УТВЕРЖДЕНО
приказом председателя
Государственной технической
комиссии при Президенте
Российской Федерации
от 5 января 1996 года N 3

Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации

____________________________________________________________________

Не применяется при организации и проведении  работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, с 1 июня 2021 года, в связи с вступлением в силу Порядка аттестации, утвержденного приказом ФСТЭК России от 28 сентября 2020 года N 110. - См. Информационное сообщение ФСТЭК России от 29 апреля 2021 года N 240/24/2087.

- Примечание изготовителя базы данных.

____________________________________________________________________

1. Общие положения

1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатики по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.

1.2. Типовое положение разработано в соответствии с Законом Российской Федерации "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения об обязательной сертификации продукции по требованиям безопасности информации", "Положения по аттестации объектов информатики по требованиям безопасности информации", а также "Положения о государственном лицензировании деятельности в области защиты информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.

1.3. Орган по аттестации является составной частью организационной структуры единой системы обязательной сертификации продукции и аттестации объектов информатики по требованиям безопасности информации.

1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.

1.5. Орган по аттестации аккредитуется государственным органом по сертификации продукции и аттестации объектов информатики по требованиям безопасности информации (далее - государственный орган по сертификации и аттестации), которым является Гостехкомиссия России в пределах ее компетенции, определенной законодательными актами Российской Федерации. Государственные органы по сертификации и аттестации могут передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти. Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации органов по аттестации объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации".

1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией государственных органов по сертификации и аттестации по требованиям безопасности информации в пределах их компетенции.

1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации. В Положении указываются виды объектов информатики, по которым орган по аттестации претендует на аккредитацию государственным органом по сертификации и аттестации. Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководством государственного органа по сертификации и аттестации.

1.8. Расходы по проведению всех видов работ и услуг по аттестованию объектов информатики по требованиям безопасности информации, как при обязательном, так и добровольном аттестовании, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатики.

1.9. Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатики.

2. Задачи и функции органа по аттестации

2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатики по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатики.

2.2. Орган по аттестации осуществляет следующие функции:

- формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатики;

- рассматривает заявки на аттестацию объектов информатики, планирует работы по аттестации объектов информатики и доводит сроки проведения аттестации до заявителей;

- проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);

- организует работы по аттестации объектов информатики как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;

- разрабатывает программу, а при необходимости и методики аттестационных испытаний;

- формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатики направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации продукции в случае испытаний продукции непосредственно на аттестуемом объекте информатики;

- рассматривает результаты аттестационных испытаний объекта информатики, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";

- при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатики проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";

- отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия"; ведет информационную базу аттестованных этим органом объектов информатики;

- осуществляет взаимодействие с государственными органами по сертификации и аттестации и информирует их о своей деятельности в области аттестации.

3. Деятельность аттестационных комиссий

3.1. Аттестационные комиссии формируются органом по аттестации объектов информатики из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатики с целью оценки его соответствия требуемому уровню безопасности информации.

3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.

3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.

3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.

4. Права, обязанности и ответственность органа по аттестации

4.1. Орган по аттестации имеет право:

- привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;

- устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;

- отказывать заявителю в аттестации объекта информатики, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;

- участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатики;

- лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатики, технологии обработки защищаемой информации и требований по безопасности информации.

4.2. Орган по аттестации обязан:

- соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной Системы и другими документами, предъявляемыми при аккредитации;

- выдавать или признавать сертификаты соответствия на ту продукцию, для которой доказано ее соответствие конкретным нормативным документам по правилам данной Системы;

- при введении в нормативные документы на продукцию новой нормы на ранее сертифицированное требование информировать изготовителя продукции в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации продукции в соответствии с новыми нормами;

- информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;

- вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об этом Гостехкомиссию России;

- в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатики;

- обеспечивать полноту и объективность проведения аттестации объекта информатики;

- обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатики, соблюдение авторского права;

- вести информационную базу аттестованных этим органом объектов информатики;

- представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации;

- допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатики.

4.3. Орган по аттестации несет ответственность за:

- соответствие проведенных им аттестационных испытаний объекта информатики требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;

- полноту и качество выполнения функций и обязанностей, возложенных на него;

- формирование и квалификацию аттестационных комиссий;

- соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестования;

- соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;

- обеспечение сохранности государственной тайны и коммерческой тайны заявителя;

- соблюдение действующего законодательства.

Электронный текст документа
подготовлен ЗАО "Кодекс" и сверен по:
официальный сайт Федеральной службы
по техническому и экспортному контролю
www.fstec.ru
по состоянию на 03.06.2010