Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информацииУ Т В Е Р Ж Д Е Н О Ю.Яшиным ТИПОВОЕ ПОЛОЖЕНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатизации по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность. 1.2. Типовое положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения о сертификации средств защиты информации по требованиям безопасности информации", "Положения по аттестации объектов информатизации по требованиям безопасности информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации. 1.3. Орган по аттестации является составной частью организационной структуры единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. 1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации. 1.5. Орган по аттестации аккредитуется федеральным органом по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России. Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации". 1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией Гостехкомиссии России. 1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации. В Положении указываются виды объектов информатизации, по которым орган по аттестации претендует на аккредитацию Гостехкомиссией России. Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководителем Гостехкомиссии России. 1.8. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации по требованиям безопасности информации, как при обязательном так и добровольной аттестации, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации. 1.9. Деятельность органа по аттестации, аккредитованного Гостехкомиссией России осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатизации. 2. ЗАДАЧИ И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ 2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатизации по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатизации. 2.2. Орган по аттестации осуществляет следующие функции: формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатизации; рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей; проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях); организует работы по аттестации объектов информатизации как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе; разрабатывает программу, а при необходимости и методики аттестационных испытаний; формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатизации направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации в случае испытаний средств защиты информации непосредственно на аттестуемом объекте информатизации; рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия"; при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатизации проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия"; отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия"; ведет информационную базу аттестованных этим органом объектов информатизации; осуществляет взаимодействие с Гостехкомиссией России и информирует ее о своей деятельности в области аттестации. 3. ДЕЯТЕЛЬНОСТЬ АТТЕСТАЦИОННЫХ КОМИССИЙ 3.1. Аттестационные комиссии формируются органом по аттестации объектов информатизации из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации. 3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции. 3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей. 3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью. 4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ 4.1. Орган по аттестации имеет право: привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов в порядке, определяемом Положением о конкретном органе; устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые Положением о конкретном органе; отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации; участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации; лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации. 4.2. Орган по аттестации обязан: соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной системы и другими документами, предъявляемыми при аккредитации; признавать сертификаты на те средства защиты информации, для которых доказано их соответствие конкретным нормативным документам по правилам данной системы; при введении в нормативные документы на средства защиты информации новой нормы на ранее сертифицированное средство информировать изготовителя средств защиты информации в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации в соответствии с новыми нормами; информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии; вести учет всех предъявляемых рекламаций к сертифицированным средствам защиты информации и информировать об этом Гостехкомиссию России; в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации; обеспечивать полноту и объективность проведения аттестации объекта информатизации; обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатизации, соблюдение авторского права; вести информационную базу аттестованных этим органом объектов информатизации; представлять ежеквартально в федеральные органы по сертификации и аттестации информацию о результатах аттестации, а также копии "Аттестатов соответствия" для их регистрации; допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатизации. 4.3. Орган по аттестации несет ответственность за: соответствие проведенных им аттестационных испытаний объекта информатизации требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов; полноту и качество выполнения функций и обязанностей, возложенных на него; формирование и квалификацию аттестационных комиссий; соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестации; соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем; обеспечение сохранности государственной и коммерческой тайны заявителя; соблюдение действующего законодательства. НАЧАЛЬНИК УПРАВЛЕНИЯ ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ В.Вирковский " 24 " ноября 1994 г. |