Типовое положение
об органе по аттестации объектов информатизации
по требованиям безопасности информации
Утверждено приказом
председателя Государственной технической
комиссии при Президенте Российской Федерации от
5 января 1996 г. № 3
1. Общие положения
2. Задачи и функции органа по аттестации
3. Деятельность аттестационных
комиссий
4. Права, обязанности и ответственность
органа по аттестации
1.1. Настоящее
Типовое положение устанавливает общие
требования к органу по аттестации объектов
информатики по требованиям безопасности
информации (далее - орган по аттестации), его
функции, права, обязанности и ответственность.
1.2. Типовое положение
разработано в соответствии с законом Российской
Федерации "О государственной
тайне", "Положением о государственной
системе защиты информации в Российской
Федерации от иностранных технических разведок и
от ее утечки по техническим каналам",
"Системой сертификации ГОСТ Р", на основании
"Положения об обязательной сертификации
продукции по требованиям безопасности
информации", "Положения по
аттестации объектов информатики по требованиям
безопасности информации" , а также "Положения о государственном
лицензировании деятельности в области защиты
информации" и предназначено для
использования при разработке Положений о
конкретных органах по аттестации.
1.3. Орган по аттестации
является составной частью организационной
структуры единой системы обязательной
сертификации продукции и аттестации объектов
информатики по требованиям безопасности
информации.
1.4. Орган по аттестации
может формироваться из состава специальных
центров Государственной технической комиссии
при Президенте Российской Федерации
(Гостехкомиссия России), отраслевых и
региональных учреждений, предприятий и
организаций по защите информации.
1.5. Орган по аттестации
аккредитуется государственным органом по
сертификации продукции и аттестации объектов
информатики по требованиям безопасности
информации (далее - государственный орган по
сертификации и аттестации), которым является
Гостехкомиссия России в пределах ее компетенции,
определенной законодательными актами
Российской Федерации. Государственные органы по
сертификации и аттестации могут передавать
права на аккредитацию отраслевых (ведомственных)
органов по аттестации другим органам
государственной власти. Правила аккредитации
определяются действующим в системе сертификации
и аттестации "Положением об аккредитации
органов по аттестации объектов информатики,
испытательных центров и органов по сертификации
продукции по требованиям безопасности
информации".
1.6. Орган по аттестации в
своей деятельности руководствуется
законодательством Российской Федерации,
государственными стандартами России,
нормативной и методической документацией
государственных органов по сертификации и
аттестации по требованиям безопасности
информации в пределах их компетенции.
1.7. Положение о конкретном
органе по аттестации разрабатывается на
основании настоящего Типового положения с
учетом юридического статуса и заявленной
области аккредитации. В Положении указываются
виды объектов информатики, по которым орган по
аттестации претендует на аккредитацию
государственным органом по сертификации и
аттестации. Положение подписывается
руководителем органа по аттестации,
согласовывается с руководителем органа,
осуществляющего аккредитацию, и утверждается
руководством государственного органа по
сертификации и аттестации.
1.8. Расходы по проведению
всех видов работ и услуг по аттестованию
объектов информатики по требованиям
безопасности информации, как при обязательном,
так и добровольном аттестовании, оплачивают
заявители за счет финансовых средств, выделенных
на разработку (доработку) и введение в действие
защищаемого объекта информатики.
1.9. Деятельность органа по
аттестации, аккредитованного соответствующим
государственным органом по сертификации и
аттестации осуществляется на основе лицензии на
определенные виды деятельности (см. "Положение о лицензирова-нии...")
и Аттестата аккредитации (см. "Положение об
аккредитации..."), выданных ему на право
проведения аттестации объектов информатики.
2. Задачи и функции органа по аттестации
2.1. Основными
задачами органа по аттестации являются
организация и проведение аттестации объектов
информатики по требованиям безопасности
информации, а также контроль за состоянием и
эксплуатацией аттестованных этим органом
объектов информатики.
2.2. Орган по аттестации
осуществляет следующие функции:
формирует и поддерживает
в актуальном состоянии фонд нормативной и
методической документации, используемой при
аттестации конкретных типов объектов
информатики;
рассматривает заявки на
аттестацию объектов информатики, планирует
работы по аттестации объектов информатики и
доводит сроки проведения аттестации до
заявителей;
проводит анализ исходных
данных по аттестуемым объектам и определяет
схему аттестации, решает вопросы о необходимости
проведения испытаний несертифицированной
продукции, используемой на аттестуемом объекте,
в испытательных центрах (лабораториях);
организует работы по
аттестации объектов информатики как на основе
заключенных договоров, так и иных
взаимоотношений, определяемых на предприятии и
закрепляемых в Положении о конкретном органе;
разрабатывает программу,
а при необходимости и методики аттестационных
испытаний;
формирует и командирует
(при проведении работ по аттестации по заказам
сторонних заявителей) аттестационные комиссии
из компетентных специалистов в необходимых для
конкретного объекта информатики направлениях
защиты информации, привлекает к работе в этих
комиссиях специалистов испытательных центров
(лабораторий) по сертификации продукции в случае
испытаний продукции непосредственно на
аттестуемом объекте информатики;
рассматривает результаты
аттестационных испытаний объекта информатики,
утверждает заключение по результатам аттестации
и выдает заявителю "Аттестат соответствия";
при осуществлении
контроля за состоянием и эксплуатацией
аттестованных объектов информатики проверяет
соответствие реальных условий эксплуатации
объекта и технологии обработки защищаемой
информации условиям и технологии, при которых
выдан "Аттестат соответствия";
отменяет и
приостанавливает действие выданных этим органом
"Аттестатов соответствия";
ведет информационную базу аттестованных этим
органом объектов информатики;
осуществляет
взаимодействие с государственными органами по
сертификации и аттестации и информирует их о
своей деятельности в области аттестации.
3. Деятельность аттестационных комиссий
3.1.
Аттестационные комиссии формируются органом по
аттестации объектов информатики из числа как
штатных сотрудников органа по аттестации, так и
специалистов в различных направлениях защиты
информации других предприятий и ор-ганизаций
таким образом, чтобы обеспечить комплексную
проверку конкретного защищаемого объекта
информатики с целью оценки его соответствия
требуемому уровню безопасности информации.
3.2. При необходимости, в
случае проведения испытаний отдельных средств и
систем защиты информации на аттестуемом объекте
информатики, в состав аттестационной комиссии
включаются специалисты испытательных центров
(лабораторий) по сертификации конкретных видов
продукции.
3.3. В состав
аттестационных комиссий включаются
компетентные в соответствующем направлении
защиты информации специалисты, имеющие опыт
научно-практической деятельности и
контрольно-проверочной работы, не участвующие
непосредственно в деятельности заявителей.
3.4. Постоянный штат
сотрудников (персонал) органа по аттестации
осуществляет свою деятельность в соответствии с
должностными инструкциями и должен обладать
необходимой квалификацией и компетентностью.
4. Права, обязанности и ответственность органа по аттестации
4.1. Орган по
аттестации имеет право:
привлекать в порядке,
определяемом в Положении о конкретном органе,
для работы в аттестационных комиссиях наиболее
компетентных специалистов;
устанавливать сроки,
договорные цены на проведение аттестации, а
также устанавливать иные условия взаимодействия
или взаиморасчетов, определяемые в Положении о
конкретном органе;
отказывать заявителю в
аттестации объекта информатики, указав при этом
мотивы отказа и конкретные рекомендации по
проведению аттестации;
участвовать в контроле за
состоянием и эксплуатацией аттестованного этим
органом объекта информатики;
лишать и приостанавливать
действие "Аттестата соответствия" в случае
нарушения его владельцем условий
функционирования объекта информатики,
технологии обработки защищаемой информации и
требований по безопасности информации.
4.2. Орган по аттестации
обязан:
соблюдать в полном объеме
все правила и порядок сертификации,
установленные основополагающими документами
системы сертификации и аттестации по
требованиям безопасности информации,
организационно-методическими документами
данной Системы и другими документами,
предъявляемыми при аккредитации;
выдавать или признавать
сертификаты соответствия на ту продукцию, для
которой доказано ее соответствие конкретным
нормативным документам по правилам данной
Системы;
при введении в
нормативные документы на продукцию новой нормы
на ранее сертифицированное требование
информировать изготовителя продукции в течение
месяца о сроках и порядке ее введения, а также
оказывать ему содействие в своевременном
проведении работы по сертификации продукции в
соответствии с новыми нормами;
информировать
Гостехкомиссию России о всех изменениях, которые
могут привести к необходимости рассмотреть
вопрос о проведении аккредитации и
приостановлении действия лицензии;
вести учет всех
предъявляемых рекламаций к сертифицированной
продукции и информировать об этом
Гостехкомиссию России;
в установленные договором
с заявителем сроки организовывать и проводить
аттестацию объекта информатики;
обеспечивать полноту и
объективность проведения аттестации объекта
информатики;
обеспечивать сохранность
государственной и коммерческой тайны в процессе
и по завершении аттестации объекта информатики,
соблюдение авторского права;
вести информационную базу
аттестованных этим органом объектов
информатики;
представлять в
государственные органы по сертификации и
аттестации информацию о результатах аттестации,
а также "Аттестаты соответствия" для их
регистрации;
допускать в установленном
порядке представителей контрольных органов для
осуществления надзора за аттестацией объектов
информатики.
4.3. Орган по аттестации
несет ответственность за:
соответствие проведенных
им аттестационных испытаний объекта информатики
требованиям стандартов и иных нормативных и
методических документов по безопасности
информации, а также достоверность и
объективность их результатов;
полноту и качество
выполнения функций и обязанностей, возложенных
на него;
формирование и
квалификацию аттестационных комиссий;
соблюдение требований
нормативных и методических документов,
предъявляемых к порядку проведения
аттестования;
соблюдение установленных
сроков и условий проведения аттестации,
зафиксированных в договоре с заявителем;
обеспечение сохранности
государственной тайны и коммерческой тайны
заявителя;
соблюдение действующего
законодательства.