положення
Про сертифікації засобів захисту інформації
(В ред. Постанови Уряду РФ від 23.04.96 "509)
1. Це Положення встановлює порядок сертифікації засобів захисту інформації в Російській Федерації та її установах за кордоном.
Технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять державну таємницю, кошти, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації є засобами захисту інформації.
Зазначені кошти підлягають обов'язковій сертифікації, яка проводиться в рамках систем сертифікації засобів захисту інформації.
Система сертифікації засобів захисту інформації являє собою сукупність учасників сертифікації, що здійснюють її за встановленими правилами (далі - система сертифікації).
Системи сертифікації створюються Державною технічною комісією при Президентові Російської Федерації, Федеральним агентством урядового зв'язку та інформації при Президентові Російської Федерації, федеральною службою безпеки Російської федерації. Міністерством оборони Російської Федерації, Службою зовнішньої розвідки Російської Федерації, уповноваженими проводити роботи із сертифікації засобів захисту інформації в межах компетенції, визначеної для них законодавчими та іншими нормативними актами Російської федерації (далі - федеральні органи з сертифікації). (В ред. Постанови Уряду РФ від 23.04.96 "509)
Сертифікація засобів захисту інформації здійснюється на підставі вимог державних стандартів, нормативних документів, затверджуваних Урядом Російської Федерації і федеральними органами по сертифікації в межах їх компетенції.
У кожній системі сертифікації розробляються і узгоджуються з Міжвідомчою комісією положення про цю систему сертифікації, а також перелік засобів захисту інформації, які підлягають сертифікації, та вимоги, яким ці кошти повинні задовольняти.
2. Учасниками сертифікації засобів захисту інформації є:
- федеральний орган по сертифікації;
- центральний орган системи сертифікації (створюваний при необхідності) - орган, який очолює систему сертифікації однорідної продукції;
- органи із сертифікації засобів захисту інформації - органи, які проводять сертифікацію певної продукції;
випробувальні лабораторії -лабораторія, які проводять сертифікаційні випробування (окремі види цих випробувань) певної продукції; - виробники - продавці, виконавці продукції.
Центральні органи системи сертифікації, органи з сертифікації засобів захисту інформації та випробувальні лабораторії проводять акредитацію на право проведення робіт з сертифікації, в ході якої федеральні органи з сертифікації визначають можливості виконання цими органами і лабораторіями робіт із сертифікації засобів захисту інформації і оформляють офіційний дозвіл на право проведення зазначених робіт. Акредитація проводиться тільки при наявності у зазначених органів і лабораторій ліцензії на відповідні види діяльності.
3. Федеральний орган по сертифікації в межах своєї компетенції:
- створює системи сертифікації;
- здійснює вибір способу підтвердження відповідності засобів захисту інформації вимогам нормативних документів;
- встановлює правила акредитації центральних органів систем сертифікації, органів з сертифікації засобів захисту інформації та випробувальних лабораторій;
- визначає центральний орган для кожної системи сертифікації;
- видає сертифікати або цензии на застосування знака відповідності;
- веде державний реєстр учасників сертифікації і сертифікованих засобів захисту інформації;
- здійснює державні контроль і нагляд за дотриманням учасниками сертифікації правил сертифікації та за сертифікованими засобами захисту інформації, а також встановлює порядок інспекційного контролю;
- розглядає апеляції з питань сертифікації;
- представляє на державну реєстрацію до Комітету Російської Федерації по стандартизації, метрології та сертифікації системи сертифікації і знак відповідності;
- встановлює порядок визнання зарубіжних сертифікатів;
- призупиняє або скасовує дію виданих сертифікатів.
4. Центральний орган системи сертифікації:
- організовує роботи по формуванню системи сертифікації і керівництво нею, координує діяльність органів з сертифікації та засобів захисту інформації та випробувальних лабораторій, що входять в систему сертифікації;
- веде облік вхідних в систему сертифікації органів із сертифікації засобів захисту інформації та випробувальних лабораторій, видані та анульовані сертифікатів і ліцензій на застосування знака відповідності;
- забезпечує учасників сертифікації інформацією про діяльність системи сертифікації.
При відсутності в системі сертифікації центрального органу його функції виконуються федеральним органом по сертифікації.
5. Органи по сертифікації засобів захисту інформації:
- сертифікують засоби захисту інформації, видають сертифікати і ліцензії на застосування знака відповідності з поданням копій в федеральні органи з сертифікації та ведуть їх облік;
- припиняють або скасовують дію виданих ними сертифікатів і ліцензій на застосування зна ка відповідності;
- приймають рішення про проведення повторної сертифікації при змінах в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;
- формують фонд нормативних документів, необхідних для сертифікації;
- представляють виробникам на їх вимогу необхідну інформацію в межах своєї компетенції.
6. Випробувальні лабораторії проводять сертифікаційні випробування засобів захисту інформації і за їх результатами оформляють висновки і протоколи, які направляють до відповідного органу з сертифікації засобів захисту інформації і виробникам.
Випробувальні лабораторії несуть відповідальність за повноту випробувань засобів захисту інформації і достовірність їх результатів.
- виробляють (реалізують) засоби захисту інформації тільки при наявності сертифіката;
- сповіщають орган по сертифікації, який проводив сертифікацію, про зміни в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;
- маркують сертифіковані засоби захисту інформації знаком відповідності в порядку, встановленому для даної системи сертифікації;
- вказують в супровідної технічної документації відомості про сертифікацію та нормативних документах, яким засоби захисту інформації повинні відповідати, а також забезпечують доведення цієї інформації до споживача;
- застосовують сертифікат і знак відповідності, керуючись законодавством Російської Федерації і правилами, встановленими для даної системи сертифікації;
- забезпечують відповідність засобів захисту інформації вимогам нормативних документів щодо захисту інформації;
- забезпечують безперешкодне виконання своїх повноважень посадовими особами органів, що здійснюють сертифікацію і контроль за сертифікованими засобами захисту інформації;
- припиняють реалізацію засобів захисту інформації при невідповідності їх вимогам нормативних документів або після закінчення терміну дії сертифіката, а також у разі припинення дії сертифіката або його скасування.
Виробники повинні мати ліцензію на відповідний вид діяльності.
8. Виробник для отримання сертифіката направляє до органу із сертифікації засобів захисту інформації заявку на проведення сертифікації, до якої можуть бути включені схема проведення сертифікації, державні стандарти та інші нормативні і методичні документи, вимогам яких повинні відповідати сертіфіціруемие засоби захисту інформації.
Орган по сертифікації засобів захисту інформації в місячний термін після отримання заявки направляє виробнику рішення про проведення сертифікації із зазначенням схеми її проведення, випробувальної лабораторії, що здійснює випробування засобів захисту інформації, і нормативних документів, вимогам яких повинні відповідати сертіфіціруемие засоби захисту інформації, а при необхідності - - рішення про проведення і терміни попередньої перевірки виробництва засобів захисту інформації.
Для визнання іноземного сертифіката виробник направляє його копію і заявку на визнання сертифіката до федерального орган по сертифікації, який сповіщає виробника про визнання сертифіката або необхідності проведення сертифікаційних випробувань в строк не пізніше одного місяця після отримання зазначених документів. У разі визнання іноземного свідоцтва федеральний орган по сертифікації оформляє і видає виробнику сертифікат відповідності встановленого зразка. Сертифікація імпортованих засобів захисту інформації проводиться за тими ж правилами, що і вітчизняних.
Основними схемами проведення сертифікації засобів захисту інформації є:
для одиничних зразків засобів захисту інформації - проведення випробувань цих зразків на відповідність вимогам щодо захисту інформації;
для серійного виробництва засобів захисту інформації - проведення типових випробувань зразків засобів захисту інформації на відповідність вимогам щодо захисту інформації і подальший інспекційний контроль за стабільністю характеристик сертифікованих засобів захисту інформації, що визначають виконання цих вимог. Крім того, допускається попередня перевірка виробництва за спеціально розробленою програмою.
Термін дії сертифіката не може перевищувати п'яти років.
9. Випробування сертифікуються засобів захисту інформації проводяться наобразцах, технологія виготовлення і конструкція (склад) яких повинні відповідати зразкам, що поставляється споживачеві (замовникові).
В окремих випадках за погодженням з органом по сертифікації засобів захисту інформації допускається проведення випробувань на випробувальній базі виготовлювача. При цьому орган із сертифікації засобів захисту інформації визначає умови, необхідні для забезпечення об'єктивності результатів випробувань.
У разі відсутності на початок проведення сертифікації акредитованих випробувальних лабораторій орган із сертифікації засобів захисту інформації визначає можливість, місце і умови проведення випробувань, що забезпечують об'єктивність їх результатів.
Терміни проведення випробувань встановлюються договором між виробником і випробувальною лабораторією.
Виробнику повинна бути надана можливість ознайомитися з умовами випробувань і зберігання зразків засобів захисту інформації в випробувальної лабораторії.
У разі невідповідності результатів випробувань вимогам нормативних і методичних документів по захисту інформації орган із сертифікації засобів захисту інформації приймає рішення про відмову у видачі сертифіката та надсилає виробнику мотивований висновок. У разі незгоди з відмовою у видачі сертифіката виробник має право звернутися до центрального органу системи сертифікації, федеральний орган по сертифікації або в Міжвідомчу комісію для додаткового розгляду отриманих при випробуваннях результатів.
10. Федеральний орган по сертифікації і органи із сертифікації засобів захисту інформації мають право зупиняти або анулювати дію сертифіката в наступних випадках:
- зміна нормативних і методичних документів по захисту інформації в частині вимог до засобів захисту інформації, методів випробувань і контролю;
- зміна технології виготовлення, конструкції (складу), комплектності засобів захисту інформації і системи контролю їх якості;
- відмова виробника забезпечити безперешкодне виконання своїх повноважень особами, які здійснюють державні контроль і нагляд, інспекційний контроль за сертифікацією і сертифікованими засобами захисту інформації.
11. Порядок оплати робіт з обов'язкової сертифікації засобів захисту інформації визначається федеральним органом по сертифікації за погодженням з Міністерством фінансів Російської Федерації. Оплата робіт з сертифікації конкретних засобів захисту інформації здійснюється на підставі договорів між учасниками сертифікації.
12. Інспекційний контроль за сертифікованими засобами захисту інформації здійснюють органи, які проводили сертифікацію цих засобів захисту інформації.
13. При виникненні спірних питань в діяльності учасників сертифікації зацікавлена сторона може подати апеляцію в орган із сертифікації засобів захисту інформації, в центральний орган системи сертифікації, в федеральний орган по сертифікації або в Міжвідомчу комісію. Зазначені організації в місячний термін розглядають апеляцію із залученням зацікавлених сторін і сповіщають подавця апеляції про прийняте рішення.