"Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается"
Кто же такие должностные лица?
В ФЗ данное определение относится только к органам власти, а исключение на коммерческие организации приведены только в КОАП.
А в коммерческих организациях ""...К лицам, выполняющим управленческие функции в коммерческой или иной организации, относятся лица, выполняющие функции единоличного исполнительного органа, члена совета директоров или иного коллегиального исполнительного органа, а также лица, постоянно, временно или по специальному полномочию выполняющие организационно-распорядительные или административно-хозяйственные функции в этих организациях (например, директор, генеральный директор, член правления акционерного общества, председатель производственного или потребительского кооператива, руководитель общественного объединения, религиозной организации)..."
В ФЗ данное определение относится только к органам власти, а исключение на коммерческие организации приведены только в КОАП.
А в коммерческих организациях ""...К лицам, выполняющим управленческие функции в коммерческой или иной организации, относятся лица, выполняющие функции единоличного исполнительного органа, члена совета директоров или иного коллегиального исполнительного органа, а также лица, постоянно, временно или по специальному полномочию выполняющие организационно-распорядительные или административно-хозяйственные функции в этих организациях (например, директор, генеральный директор, член правления акционерного общества, председатель производственного или потребительского кооператива, руководитель общественного объединения, религиозной организации)..."
Учитывая, что аттестацией и проектированием занимаются в основном коммерческие организации, то формулировка ФСТЭК вызывает неоднозначность толкования. Не кодексом же о нарушениях руководствоваться.
Ведь ранее ФСТЭК отлично применяла формулировки:
5.2) знакомить руководителя, иное должностное лицо или уполномоченного представителя лицензиата с документами и (или) информацией, полученными в рамках межведомственного информационного взаимодействия;
6) предоставлять руководителю лицензиата (иному уполномоченному им лицу), присутствующему при проведении проверки, информацию и документы, относящиеся к предмету проверки;
Из приказа ФСТЭК от 20 июля 2012 г. N 89
Ведь речь идет о лицензиатах по ТЗКИ, аттестацию иначе не проведешь.
Ведь ранее ФСТЭК отлично применяла формулировки:
5.2) знакомить руководителя, иное должностное лицо или уполномоченного представителя лицензиата с документами и (или) информацией, полученными в рамках межведомственного информационного взаимодействия;
6) предоставлять руководителю лицензиата (иному уполномоченному им лицу), присутствующему при проведении проверки, информацию и документы, относящиеся к предмету проверки;
Из приказа ФСТЭК от 20 июля 2012 г. N 89
На настоящий момент имеется официальный ответ ФСТЭК, что проектирование и аттестацию может проводить одно юридическое лицо, но выполнять работы должны разные работники данного юрлица.
Комментариев нет:
Отправить комментарий