3.1. Аттестационные комиссии формируются органом по аттестации объектов информатики из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатики с целью оценки его соответствия требуемому уровню безопасности информации.
3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.
3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.
3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.