Reglamento modelo sobre el organismo de certificación de instalaciones Informatización de acuerdo con los requisitos de seguridad de la información.
U T V E R J E N O
Presidente de la Comisión Técnica Estatal
bajo
Presidente de la Federación de Rusia
Yu. Yashin
25 de noviembre de 1994
REGLAMENTO ESTÁNDAR
sobre el organismo de certificación de objetos de información según los requisitos de seguridad de la información
1. DISPOSICIONES GENERALES
1.1. Este Reglamento Estándar establece requisitos generales para el organismo de certificación de objetos de información de acuerdo con los requisitos de seguridad de la información (en adelante, el organismo de certificación), sus funciones, derechos, deberes y responsabilidades.
1.2. La disposición estándar se desarrolló de conformidad con las leyes de la Federación de Rusia «Sobre la certificación de productos y servicios» y «Sobre el secreto de Estado», «Regulaciones sobre el sistema estatal de protección de la información en la Federación de Rusia contra la inteligencia técnica extranjera y contra su filtración a través de canales técnicos», «Certificación GOST R sistema» ;, sobre la base del «Reglamento sobre la certificación de herramientas de seguridad de la información según los requisitos de seguridad de la información», «Reglamento sobre la certificación de objetos de informatización según los requisitos de seguridad de la información» y está destinado a ser utilizado en el desarrollo de regulaciones sobre organismos de certificación específicos.
1.3. El organismo de certificación es parte integral de la estructura organizativa del sistema unificado para la certificación de medios de seguridad de la información y la certificación de objetos de información de acuerdo con los requisitos de seguridad de la información.
1.4. El organismo de certificación puede estar formado por centros especiales de la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia (Gostekhkomission de Rusia), instituciones industriales y regionales, empresas y organizaciones de protección de la información.
1.5. El organismo de certificación está acreditado por el organismo federal para la certificación de medios de seguridad de la información y la certificación de objetos de información de acuerdo con los requisitos de seguridad de la información (en adelante, el organismo federal para la certificación y atestación), que es la Comisión Técnica Estatal de Rusia.
Las reglas de acreditación están determinadas por el actual sistema de certificación y atestación «Reglamento sobre la acreditación de laboratorios de pruebas y organismos de certificación para productos de seguridad de la información de acuerdo con la seguridad de la información. requisitos».
1.6. El organismo de certificación en sus actividades se guía por la legislación de la Federación de Rusia, las normas estatales de Rusia, la documentación normativa y metodológica de la Comisión Técnica Estatal de Rusia.
1.7 . La regulación sobre un organismo de certificación específico se desarrolla sobre la base de este Reglamento Modelo, teniendo en cuenta el estatus legal y el alcance de acreditación declarado.
El Reglamento indica los tipos de objetos de informatización para los cuales el organismo de certificación solicita la acreditación de la Comisión Técnica Estatal de Rusia.
El reglamento está firmado por el jefe del organismo de certificación, acordado con el jefe del organismo de acreditación y aprobado por el jefe de la Comisión Técnica Estatal de Rusia.
1.8. Los costos de realización de todo tipo de trabajos y servicios para la certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información, tanto para la certificación obligatoria como voluntaria, son pagados por los solicitantes con cargo a los recursos financieros asignados para el desarrollo (revisión) e implementación de la información protegida. objeto.
1.9. Las actividades del organismo de certificación acreditado por la Comisión Técnica Estatal de Rusia se llevan a cabo sobre la base de una licencia para ciertos tipos de actividades (consulte «Reglamento sobre licencias…») y un Certificado de acreditación ( ver «Reglamento de Acreditación… »), expedido para otorgarle el derecho a realizar la certificación de objetos de informatización.
2. TAREAS Y FUNCIONES DEL ORGANISMO DE CERTIFICACIÓN
2.1. Las principales tareas del organismo de certificación son organizar y realizar la certificación de los objetos de informatización de acuerdo con los requisitos de seguridad de la información, así como monitorear el estado y funcionamiento de los objetos de información certificados por este organismo.
2.2. El organismo de certificación realiza las siguientes funciones:
forma y mantiene actualizado un fondo de documentación normativa y metodológica utilizada en la certificación de tipos específicos de objetos de informatización;
considera las solicitudes de certificación de objetos de informatización, planifica el trabajo de certificación de objetos de informatización y comunica los plazos de certificación a los solicitantes;
analiza los datos iniciales sobre los objetos certificados y determina el esquema de certificación, decide sobre la necesidad de probar los productos no certificados utilizados en el objeto certificado en los centros de pruebas (laboratorios);
organiza el trabajo de certificación de objetos de informatización tanto sobre la base de contratos celebrados como de otras relaciones determinadas en la empresa y consagradas en el Reglamento de un organismo específico;
desarrolla un programa y, si es necesario, métodos de prueba de certificación;
formula y envía (al realizar trabajos de certificación por encargo de terceros solicitantes) comisiones de certificación de autoridades competentes especialistas necesarios para un objeto de informatización específico en las áreas de seguridad de la información, atrae especialistas de los centros de pruebas (laboratorios) para la certificación para trabajar en estas comisiones en el caso de probar medios de seguridad de la información directamente en el objeto de informatización certificado;
considera los resultados de las pruebas de certificación del objeto de informatización, aprueba la conclusión basada en los resultados de la certificación y emite al solicitante un «Certificado de Conformidad»;
al monitorear el estado y el funcionamiento de los objetos de tecnología de la información certificados, verifica el cumplimiento de las condiciones reales de funcionamiento del objeto y la tecnología para procesar la información protegida con las condiciones y la tecnología bajo las cuales el «Certificado de Conformidad»;
cancela y suspende la validez de los «Certificados de Conformidad» emitidos por este organismo;
mantiene una base de información de objetos de información certificados por este organismo;
interactúa con la Comisión Técnica Estatal de Rusia y le informa sobre sus actividades en el campo de certificación.
3. ACTIVIDADES DE LAS COMISIONES DE CERTIFICACIÓN
3.1. Las comisiones de certificación están formadas por el organismo para la certificación de objetos de información entre empleados de tiempo completo del organismo de certificación y especialistas en diversas áreas de seguridad de la información de otras empresas y organizaciones de tal manera que garanticen una verificación integral de un objeto protegido específico. objeto de información para evaluar su cumplimiento con el nivel requerido de seguridad de la información
.3.2. Si es necesario, en el caso de probar herramientas y sistemas de seguridad de la información individuales en un objeto de informatización certificado, la comisión de certificación incluye especialistas de los centros de pruebas (laboratorios) para la certificación de tipos específicos de productos.
3.3. Las comisiones de certificación incluyen especialistas competentes en el área relevante de seguridad de la información, con experiencia en actividades científicas y prácticas y trabajos de control y verificación, que no participan directamente en las actividades de los solicitantes.
3.4. El personal permanente del organismo de certificación lleva a cabo sus actividades de acuerdo con las descripciones de trabajo y debe tener las calificaciones y competencias necesarias.
4 . DERECHOS, DEBERES Y RESPONSABILIDADES
DEL ORGANISMO DE CERTIFICACIÓN
4.1. El organismo de certificación tiene derecho a:
involucrar a los especialistas más competentes para trabajar en las comisiones de certificación en la forma determinada por el Reglamento de un organismo específico;
establecer plazos, precios negociados para la certificación, así como establecer otros términos de interacción o acuerdos mutuos que determine el Reglamento de un organismo específico;
negar al solicitante la certificación de un objeto de informatización, indicando los motivos del rechazo y recomendaciones específicas para la certificación;
participar en el seguimiento del estado y funcionamiento de un objeto de informatización certificado por este organismo;
p>
privar y suspender el «Certificado de Cumplimiento» en caso de violación por parte de su propietario de las condiciones de funcionamiento del objeto de información, la tecnología de procesamiento de la información protegida y los requisitos de seguridad de la información.
4.2. El organismo de certificación está obligado a:
cumplir íntegramente con todas las normas y procedimientos de certificación establecidos por los documentos fundamentales del sistema de certificación y certificación para los requisitos de seguridad de la información, organizativos y documentos metodológicos de este sistema y otros documentos presentados durante la acreditación;
reconocer los certificados de aquellas herramientas de seguridad de la información para las cuales se ha demostrado su cumplimiento con documentos regulatorios específicos de acuerdo con las reglas de este sistema;
cuando se introduce una nueva norma en el Los documentos reglamentarios para la seguridad de la información significan en el pasado un medio certificado para informar al fabricante de herramientas de seguridad de la información dentro de un mes sobre el momento y el procedimiento para su introducción, así como para ayudarlo en la implementación oportuna del trabajo de certificación de acuerdo con los nuevos estándares. ;
informar a la Comisión Técnica Estatal de Rusia sobre todos los cambios que puedan llevar a la necesidad de considerar la cuestión de la acreditación y suspensión de la licencia;
mantener registros de todas las quejas realizadas a los medios certificados de seguridad de la información e informar al respecto a la Comisión Técnica Estatal de Rusia;
organizar y llevar a cabo la certificación del objeto de informatización dentro del plazo establecido por el acuerdo con el solicitante;
garantizar la integridad y objetividad de la certificación del objeto de informatización;
garantizar la seguridad de los secretos estatales y comerciales durante y al finalizar la certificación del objeto de informatización, cumplimiento con derechos de autor;
mantener una base de información de objetos de información certificados por este organismo;
presentar información trimestral sobre los resultados de la certificación, así como copias de los «Certificados de Cumplimiento» para su registro;
permitir, en la forma prescrita, que los representantes de los órganos de control supervisen la certificación de los objetos de informatización.
4.3. El organismo de certificación es responsable de:
el cumplimiento de las pruebas de certificación del objeto de informatización realizadas por él con los requisitos de las normas y otros documentos normativos y metodológicos sobre seguridad de la información, así como la confiabilidad y objetividad de sus resultados;
integridad y calidad del desempeño de las funciones y responsabilidades que le sean asignadas;
formación y calificación de comisiones de certificación; cumplimiento de los requisitos de los documentos reglamentarios y metodológicos para el procedimiento de certificación;
cumplimiento de los términos y condiciones establecidos para la certificación, fijados en el acuerdo con el solicitante;
garantizar la seguridad de los secretos comerciales y de estado del solicitante;
cumplimiento de la legislación vigente.
JEFE DE LA COMISIÓN TÉCNICA DEL DEPARTAMENTO DE ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
V. Virkovsky
» 24» Noviembre de 1994