Настоящее положение устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к настоящему Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и продление срока действия сертификата, решения по заявке на проведение сертификации (продлению срока действия сертификата), сертификата и лицензии на применение знака соответствия.
1. Общие положения
1.1. Положение разработано в соответствии с Законом Российской Федерации от 10 июня 1993 г. N 5151-1 "О сертификации продукции и услуг" с изменениями и дополнениями, внесенными федеральными законами от 27 декабря 1995 г. N 211-ФЗ, от 2 марта 1998 г. N 30-ФЗ, от 31 июля 1998 г. N 154-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 26, ст. 966; Собрание законодательства Российской Федерации, 1996, N 1, ст. 4; 1998, N 10, ст. 1143; 1998, N 31, ст. 3832), Законом Российской Федерации от 21 июля 1993 г. N 5485-I "О государственной тайне", с изменениями и дополнениями, внесенными постановлением Конституционного Суда Российской Федерации от 27 марта 1996 г. N 8-П, Федеральным законом от 6 октября 1997 г. N 131-ФЗ (Российская газета, от 21 сентября 1993 г., N 182; Собрание законодательства Российской Федерации, 1996, N 15, ст. 1768; Российская газета, от 9 октября 1997 г., N 196), Федеральным законом от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, N 8, ст. 609), Законом Российской Федерации от 7 февраля 1992 г. N 2300/1-1 "О защите прав потребителей" с изменениями и дополнениями, внесенными Федеральным законом от 9 января 1996 г. N 2-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, N 15, ст. 766; Собрание законодательства Российской Федерации, 1996, N 3, ст. 140), Федеральным законом "Об участии в международном информационном обмене" от 4 июля 1996 г. N 85-ФЗ, указов Президента Российской Федерации от 19 февраля 1999 г. N 212 и от 29 ноября 1999 г. N 1567, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" с изменениями и дополнениями, внесенными постановлениями Правительства Российской Федерации от 23 апреля 1996 г. N 509, от 29 марта 1999 г. N 342 (Собрание законодательства Российской Федерации, 1995, N 27, ст. 2579; 1996, N 18, ст. 2142; 1999, N 14, ст. 1722), на основании Правил по проведению сертификации в Российской Федерации, утвержденных постановлением Госстандарта России от 16 февраля 1994 г. N 3 и зарегистрированных в Министерстве юстиции Российской Федерации 21 марта 1994 г., регистрационный номер 521 (Российские вести, от 30 марта 1994 г., N 56) и Порядка проведения сертификации продукции в Российской Федерации, утвержденного постановлением Госстандарта России от 21 сентября 1994 г. N 15 и зарегистрированного в Министерстве юстиции Российской Федерации 5 апреля 1995 г., регистрационный номер 826 (Российские вести, от 1 июня 1995 г., N 100),с изменениями и дополнениями, внесенными постановлением Госстандарта России от 25 июля 1996 г. N 15 и зарегистрированными в Министерстве юстиции Российской Федерации 1 августа 1996 г., регистрационный номер 1139 (Российские вести, от 8 августа 1996 г., N 147).
1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств по требованиям безопасности информации, а также государственного контроля и надзора за сертификацией и сертифицированными средствами защиты информации.
Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
1.3. Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации* по требованиям безопасности информации.
Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации".
1.4. Деятельность системы сертификации средств защиты информации по требованиям безопасности информации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации.
1.5. Целями создания системы сертификации являются:
реализация требований статьи 28 Закона Российской Федерации "О государственной тайне";
реализация требований государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам;
создание условий для качественного и эффективного обеспечения потребителей сертифицированной техникой защиты информации;
обеспечение национальной безопасности Российской Федерации в информационной сфере;
содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
формирование и осуществление единой научно-технической и промышленной политики в информационной сфере с учетом современных требований по противодействию техническим разведкам и технической защите информации.
1.6. Обязательной сертификации подлежат средства защиты информации**, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам. Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении N 1 к настоящему Положению. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.
1.7. Основными схемами сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению федерального органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике.
1.8. Сертификация средств защиты информации осуществляется федеральным и аккредитованными органами по сертификации. Сертификационные испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с федеральным органом по сертификации (или органом по сертификации) допускается проведение испытаний на испытательной базе заявителя данного средства защиты информации.
Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации".
1.9. Оплата работ по сертификации средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средств защиты информации, относится на их себестоимость.
1.10. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.
2. Организационная структура системы сертификации
2.1. Организационную структуру системы сертификации образуют:
федеральный орган по сертификации средств защиты информации (Гостехкомиссия России);
центральный орган системы сертификации средств защиты информации;
органы по сертификации средств защиты информации;
испытательные центры (лаборатории);
заявители.
2.2. Федеральный орган по сертификации средств защиты информации в пределах своей компетенции осуществляет следующие функции:
создает и совершенствует систему сертификации средств защиты информации по требованиям безопасности информации и устанавливает правила проведения сертификации средств защиты информации;
определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;
утверждает нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;
согласовывает с Межведомственной комиссией по защите государственной тайны положение о сертификации средств защиты информации по требованиям безопасности информации, перечень средств защиты информации, подлежащих обязательной сертификации, нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации в системе;
представляет на государственную регистрацию в Госстандарт России и Минюст России систему сертификации и знак соответствия;
организует функционирование системы сертификации средств защиты информации по требованиям безопасности информации;
определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
устанавливает правила аккредитации органов по сертификации, испытательных центров (лабораторий) и органов по аттестации объектов информатизации по требованиям безопасности информации;
аккредитует органы по сертификации, испытательные центры (лаборатории) и органы по аттестации объектов информатизации;
организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации по требованиям безопасности информации;
рассматривает заявки на сертификацию, принимает по ним решения, определяет схему проведения сертификации средств защиты информации и испытательный центр (лабораторию) с учетом предложений заявителя и назначает орган по сертификации;
проводит экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний, оформляет экспертные заключения при проведении сертификации средств защиты информации федеральным органом по сертификации;
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников и объектов сертификации;
осуществляет государственный контроль и надзор, устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
рассматривает апелляции по вопросам сертификации;