"Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации"
УТВЕРЖДЕНО
Председателем Государственной
технической комиссии при
Президенте Российской Федерации
Ю. Яшиным
" 25 " ноября 1994 г.
ТИПОВОЕ ПОЛОЖЕНИЕ
об органе по сертификации средств защиты информации
по требованиям безопасности информации
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Типовое положение устанавливает общие требования к органу по сертификации средств защиты информации по требованиям безопасности информации, его функции, права, обязанности и ответственность, правила оплаты работ, выполняемых органом по сертификации.
1.2. Типовое положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации".
1.3. Органы по сертификации являются составной частью организационной структуры системы сертификации средств защиты информации, деятельность которой организует Государственная технической комиссии при Президенте Российской Федерации (Гостехкомиссия России).
1.4. Орган по сертификации аккредитуется Гостехкомиссией России в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Орган по сертификации должен быть юридическим лицом, располагать подготовленными специалистами, руководящими и нормативными документами для проведения всего комплекса работ по сертификации средств защиты информации в своей области аккредитации и отвечать установленным требованиям.
Аккредитация производится только при наличии лицензии Гостехкомиссии России на соответствующие виды деятельности.
Аккредитация в качестве органа по сертификации предприятий, подведомственных федеральным органам исполнительной власти, осуществляется по представлению этих органов власти .
1.5. Орган по сертификации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами, нормативной и методической документацией по вопросам сертификации средств защиты информации, утвержденной Гостехкомиссией России.
1.6. Положение о конкретном органе по сертификации разрабатывается на основании настоящего Типового положения с учетом конкретной области аккредитации и его административной структуры.
В Положении указываются конкретные виды средств защиты информации, по сертификации которых орган аккредитуется Гостехкомиссией России, дается краткое описание юридического статуса органа по сертификации.
Положение подписывается руководителем органа по сертификации и утверждается руководителем Гостехкомиссии России.
2. ЗАДАЧИ И ФУНКЦИИ ОРГАНА ПО СЕРТИФИКАЦИИ
2.1. Основными задачами органа по сертификации являются проведение сертификации средств защиты информации по требованиям безопасности информации в заявленной области аккредитации, контроля и надзора за сертифицированными этим органом средств защиты информации и деятельностью испытательных центров (лабораторий) по сертификации.
2.2. Орган по сертификации осуществляет следующие функции:
-
определяет схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;
-
уточняет требования на соответствие которым проводятся сертификационные испытания;
-
рекомендует заявителю испытательный центр (лабораторию);
-
утверждает программы и методики проведения сертификационных испытаний;
-
проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;
-
оформляет экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляет их в Гостехкомиссию России;
-
организует, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
-
участвует в аккредитации испытательных центров (лабораторий);
-
участвует в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);
-
хранит документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
-
ходатайствует перед Гостехкомиссией России об отмене действия выданных сертификатов;
-
формирует и актуализирует фонд нормативных и методических документов, необходимых для сертификации, участвует в их разработке;
-
представляет заявителю необходимую информацию по сертификации;
-
взаимодействует с изготовителем конкретных видов средств защиты информации в своей области аккредитации по своевременной сертификации при изменении требований стандартов;
-
участвует в разработке корректирующих мероприятий для повышения стабильности характеристик сертифицированных средств защиты информации, определяющих безопасность информации;
-
ведет перечень сертифицированных средств защиты информации в своей области аккредитации и готовит для публикации информацию о результатах сертификации;
-
ведет перечень аттестованных тестирующих средств.
3. АДМИНИСТРАТИВНАЯ СТРУКТУРА
ОРГАНА ПО СЕРТИФИКАЦИИ
3.1.Административная структура органа по сертификации состоит из внештатного управляющего совета и постоянного штата сотрудников.
3.2. Управляющий совет формируется из компетентных в конкретной области защиты информации специалистов различных отраслей и ведомств в целях определения единой технической политики по сертификации конкретных видов средств защиты информации в заявленной области аккредитации и исключения дискриминации заявителей при осуществлении сертификации.
Управляющий совет:
-
готовит предложения по совершенствованию системы сертификации конкретных видов средств защиты информации;
-
осуществляет надзор за качеством проведения экспертизы результатов испытаний средств защиты информации, а при необходимости, и испытаний средств защиты информации;
-
определяет другие принципиальные вопросы сертификации средств защиты информации и аттестации производства.
3.3. Постоянный штат сотрудников (персонал) органа по сертификации организует и осуществляет работы по сертификации средств защиты информации в соответствии с возложенными на орган функциями и обязанностями, определяемыми должностными инструкциями, и должен обладать необходимой квалификацией и компетентностью и пройти специальную подготовку.
3.4. В конкретном положении об органе по сертификации приводится его организационная структура, отражающая подчиненность и распределение обязанностей персонала.
4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ
ОРГАНА ПО СЕРТИФИКАЦИИ
4.1. Орган по сертификации имеет право:
-
привлекать на договорной основе для работы в управляющем совете, для проведения аттестации производства сертифицированных средств защиты информации и экспертизы результатов испытаний наиболее компетентных в области защиты информации специалистов;
-
устанавливать договорные цены на сертификацию средств защиты информации;
-
принимать участие в проведении испытаний конкретных видов средств защиты информации в заявленной области аккредитации в испытательных центрах (лабораториях) по сертификации;
-
устанавливать испытательному центру методы испытаний, формы протоколов испытаний, других документов;
-
осуществлять надзор за деятельностью испытательных центров (лабораторий) по сертификации конкретных видов средств защиты информации в своей области аккредитации;
-
отказывать заявителю в сертификации средств защиты информации, указав при этом мотивы отказа и возможные альтернативные варианты сертификации;
-
ходатайствовать об отмене выданных ранее сертификатов и лицензий на применение знака соответствия в случае нарушения изготовителем требований стандартов и иных нормативных документов по безопасности информации;
-
запрашивать и получать в установленном порядке от заявителей и испытательных центров (лабораторий) документацию, сведения и материалы, необходимые для проведения работ по сертификации;
-
выносить вопросы, относящиеся к сертификации, на рассмотрение Гостехкомиссии России.
4.2. Орган по сертификации обязан:
-
соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации средств защиты информации по требованиям безопасности информации;
-
оформлять проекты сертификатов на те средств защиты информации, для которых доказано их соответствие конкретным нормативным документам по правилам данной системы;
-
при введении в нормативные документы на средства защиты информации новой нормы на ранее сертифицированное средство, информировать изготовителя в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации средств защиты информации в соответствии с новыми нормами;
-
вести учет всех предъявляемых рекламаций к сертифицированным средствам защиты информации и информировать об этом Гостехкомиссию России;
-
в установленные договором с заявителем сроки проводить сертификацию средств защиты информации;
-
обеспечивать объективность экспертизы результатов испытаний средств защиты информации и аттестации производства;
-
своевременно регистрировать сертифицированные средств защиты информации;
-
поддерживать в рабочем состоянии систему протоколирования процедур сертификации;
-
организовывать аттестацию тестирующих средств;
-
обеспечивать сохранение государственной и коммерческой тайны в процессе и по завершении сертификации средств защиты
информации, соблюдение авторского права; -
представлять в Гостехкомиссию России, в центральный орган системы сертификации информацию о своей деятельности;
-
допускать в установленном порядке представителей контролирующих органов для осуществления надзора за сертификацией средств защиты информации;
-
представлять заявителям информацию об оказываемых услугах.
4.3. Орган по сертификации несет ответственность за:
-
полноту и качество выполнения функций и обязанностей, возложенных на него;
-
соблюдение требований государственных стандартов, нормативных и методических документов, предъявляемых к порядку сертификации;
-
соблюдение установленных сроков проведения сертификации;
-
обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
-
соблюдение прав собственности заявителя на сертифицируемые средства защиты информации, а также его авторского права;
-
соблюдение действующего законодательства.
5. ОПЛАТА РАБОТ, ВЫПОЛНЯЕМЫХ ОРГАНОМ ПО СЕРТИФИКАЦИИ
5.1. Работа по проведению сертификации средств защиты информации по требованиям безопасности информации, а также связанное с этой работой осуществление функций и обязанностей является для органа по сертификации хозрасчетным видом деятельности, осуществляемой на основе:
договоров с заявителями на проведение сертификации средств защиты информации и аттестации производства;
трудовых договоров (контрактов) с членами управляющего совета и экспертами, привлекаемыми к работе по сертификации и аттестации производства сертифицированных средств защиты информации.
5.2. Расходы по проведению всех видов работ и услуг по сертификации средств защиты информации и аттестации производства оплачивают заявители.
Оплата производится по утвержденным расценкам, а при их отсутствии - по договорной цене.
5.3. Оплата работы членов управляющего совета и экспертов производится органом по сертификации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на сертификацию средств защиты информации.
5.4. Участие органа по сертификации в государственном надзоре и разработке методической документации по обязательной сертификации средств защиты информации в заявленной области аккредитации осуществляется за счет средств госбюджета, выделяемых федеральным органом по сертификации и аттестации.
НАЧАЛЬНИК УПРАВЛЕНИЯ ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ
КОМИССИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
В.Вирковский
" 24 " ноября 1994 г.