Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации
____________________________________________________________________
Не применяется при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, с 1 июня 2021 года, в связи с вступлением в силу Порядка аттестации, утвержденного приказом ФСТЭК России от 28 сентября 2020 года N 110. - См. Информационное сообщение ФСТЭК России от 29 апреля 2021 года N 240/24/2087.
- Примечание изготовителя базы данных.
____________________________________________________________________
1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатики по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.
1.2. Типовое положение разработано в соответствии с Законом Российской Федерации "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения об обязательной сертификации продукции по требованиям безопасности информации", "Положения по аттестации объектов информатики по требованиям безопасности информации", а также "Положения о государственном лицензировании деятельности в области защиты информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.
1.3. Орган по аттестации является составной частью организационной структуры единой системы обязательной сертификации продукции и аттестации объектов информатики по требованиям безопасности информации.
1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.
1.5. Орган по аттестации аккредитуется государственным органом по сертификации продукции и аттестации объектов информатики по требованиям безопасности информации (далее - государственный орган по сертификации и аттестации), которым является Гостехкомиссия России в пределах ее компетенции, определенной законодательными актами Российской Федерации. Государственные органы по сертификации и аттестации могут передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти. Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации органов по аттестации объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации".
1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией государственных органов по сертификации и аттестации по требованиям безопасности информации в пределах их компетенции.
1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации. В Положении указываются виды объектов информатики, по которым орган по аттестации претендует на аккредитацию государственным органом по сертификации и аттестации. Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководством государственного органа по сертификации и аттестации.
1.8. Расходы по проведению всех видов работ и услуг по аттестованию объектов информатики по требованиям безопасности информации, как при обязательном, так и добровольном аттестовании, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатики.
1.9. Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатики.
2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатики по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатики.
2.2. Орган по аттестации осуществляет следующие функции:
- формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатики;
- рассматривает заявки на аттестацию объектов информатики, планирует работы по аттестации объектов информатики и доводит сроки проведения аттестации до заявителей;
- проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);
- организует работы по аттестации объектов информатики как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;
- разрабатывает программу, а при необходимости и методики аттестационных испытаний;
- формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатики направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации продукции в случае испытаний продукции непосредственно на аттестуемом объекте информатики;
- рассматривает результаты аттестационных испытаний объекта информатики, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";
- при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатики проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";
- отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия"; ведет информационную базу аттестованных этим органом объектов информатики;
- осуществляет взаимодействие с государственными органами по сертификации и аттестации и информирует их о своей деятельности в области аттестации.
3.1. Аттестационные комиссии формируются органом по аттестации объектов информатики из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатики с целью оценки его соответствия требуемому уровню безопасности информации.
3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.
3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.
3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.
4.1. Орган по аттестации имеет право:
- привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;
- устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;
- отказывать заявителю в аттестации объекта информатики, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
- участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатики;
- лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатики, технологии обработки защищаемой информации и требований по безопасности информации.
4.2. Орган по аттестации обязан:
- соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной Системы и другими документами, предъявляемыми при аккредитации;
- выдавать или признавать сертификаты соответствия на ту продукцию, для которой доказано ее соответствие конкретным нормативным документам по правилам данной Системы;
- при введении в нормативные документы на продукцию новой нормы на ранее сертифицированное требование информировать изготовителя продукции в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации продукции в соответствии с новыми нормами;
- информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
- вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об этом Гостехкомиссию России;
- в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатики;
- обеспечивать полноту и объективность проведения аттестации объекта информатики;
- обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатики, соблюдение авторского права;
- вести информационную базу аттестованных этим органом объектов информатики;
- представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации;
- допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатики.
4.3. Орган по аттестации несет ответственность за:
- соответствие проведенных им аттестационных испытаний объекта информатики требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;
- полноту и качество выполнения функций и обязанностей, возложенных на него;
- формирование и квалификацию аттестационных комиссий;
- соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестования;
- соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;
- обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
- соблюдение действующего законодательства.
Электронный текст документа
подготовлен ЗАО "Кодекс" и сверен по:
официальный сайт Федеральной службы
по техническому и экспортному контролю
www.fstec.ru
по состоянию на 03.06.2010