), входящих в систему сертификации средств защиты информации.
Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации, и подлежат государственной регистрации в порядке, установленном Правительством Республики Таджикистан.
Статья 16. Сертификация средств защиты информации
Под объектами информатизации, аттестуемыми требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается и утверждается государственным органом, координирующим деятельность системы сертификации средств защиты информации. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Испытания средств защиты информации проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе, или по согласованию с государственным органом, осуществляющим координацию системы сертификации средств защиты информации на базе заявителя. Основанием проведения работ по сертификации является договор между участниками сертификации. Расходы по проведению сертификации средств защиты информации относятся на ее себестоимость. Решения о приостановлении или отмене действия сертификата и аттестата аккредитации принимает государственный орган, координирующий деятельность системы сертификации средств защиты информации.
Органы, осуществляющие деятельность по сертификации средств защиты информации, и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, других конфиденциальных сведений, а также за соблюдение авторских прав заявителей при испытаниях его средств защиты информации.
Неправомерные действия органов по сертификации могут быть обжалованы в судебном порядке.