II. Организационная структура системы сертификации СЗИ-ГТ

Операции с документом

· Send this

Приложение 1 к приказу ФСБ РФ от 13 ноября 1999 г. N 564 (система сертификации СЗИ-ГТ)

I. Общие положения

 

1.1. В соответствии с Законом Российской Федерации от 10.06.93 г. N 5151-I "О сертификации продукции и услуг", с изменениями и дополнениями, внесенными федеральными законами от 27.12.95 г. N 211-ФЗ, от 02.03.98 г. N 30-ФЗ, от 31.07.98 г. N 154-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 26, ст.966; Собрание законодательства Российской Федерации, 1996, N 1, ст.4; 1998, N 10, ст.1143; 1998, N 31, ст.3832), Законом Российской Федерации от 21.07.93 г. N 5485-1 "О государственной тайне", с изменениями и дополнениями, внесенными постановлением Конституционного Суда Российской Федерации от 27.03.96 г. N 8-П, Федеральным законом от 6.10.97 г. N 131-ФЗ (Российская газета, 21.09.93 г., N 182; Собрание законодательства Российской Федерации, 1996, N 15, ст.1768; Российская газета, 9.10.97 г., N 196), Федеральным законом от 3.04.95 г. N 40-ФЗ "Об органах Федеральной службы безопасности в Российской Федерации" (Собрание законодательства Российской Федерации, 1995, N 15, ст.1269), Федеральным законом от 20.02.95 г. N 24-ФЗ "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, N 8, ст.609), Законом Российской Федерации от 07.02.92 г. N 2300/1-1 "О защите прав потребителей", с изменениями и дополнениями, внесенными Федеральным законом от 9.01.96 г. N 2-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, N 15, ст.766; Собрание законодательства Российской Федерации, 1996, N 3, ст.140), постановлением Правительства Российской Федерации от 26.06.95 г. N 608 "О сертификации средств защиты информации", с изменениями и дополнениями, внесенными постановлениями Правительства Российской Федерации от 23.04.96 г. N 509, от 29.03.99 г. N 342 (Собрание законодательства Российской Федерации, 1995, N 27, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722), на основании Правил по проведению сертификации в Российской Федерации, утвержденных постановлением Госстандарта России от 16.02.94 г. N 3 и зарегистрированных в Министерстве юстиции Российской Федерации 21.03.94 г., регистрационный номер 521 (Российские вести, 30.03.94 г., N 56) и Порядка проведения сертификации продукции в Российской Федерации, утвержденного постановлением Госстандарта России от 21.09.94 г. N 15 и зарегистрированного в Министерстве юстиции Российской Федерации 5.04.95 г., регистрационный номер 826 (Российские вести, 01.06.95 г., N 100), с изменениями и дополнениями, внесенными постановлением Госстандарта России от 25.07.96 г. N 15 и зарегистрированными в Министерстве юстиции Российской Федерации 1.08.96 г., регистрационный номер 1139 (Российские вести, 8.08.96 г., N 147), Федеральная служба безопасности Российской Федерации создала систему обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ).

 

См. Правила по проведению сертификации в Российской Федерации, утвержденные постановлением Госстандарта РФ от 10 мая 2000 г. N 26

 

Обязательная сертификация в системе сертификации СЗИ-ГТ проводится на основании федеральных законов "О государственной тайне", "Об органах федеральной службы безопасности в Российской Федерации" и постановления Правительства Российской Федерации от 26.06.95 г. N 608 "О сертификации средств защиты информации".

1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами.

Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями) и органами по сертификации правил обязательной сертификации осуществляет ФСБ России в порядке, установленном законодательством Российской Федерации.

1.3. Целями создания системы сертификации являются:

- реализация требований статьи 28 Закона Российской Федерации "О государственной тайне";

- обеспечение национальной безопасности в сфере информатизации;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;

- содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

- регулирование и контроль разработки, а также последующего производства СЗИ-ГТ;

- содействие потребителям в компетентном выборе средств защиты информации;

- защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

- подтверждение показателей качества продукции, заявленных изготовителями.

1.4. Органы по сертификации системы сертификации СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ России на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ (приложение 1) и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.

По правилам системы сертификации СЗИ-ГТ по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.

1.5. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

Основными схемами сертификации (в соответствии с Порядком проведения сертификации продукции в Российской Федерации, утвержденным постановлением Госстандарта России от 21 сентября 1994 г. N 15) СЗИ-ГТ являются:

для серийного производства СЗИ-ГТ - схема 3 (приложение 2) проведение испытаний типа продукции на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну, и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации может проводиться предварительная проверка производства схема 3а (приложение 2);

для единичных образцов СЗИ-ГТ - схема 8 (приложение 2) проведение испытаний образца на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну.

По согласованию с органом по сертификации при добровольной и обязательной сертификации могут быть использованы и другие схемы сертификации, приведенные в приложении 2.

1.6. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации и при согласии разработчика (изготовителя, продавца) допускается проведение испытаний на испытательной базе разработчика данного СЗИ-ГТ в присутствии представителя органа по сертификации.

1.7. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ России и Межведомственной комиссией по защите государственной тайны.

1.8. Оплата работ по сертификации СЗИ-ГТ производится заявителем в порядке, установленном ФСБ России по согласованию с Министерством финансов Российской Федерации. Сумма средств, израсходованных заявителем на проведение сертификации средств защиты информации, относится на их себестоимость.

1.9. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности государственной тайны, другой информации, охраняемой законодательством Российской Федерации, за сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях СЗИ-ГТ.

 

II. Организационная структура системы сертификации СЗИ-ГТ

 

2.1. Организационную структуру системы сертификации образуют (приложение 3):

ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);

центральный орган системы сертификации (создается при необходимости);

органы по сертификации СЗИ-ГТ;

испытательные центры (лаборатории);

учебно-методический центр;

заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).

2.2. ФСБ России в пределах своей компетенции осуществляет следующие функции:

создает систему сертификации и устанавливает правила проведения сертификации СЗИ-ГТ;

представляет на государственную регистрацию в Госстандарт России систему сертификации СЗИ-ГТ и ее знаки соответствия;

организует функционирование системы сертификации;

определяет номенклатуру СЗИ-ГТ, подлежащих обязательной сертификации в данной системе;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

осуществляет процедуру признания нормативных и методических документов сторонних организаций;

организует и финансирует разработку нормативных и методических документов системы сертификации;

утверждает нормативные документы, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методические документы по проведению сертификационных испытаний;

устанавливает правила применения знаков соответствия обязательной и добровольной сертификации;

аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ по сертификации и аттестаты аккредитации;

организует подготовку, переподготовку и повышение квалификации экспертов по вопросам сертификации СЗИ-ГТ, а также аттестацию экспертов;

координирует деятельность органов по сертификации и испытательных центров (лабораторий) системы сертификации СЗИ-ГТ;

устанавливает правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний;

ведет государственный реестр сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия;

регистрирует сертификаты соответствия и лицензии на применение знака соответствия до их выдачи заявителю;

ведет учет нормативных документов, содержащих правила, требования и методические рекомендации по сертификации;

устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными СЗИ-ГТ;

рассматривает апелляции по вопросам сертификации;

обеспечивает участников сертификации информацией о деятельности системы сертификации и готовит необходимые материалы для опубликования;

организует публикацию информации о системе сертификации;

ежеквартально представляет информацию о работе системы сертификации в Межведомственную комиссию по защите государственной тайны;

осуществляет взаимодействие с федеральными органами по сертификации других систем сертификации.

2.3. Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации:

проводят идентификацию средств защиты информации;

определяют схему сертификации конкретных СЗИ-ГТ с учетом предложений заявителя;

проводят при необходимости предварительную проверку производства при серийном выпуске сертифицируемых СЗИ-ГТ;

разрабатывают предложения по номенклатуре СЗИ-ГТ, сертифицируемых в системе сертификации, и представляют их в ФСБ России;

участвуют в работах по совершенствованию нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний;

проводят анализ материалов сертификационных испытаний СЗИ-ГТ;

оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ России для регистрации в государственном реестре;

выдают сертификаты соответствия и лицензии на применение знака соответствия;

предоставляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;

проводят инспекционный контроль сертифицированных СЗИ-ГТ;

участвуют в случае необходимости в отборе образцов СЗИ-ГТ для проведения сертификационных испытаний;

хранят документацию, подтверждающую сертификацию СЗИ-ГТ;

приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия;

представляют заявителю необходимую информацию по сертификации;

обеспечивают конфиденциальность информации.

2.4. Испытательные центры (лаборатории) в пределах установленной области аккредитации:

разрабатывают, утверждают программы и методики проведения сертификационных испытаний (при необходимости);

осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;

осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;

обеспечивают полноту испытаний СЗИ-ГТ, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования;

обеспечивают сохранность образцов СЗИ-ГТ;

обеспечивают конфиденциальность информации.

2.5. Учебно-методический центр:

осуществляет подготовку, переподготовку и повышение квалификации кадров;

осуществляет подготовку и аттестацию экспертов;

участвует в разработке и совершенствовании нормативных и методических документов системы сертификации СЗИ-ГТ.

2.6. Заявители (разработчики, изготовители, продавцы):

применяют сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;

обеспечивают соответствие СЗИ-ГТ требованиям нормативных документов по безопасности информации, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;

указывают в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ и нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;

приостанавливают или прекращают реализацию СЗИ-ГТ по истечении срока действия сертификата соответствия, приостановке его действия или отмене, а также если СЗИ-ГТ не отвечает требованиям нормативных документов, на соответствие которым сертифицировано;

принимают меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;

при обнаружении несоответствия сертифицированных СЗИ-ГТ требованиям нормативных документов осуществляют мероприятия по доработке этих СЗИ-ГТ и проведению сертификационных испытаний;

обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих обязательную сертификацию СЗИ-ГТ и контроль за сертифицированными СЗИ-ГТ;

извещают орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.

Заявители (разработчики, изготовители) должны иметь лицензию на соответствующий вид деятельности.

2.7. Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСБ России. Правила аккредитации определяются соответствующим положением.

Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации. Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) организаций, подведомственных федеральным органам исполнительной власти, осуществляется по согласованию с этими органами власти.

2.8. Органы по сертификации и испытательные центры (лаборатории), действующие в других системах сертификации, могут быть аккредитованы в настоящей системе сертификации в установленном порядке.