+ "Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации"

"Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации"

У Т В Е Р Ж Д Е Н О
Председателем Государственной
технической комиссии при
Президенте Российской Федерации

Ю.Яшиным
25 ноября 1994 г.

ТИПОВОЕ ПОЛОЖЕНИЕ
об органе по аттестации объектов информатизации по требованиям безопасности информации

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатизации по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.

1.2. Типовое положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения о сертификации средств защиты информации по требованиям безопасности информации", "Положения по аттестации объектов информатизации по требованиям безопасности информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.

1.3. Орган по аттестации является составной частью организационной структуры единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.

1.5. Орган по аттестации аккредитуется федеральным органом по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.

Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией Гостехкомиссии России.

1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации.

В Положении указываются виды объектов информатизации, по которым орган по аттестации претендует на аккредитацию Гостехкомиссией России.

Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководителем Гостехкомиссии России.

1.8. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации по требованиям безопасности информации, как при обязательном так и добровольной аттестации, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.

1.9. Деятельность органа по аттестации, аккредитованного Гостехкомиссией России осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатизации.

2. ЗАДАЧИ И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ

2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатизации по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатизации.

2.2. Орган по аттестации осуществляет следующие функции:

формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатизации;

рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей;

проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);

организует работы по аттестации объектов информатизации как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;

разрабатывает программу, а при необходимости и методики аттестационных испытаний;

формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатизации направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации в случае испытаний средств защиты информации непосредственно на аттестуемом объекте информатизации;

рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";

при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатизации проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";

отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия";

ведет информационную базу аттестованных этим органом объектов информатизации;

осуществляет взаимодействие с Гостехкомиссией России и информирует ее о своей деятельности в области аттестации.

3. ДЕЯТЕЛЬНОСТЬ АТТЕСТАЦИОННЫХ КОМИССИЙ

3.1. Аттестационные комиссии формируются органом по аттестации объектов информатизации из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации.

3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.

3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.

3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.

4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ
ОРГАНА ПО АТТЕСТАЦИИ

4.1. Орган по аттестации имеет право:

привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов в порядке, определяемом Положением о конкретном органе;

устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые Положением о конкретном органе;

отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;

участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации;

лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

4.2. Орган по аттестации обязан:

соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной системы и другими документами, предъявляемыми при аккредитации;

признавать сертификаты на те средства защиты информации, для которых доказано их соответствие конкретным нормативным документам по правилам данной системы;

при введении в нормативные документы на средства защиты информации новой нормы на ранее сертифицированное средство информировать изготовителя средств защиты информации в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации в соответствии с новыми нормами;

информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;

вести учет всех предъявляемых рекламаций к сертифицированным средствам защиты информации и информировать об этом Гостехкомиссию России;

в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации;

обеспечивать полноту и объективность проведения аттестации объекта информатизации;

обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатизации, соблюдение авторского права;

вести информационную базу аттестованных этим органом объектов информатизации;

представлять ежеквартально в федеральные органы по сертификации и аттестации информацию о результатах аттестации, а также копии "Аттестатов соответствия" для их регистрации;

допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатизации.

4.3. Орган по аттестации несет ответственность за:

соответствие проведенных им аттестационных испытаний объекта информатизации требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;

полноту и качество выполнения функций и обязанностей, возложенных на него;

формирование и квалификацию аттестационных комиссий; соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестации;

соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;

обеспечение сохранности государственной и коммерческой тайны заявителя;

соблюдение действующего законодательства.

НАЧАЛЬНИК УПРАВЛЕНИЯ ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ
КОМИССИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

В.Вирковский

" 24 " ноября 1994 г.