Приложение А (рекомендуемое). Типовое положение об органе по аттестации объектов информатизации. Национальный стандарт РФ ГОСТ Р 58189-2018 "Защита информации. Требования к органам по аттестации объектов информатизации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 02.08.2018 N 447-ст) (документ отменен)

Приложение А
(рекомендуемое)

                         Типовое положение

         об органе по аттестации объектов информатизации

                                                                УТВЕРЖДАЮ

                                  Уполномоченное лицо федерального органа

                                                    исполнительной власти

                                                 "__" ___________ 20__ г.

                              ПОЛОЖЕНИЕ

           об органе по аттестации объектов информатизации

               (полное наименование юридического лица)

            Система сертификации средств защиты информации

                по требованиям безопасности информации

                              (N...)

                           г. _________

                              20__ г.

1 Общие положения

1.1 Настоящее положение устанавливает задачи, функции, права, обязанности и ответственность органа по аттестации ОИ на соответствие требованиям БИ (полное наименование юридического лица) (далее - сокращенное наименование).

1.2 Положение разработано в соответствии с Типовым положением об органе по аттестации объектов информатизации.

1.3 (Сокращенное наименование) в качестве органа по аттестации ОИ на соответствие требованиям БИ аккредитовано уполномоченным ФОИВ и работает под его методическим руководством.

1.4 (Сокращенное наименование) как орган по аттестации ОИ в своей деятельности руководствуется нормативными правовыми актами, методическими документами и национальными стандартами, определяющими соответствие ОИ требованиям БИ, а также порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ.

2 Задачи и функции органа по аттестации объектов информатизации

2.1 Основными задачами органа по аттестации ОИ (сокращенное наименование) являются организация и проведение аттестации ОИ на соответствие требованиям БИ, а также контроль за состоянием и эксплуатацией аттестованных этим органом ОИ.

2.2 Орган по аттестации ОИ (сокращенное наименование) осуществляет следующие функции:

- формирует и поддерживает актуальную базу нормативных правовых актов, методических документов и национальных стандартов, используемых при аттестации ОИ;

- участвует в конкурсах на проведение аттестационных испытаний;

- рассматривает заявки на аттестацию ОИ, планирует работы по аттестации ОИ и доводит сроки проведения аттестации до заявителей;

- проводит анализ исходных данных по аттестуемым ОИ и определяет схему аттестации;

- организует работы по аттестации ОИ на основе заключенных договоров;

- разрабатывает программы и методики аттестационных испытаний ОИ;

- назначает аттестационные комиссии из работников органа по аттестации ОИ;

- рассматривает результаты аттестационных испытаний ОИ, утверждает заключения по результатам аттестации и выдает заявителю при условии положительных результатов "Аттестат соответствия";

- проверяет при осуществлении контроля за состоянием и эксплуатацией аттестованных ОИ соответствие реальных условий эксплуатации объекта и технологию обработки защищаемой информации условиям и технологии, при которых выдан аттестат соответствия;

- аннулирует, приостанавливает и возобновляет действие выданных (сокращенное наименование) аттестатов соответствия;

- ведет информационную базу данных об аттестованных ОИ;

- осуществляет взаимодействие с уполномоченным ФОИВ и информирует его о своей деятельности по аттестации ОИ.

3 Деятельность аттестационных комиссий

3.1 Аттестационные комиссии формируются (сокращенное наименование) из числа работников органа по аттестации ОИ таким образом, чтобы обеспечить комплексную проверку ОИ с целью оценки его соответствия требованиям БИ.

3.2 Персональный состав аттестационных комиссий определяется руководителем органа по аттестации ОИ и приводится в Программе аттестационных испытаний ОИ.

3.3 Работники органа по аттестации ОИ, включенные в состав аттестационных комиссий, осуществляют свою деятельность в соответствии с должностными инструкциями и должны обладать необходимой квалификацией и компетентностью.

4 Права, обязанности и ответственность органа по аттестации объектов информатизации

4.1 Орган по аттестации ОИ (сокращенное наименование) имеет право:

- устанавливать сроки и договорные цены на проведение аттестации ОИ, а также иные условия взаимодействия с заявителем;

- отказывать заявителю в аттестации ОИ, указав при этом причины отказа и конкретные рекомендации по устранению этих причин;

- участвовать в контроле за состоянием и эксплуатацией аттестованного ОИ;

- проводить аттестацию собственных ОИ;

- аннулировать аттестат соответствия или приостанавливать его действие в случае нарушения заявителем условий функционирования ОИ, технологии обработки защищаемой информации и его соответствия требованиям БИ.

4.2 Орган по аттестации ОИ (сокращенное наименование) обязан:

- соблюдать в полном объеме все правила и порядок аттестации ОИ, установленные нормативными правовыми актами, методическими документами и национальными стандартами;

- информировать уполномоченный ФОИВ обо всех изменениях, которые могут привести к необходимости рассмотрения вопроса о переоформлении, приостановлении и прекращении действия аттестата аккредитации (сокращенное наименование);

- уведомлять уполномоченный ФОИВ об изменениях в кадровом составе органа по аттестации;

- представлять на согласование в уполномоченный ФОИВ программы, методики и заключения по результатам аттестационных испытаний ОИ первой категории, а также собственных ОИ, аттестованных своими силами, используемых при проведении работ по аттестации;

- информировать уполномоченный ФОИВ о несоответствии средств защиты информации, применяемых на аттестуемых ОИ, требованиям безопасности информации;

- организовывать и проводить аттестацию ОИ в установленные договором с заявителем сроки;

- обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации ОИ, соблюдение авторского права;

- вести информационную базу данных об аттестованных ОИ;

- представлять ежеквартально (до двадцатого числа последнего месяца квартала) в уполномоченный ФОИВ информацию о результатах деятельности по аттестации ОИ за прошедший период;

- допускать в установленном порядке представителей уполномоченного ФОИВ для осуществления инспекционного контроля деятельности органа по аттестации.

4.3 Орган по аттестации ОИ (сокращенное наименование) несет ответственность за;

- соответствие проведенных им аттестационных испытаний ОИ требованиям нормативных правовых актов, методических документов и национальных стандартов, а также достоверность и объективность результатов испытаний;

- полноту и качество выполнения задач, функций прав и обязанностей, возложенных на орган по аттестации ОИ;

- формирование состава и квалификацию работников аттестационных комиссий;

- соблюдение установленных сроков и условий проведения аттестации ОИ, зафиксированных в договоре с заявителем;

- обеспечение сохранности государственной и коммерческой тайны;

- соблюдение установленного законодательством Российской Федерации порядка в области технической защиты информации.

Руководитель органа по аттестации объектов информатизации

(сокращенное наименование организации)                   ________________

                                                             (подпись

                                                           руководителя)