Reglamento modelo sobre el organismo de certificación para Protección de la información de los fondos de acuerdo con los requisitos de seguridad de la información.
APROBADO
Presidente de la Comisión Técnica Estatal
bajo el
Presidente de la Federación de Rusia
Yu. Yashin
» 25» Noviembre de 1994
REGLAMENTO ESTÁNDAR
sobre el organismo de certificación de medios de seguridad de la información
según los requisitos de seguridad de la información
1. DISPOSICIONES GENERALES
1.1. Este Reglamento Estándar establece requisitos generales para el organismo de certificación de seguridad de la información en relación con los requisitos de seguridad de la información, sus funciones, derechos, deberes y responsabilidades, reglas de pago por el trabajo realizado por el organismo de certificación.
1.2. La disposición estándar se desarrolló de conformidad con las leyes de la Federación de Rusia «Sobre la certificación de productos y servicios» y «Sobre los secretos de Estado», «Reglamento sobre el sistema estatal de protección de la información en la Federación de Rusia frente a la inteligencia técnica extranjera y contra su filtración a través de canales técnicos», basado en el « Sistema de certificación GOST R« y «Reglas para la certificación en la Federación de Rusia».
1.3. Los organismos de certificación son una parte integral de la estructura organizativa del sistema de certificación de seguridad de la información, cuyas actividades están organizadas por la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia (Comisión Técnica Estatal de Rusia).
1.4. El organismo de certificación está acreditado por la Comisión Técnica Estatal de Rusia de acuerdo con el «Reglamento sobre la acreditación de laboratorios de pruebas y organismos de certificación para equipos de seguridad de la información según los requisitos de seguridad de la información».
El organismo de certificación debe ser una persona jurídica, contar con especialistas capacitados, lineamientos y documentos regulatorios para realizar toda la gama de trabajos de certificación de herramientas de seguridad de la información en su área de acreditación y cumplir con los requisitos establecidos.
La acreditación se lleva a cabo sólo si existe una licencia de la Comisión Técnica Estatal de Rusia para los tipos de actividades relevantes.
La acreditación como organismo de certificación de empresas subordinadas a los órganos ejecutivos federales se lleva a cabo a propuesta de estos órganos.
1.5. El organismo de certificación en sus actividades se guía por la legislación de la Federación de Rusia, las normas estatales, la documentación reglamentaria y metodológica sobre la certificación de medios de seguridad de la información, aprobada por la Comisión Técnica Estatal de Rusia.
1.6. La normativa sobre un organismo de certificación específico se desarrolla sobre la base de este Reglamento Modelo, teniendo en cuenta el área específica de acreditación y su estructura administrativa.
El Reglamento indique tipos específicos de medios de seguridad de la información para la certificación el organismo está acreditado por la Comisión Técnica Estatal de Rusia, se proporciona una breve descripción del estado legal del organismo de certificación.
El reglamento está firmado por el jefe del organismo de certificación y aprobado por el jefe de la Comisión Técnica Estatal de Rusia.
2. TAREAS Y FUNCIONES DEL ORGANISMO DE CERTIFICACIÓN
2.1. Las principales tareas del organismo de certificación son llevar a cabo la certificación de las herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información en el área declarada de acreditación, control y supervisión de las herramientas de seguridad de la información certificadas por este organismo y las actividades de los centros de pruebas (laboratorios). para la certificación.
2.2. El organismo de certificación realiza las siguientes funciones:
-
determina el esquema de certificación para herramientas específicas de seguridad de la información, teniendo en cuenta las propuestas del solicitante;
-
especifica los requisitos para cuyo cumplimiento se llevan a cabo las pruebas de certificación;
-
recomienda un centro de pruebas (laboratorio) al solicitante;
-
aprueba programas y métodos para realizar pruebas de certificación;
-
realizar un examen de la documentación técnica y operativa de los medios y materiales de seguridad de la información para las pruebas de certificación de estos medios;
-
elabora peritaje sobre certificación de medios de seguridad de la información, redacta certificados y licencias para el uso de la marca de conformidad y los presenta al Estado Comisión Técnica de Rusia;
-
organiza, si es necesario, una inspección preliminar (certificación) de la producción de herramientas de seguridad de la información certificadas;
-
participa en la acreditación de centros de pruebas (laboratorios);
-
participa en el control de inspección sobre la estabilidad de las características de las herramientas de seguridad de la información certificadas y las actividades de los centros de pruebas (laboratorios);
-
almacena documentación (originales) que confirma la certificación de las herramientas de seguridad de la información;
-
solicita a la Comisión Técnica Estatal de Rusia que cancele la validez de los certificados emitidos;
-
forma y actualiza un fondo de documentos normativos y metodológicos necesarios para la certificación, participa en su desarrollo;
-
proporciona al solicitante la información necesaria sobre la certificación;
-
interactúa con el fabricante de tipos específicos de herramientas de seguridad de la información en su área de acreditación para una certificación oportuna cuando cambian los requisitos estándar;
-
participa en el desarrollo de medidas correctivas para incrementar la estabilidad de las características de las herramientas de seguridad de la información certificadas que determinan la seguridad de la información;
-
mantiene una lista de herramientas de seguridad de la información certificadas en su área de acreditación y prepara información sobre los resultados de la certificación para su publicación;
-
mantiene una lista de herramientas de prueba certificadas.
3. ESTRUCTURA ADMINISTRATIVA
DEL ORGANISMO DE CERTIFICACIÓN
3.1. La estructura administrativa del organismo de certificación consta de una junta directiva sin personal y personal permanente.
3.2. El Consejo de Gobierno está formado por especialistas de diversas industrias y departamentos competentes en el campo específico de la seguridad de la información con el fin de determinar una política técnica unificada para la certificación de tipos específicos de herramientas de seguridad de la información en el área de acreditación declarada y eliminar la discriminación. contra los solicitantes en la implementación de la certificación.
Consejo de Gobierno:
-
prepara propuestas para mejorar el sistema de certificación para tipos específicos de medios de seguridad de la información;
-
supervisa la calidad del examen de los resultados de las pruebas de los medios de seguridad de la información y, si es necesario, las pruebas de los medios de seguridad de la información;
-
determina otras cuestiones fundamentales de la certificación de los medios de seguridad de la información y la certificación de la producción.
3.3. El personal permanente del organismo de certificación organiza y realiza trabajos de certificación de herramientas de seguridad de la información de acuerdo con las funciones y responsabilidades asignadas al organismo, determinadas por las descripciones de funciones, y debe tener las calificaciones y competencias necesarias y recibir una formación especial.
3.4. La normativa específica del organismo de certificación establece su estructura organizativa, reflejando la subordinación y distribución de responsabilidades del personal.
4. DERECHOS, OBLIGACIONES Y RESPONSABILIDADES
DEL ORGANISMO DE CERTIFICACIÓN
4.1. El organismo de certificación tiene derecho a:
-
contratar por contrato a los especialistas más competentes en el campo de la seguridad de la información para que trabajen en el consejo de administración, para certificar la producción de productos certificados de seguridad de la información y para examinar los resultados de las pruebas;
-
establecer precios negociados para la certificación de herramientas de seguridad de la información;
-
participar en pruebas de tipos específicos de herramientas de seguridad de la información en el área de acreditación declarada en centros de pruebas (laboratorios) para la certificación;
-
establecer métodos de prueba, formularios de informes de prueba y otros documentos para el centro de pruebas;
-
supervisar las actividades de los centros de pruebas (laboratorios) para la certificación de tipos específicos de herramientas de seguridad de la información en su área de acreditación;
-
negar al solicitante la certificación de herramientas de seguridad de la información, indicando los motivos de la denegación y las posibles opciones alternativas de certificación;
-
para solicitar la cancelación de certificados y licencias previamente emitidos para el uso de una marca de conformidad en caso de violación de las normas por parte del fabricante. requisitos de normas y otros documentos reglamentarios sobre seguridad de la información;
-
solicitar y recibir, en la forma prescrita, de los solicitantes y centros de pruebas (laboratorios) la documentación, información y materiales necesarios para realizar el trabajo de certificación;
-
presentar cuestiones relacionadas con la certificación para su consideración por la Comisión Técnica Estatal de Rusia.
4.2. El organismo de certificación está obligado a:
-
cumplir íntegramente con todas las reglas y procedimientos de certificación establecidos por los documentos fundamentales del sistema de certificación de seguridad de la información para los requisitos de seguridad de la información;
-
ejecutar borradores de certificados para aquellas herramientas de seguridad de la información para las cuales se ha demostrado su cumplimiento de documentos reglamentarios específicos de acuerdo con las reglas de este sistema;
-
cuando se introduce una nueva norma para un producto previamente certificado en los documentos reglamentarios para los medios de seguridad de la información, informar al fabricante dentro de un mes sobre el momento y el procedimiento para su introducción, y también ayudarlo en la implementación oportuna del trabajo de certificación de los medios de seguridad de la información. de acuerdo con las nuevas normas;
-
mantener registros de todas las quejas realizadas a productos de seguridad de la información certificados e informar a la Comisión Técnica Estatal de Rusia al respecto;
-
realizar la certificación de los medios de seguridad de la información dentro del plazo establecido por el acuerdo con el solicitante;
-
garantizar la objetividad del examen de los resultados de las pruebas de los medios de seguridad de la información y la certificación de producción;
-
registrar oportunamente herramientas certificadas de seguridad de la información;
-
mantener un sistema para registrar los procedimientos de certificación;
-
organizar la certificación de herramientas de prueba;
-
garantizar la preservación de los secretos estatales y comerciales durante y después de la finalización de la certificación de los medios de protección
información, cumplimiento de los derechos de autor; -
enviar información sobre sus actividades a la Comisión Técnica Estatal de Rusia, el organismo central del sistema de certificación;
-
permitir, de la manera prescrita, a representantes de las autoridades reguladoras supervisar la certificación de los medios de seguridad de la información;
-
proporcionar a los solicitantes información sobre los servicios prestados.
4.3. El organismo de certificación es responsable de:
-
la integridad y calidad del desempeño de las funciones y responsabilidades que se le asignan;
-
cumplimiento de los requisitos de las normas estatales, documentos reglamentarios y metodológicos para el procedimiento de certificación;
-
cumplimiento de los plazos de certificación establecidos;
-
garantizar la seguridad de los secretos de estado y secretos comerciales del solicitante;
-
cumplimiento de los derechos de propiedad del solicitante sobre las herramientas de seguridad de la información certificadas, así como de sus derechos de autor;
-
cumplimiento de la legislación vigente.
5. PAGO POR EL TRABAJO REALIZADO POR EL ORGANISMO DE CERTIFICACIÓN
5.1. El trabajo de certificación de herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información, así como la implementación de funciones y responsabilidades asociadas a este trabajo, es una actividad autosuficiente para el organismo de certificación, realizada sobre la base de:
acuerdos con solicitantes de certificación de medios de seguridad de la información y certificación de producción;
acuerdos de trabajo (contratos) con miembros del consejo de administración y expertos involucrados en el trabajo de certificación y Certificación de herramientas certificadas de seguridad de la información de producción.
5.2. Los costos de todo tipo de trabajos y servicios para la certificación de los medios de seguridad de la información y la certificación de la producción corren a cargo de los solicitantes.
El pago se realiza según las tarifas aprobadas y, en su defecto, — a precio negociado.
5.3. El pago por el trabajo de los miembros de la junta directiva y los expertos lo realiza el organismo de certificación de acuerdo con los acuerdos laborales (contratos) celebrados a expensas de los recursos financieros de los acuerdos celebrados para la certificación de herramientas de seguridad de la información.
5.4 . La participación del organismo de certificación en la supervisión estatal y el desarrollo de la documentación metodológica para la certificación obligatoria de las herramientas de seguridad de la información en el área de acreditación declarada se lleva a cabo a expensas de los fondos del presupuesto estatal asignados por el organismo federal de certificación y certificación.
JEFE DE LA COMISIÓN TÉCNICA DEL DEPARTAMENTO DE ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
V. Virkovsky
» 24» Noviembre de 1994
Добавить комментарий