Типовое положение
об органе по сертификации средств защиты
информации по требованиям безопасности
информации
Утверждено приказом
председателя Государственной технической
комиссии при Президенте Российской Федерации от
5 января 1996 г. № 3
1. Общие положения
2. Задачи и функции органа по
сертификации
3. Административная структура органа по
сертификации
4. Права, обязанности и ответственность
органа по сертификации
5. Оплата работ, выполняемых органом по
сертификации
1.1. Настоящее
Типовое положение устанавливает общие
требования к органу по сертификации средств
обработки и передачи информации, средств защиты
и контроля защищенности информации (далее
продукции) по требованиям безопасности
информации, его функции, права, обязанности и
ответственность, правила оплаты работ,
выполняемых органом по сертификации.
1.2. Типовое положение
разработано в соответствии с Законом Российской
Федерации "О сертификации продукции и
услуг", на основании "Системы сертификации
ГОСТ Р. Требования к органу по сертификации и
порядок его аккредитации" , "Правил по
проведению сертификации в Российской
Федерации", а также "Положения об
обязательной сертификации продукции по
требованиям безопасности информации".
1.3. Орган по сертификации
является составной частью организационной
структуры системы обязательной сертификации
продукции и аттестации объектов информатики по
требованиям безопасности информации.
1.4. Орган по сертификации
аккредитован государственным органом по
сертификации продукции и аттестации объектов
информатики (далее - государственный орган по
сертификации и аттестации), которым является
Государственная техническая комиссия при
Президенте Российской Федерации (Гостехкомиссия
России) в пределах ее компетенции, определенной
законодательными актами Российской Федерации.
Правила аккредитации определяются действующим в
системе "Положением об аккредитации органов
по аттестации объектов информатики,
испытательных центров и органов по сертификации
продукции по требованиям безопасности
информации".
1.5. В качестве органа по
сертификации аккредитовано юридическое лицо -
предприятие, организация или учреждение (далее -
предприятие) или отдельное его структурное
подразделение, обладающее необходимой
компетенцией в той области защиты информации, в
которой оно аккредитуется, и отвечает
установленным требованиям.
1.6. Орган по сертификации
быть независимым настолько, что его
административная подчиненность, финансовое
положение полностью исключают возможность
коммерческого, административного или
какого-либо другого воздействия на персонал,
способного оказать влияние на результаты
сертификации со стороны заявителя или других
заинтересованных сторон. Орган по сертификации
не участвует в сертификации продукции,
разработанной (производимой) в этом органе или в
других подразделениях в рамках одного
юридического лица.
1.7. Орган по сертификации в
своей деятельности руководствуется
законодательством Российской Федерации,
государственными стандартами, нормативной и
методической документацией по вопросам
сертификации продукции и защиты информации,
утвержденной государственными органами по
сертификации и аттестации в пределах их
компетенции.
1.8. Положение о конкретном
органе по сертификации разрабатывается на
основании настоящего Типового положения с
учетом конкретной области аккредитации и его
административной структуры. В положении
указываются конкретные виды продукции, по
сертификации которых орган аккредитуется
государственными органами по сертификации и
аттестации, дается краткое описание
юридического статуса органа по сертификации.
Положение подписывается руководителем органа по
сертификации и утверждается руководством
государственного органа по сертификации и
аттестации.
1.9. Взаимодействие органа
по сертификации с государственными органами по
сертификации и аттестации в пределах их
компетенции осуществляется на основе
лицензионного договора на право проведения
сертификации продукции в заявленной области
аккредитации.
2. Задачи и функции органа по сертификации
2.1. Основными
задачами органа по сертификации являются
проведение сертификации продукции по
требованиям безопасности информации в
заявленной области аккредитации, контроля и
надзора за сертифицированной этим органом
продукции и деятельностью испытательных центров
(лабораторий) по сертификации.
2.2. Орган по сертификации
осуществляет следующие функции:
сертифицирует продукцию,
выдает сертификаты и лицензии на применение
знака соответствия, регистрирует их в
государственном реестре системы;
участвует в аккредитации
испытательных центров (лабораторий);
осуществляет
инспекционный контроль за стабильностью
характеристик сертифицированной продукции и
состоянием ее про-изводства, а также надзор за
деятельностью испытательных центров
(лабораторий);
совместно с
государственными органами по сертификации и
аттестации и территориальными органами
Госстандарта России принимает участие в
аттестации производства, на котором
производится сертифицируемая продукция;
определяет схему
проведения сертификации конкретной продукции с
учетом предложения заявителя;
рекомендует заявителю
испытательный центр (лабораторию) для проведения
испытаний;
приостанавливает либо
отменяет действие выданных им сертификатов в
случае нарушения изготовителем требований
стандартов и иных нормативных и методических
документов по безопасности информации;
формирует фонд документов, необходимых для
сертификации, участвует в их разработке;
разрабатывает и ведет
методическую документацию по сертификации
конкретных видов продукции;
взаимодействует с
изготовителем конкретных видов продукции в
своей области аккредитации по своевременной
сертификации продукции при изменении требований
стандартов;
участвует в разработке
корректирующих мероприятий для повышения
стабильности характеристик сертифицированной
продукции, определяющих безопасность
информации;
ведет перечень
сертифицированной продукции в своей области
аккредитации и готовит для публикации
информацию о результатах сертификации;
ведет перечень
аттестованных тестирующих средств;
представляет заявителю по
его требованию необходимую информацию в
пределах своей компетенции.
3. Административная структура органа по сертификации
3.1.
Административная структура органа по
сертификации состоит из внештатного
управляющего совета и постоянного штата
сотрудников.
3.2. Управляющий совет
формируется из компетентных в конкретной
области защиты информации специалистов
различных отраслей и ведомств в целях
определения единой технической политики по
сертификации конкретных видов продукции в
заявленной области аккредитации и исключения
дискриминации заявителей при осуществлении
сертификации.
Управляющий совет:
готовит предложения по
совершенствованию системы сертификации
конкретных видов продукции;
осуществляет надзор за
качеством проведения экспертизы результатов
испытаний продукции, а при необходимости, и
испытаний продукции;
определяет другие
принципиальные вопросы сертификации продукции и
аттестации производства.
3.3. Постоянный штат
сотрудников (персонал) органа по сертификации
организует и осуществляет работы по
сертификации продукции в соответствии с
возложенными на орган функциями и обязанностями,
определяемыми должностными инструкциями, и
должен обладать необходимой квалификацией и
компетентностью, и пройти специальную
подготовку.
3.4. В конкретном положении
об органе по сертификации приводится его
организационная структура, отражающая
подчиненность и распределение обязанностей
персонала.
4. Права, обязанности и ответственность органа по сертификации
4.1. Орган по
сертификации имеет право:
привлекать на договорной
основе для работы в управляющем совете, для
проведения аттестации производства
сертифицированной продукции и экспертизы
результатов испытаний наиболее компетентных в
области защиты информации специалистов;
устанавливать договорные
цены на сертификацию продукции; принимать
участие в проведении испытаний конкретных видов
продукции в заявленной области аккредитации в
испытательных центрах (лабораториях) по
сертификации;
устанавливать
испытательному центру методы испытаний, формы
протоколов испытаний, других документов;
осуществлять надзор за
деятельностью испытательных центров
(лабораторий) по сертификации конкретных видов
продукции в своей области аккредитации;
отказывать заявителю в
сертификации продукции, указав при этом мотивы
отказа и возможные альтернативные варианты
сертификации;
отменять или
приостанавливать действие выданных им ранее
сертификатов соответствия и лицензий на
применение знака соответствия в случае
нарушения изготовителем требований стандартов и
иных нормативных документов по безопасности
информации;
запрашивать и получать в
установленном порядке от заявителей и
испытательных центров (лабораторий)
документацию, сведения и материалы, необходимые
для проведения работ по сертификации;
выносить вопросы,
относящиеся к сертификации, на рассмотрение
государственных органов по сертификации и
аттестации и Госстандарта России, в пределах их
компетенции.
4.2. Орган по сертификации
обязан:
соблюдать в полном объеме
все правила и порядок сертификации,
установленные основополагающими документами
Системы сертификации и аттестации по
требованиям безопасности информации,
организационно-методическими документами
данной Системы и другими документами,
предъявляемыми при аккредитации;
выдавать или признавать
сертификаты соответствия на ту продукцию, для
которой доказано ее соответствие конкретным
нормативным документам по правилам данной
Системы;
при введении в
нормативные документы на продукцию новой нормы
на ранее сертифицированное требование
информировать изготовителя продукции в течение
месяца о сроках и порядке ее введения, а также
оказывать ему содействие в своевременном
проведении работы по сертификации продукции в
соответствии с новыми нормами;
информировать
Гостехкомиссию России о всех изменениях, которые
могут привести к необходимости рассмотреть
вопрос о проведении аккредитации и пересмотре
(или расторжении) данного лицензионного договора
(см. таблицу);
вести учет всех
предъявляемых рекламаций к сертифицированной
продукции и информировать об этом
Гостехкомиссию России;
в установленные договором
с заявителем сроки проводить сертификацию
продукции;
обеспечивать
объективность экспертизы результатов испытаний
продукции и аттестации производства;
своевременно
регистрировать сертифицированную продукцию;
поддерживать в рабочем
состоянии систему протоколирования процедур
сертификации;
организовывать
аттестацию тестирующих средств;
обеспечивать сохранение
государственной и коммерческой тайны в процессе
и по завершении сертификации продукции,
соблюдения авторского права;
представлять в
государственные органы по сертификации и
аттестации, в центральные органы систем
сертификации информацию о своей деятельности;
допускать в установленном
порядке представителей контролирующих органов
для осуществления надзора за сертификацией
продукции;
представлять заявителям
информацию об оказываемых услугах.
4.3. Орган по сертификации
несет ответственность за:
правильность выдачи
сертификата соответствия и подтверждение его
действия;
полноту и качество
выполнения функций и обязанностей, возложенных
на него;
соблюдение требований
государственных стандартов, нормативных и
методических документов, предъявляемых к
порядку сертификации;
соблюдение установленных
сроков проведения сертификации;
обеспечение сохранности
государственной тайны и коммерческой тайны
заявителя;
соблюдение прав
собственности заявителя на сертифицируемую
продукцию, а также его авторского права;
соблюдение действующего законодательства.
5. Оплата работ, выполняемых органом по сертификации
5.1. Работа по
проведению сертификации продукции по
требованиям безопасности информации, а также
связанное с этой работой осуществление функций и
обязанностей является для органа по
сертификации хозрасчетным видом деятельности,
осуществляемой на основе: договоров с
заявителями на проведение сертификации
продукции и аттестации производства; трудовых
договоров (контрактов) с членами управляющего
совета и экспертами, привлекаемыми к работе по
сертификации и аттестации производства
сертифицированной продукции.
5.2. Расходы по проведению
всех видов работ и услуг по сертификации
продукции и аттестации производства оплачивают
заявители. Оплата производится по утвержденным
расценкам, а при их отсутствии - по договорной
цене.
5.3. Оплата работы членов
управляющего совета и экспертов производится
органом по сертификации в соответствии с
заключенными трудовыми договорами (контрактами)
за счет финансовых средств от заключаемых
договоров на сертификацию продукции.
5.4. Участие органа по
сертификации в государственном надзоре и
разработке методической документации по
обязательной сертификации продукции в
заявленной области аккредитации осуществляется
за счет средств госбюджета, выделяемых
государственными органами по сертификации и
аттестации.