контроль технологии производства средств защиты информации.
орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.
3.9. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.
3.10. Рассмотрение апелляций.
Апелляция подается в апелляционный совет федерального органа по сертификации по вопросам, связанным с деятельностью испытательных центров (лабораторий) или органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. О принятом решении извещается податель апелляции.
4. Требования к нормативным и методическим документам по сертификации средств защиты информации
4.1. Сертификация средств защиты информации отечественного и зарубежного производства проводится на соответствие требованиям нормативных документов, действующих в системе сертификации средств защиты информации по требованиям безопасности информации, и в соответствии с утвержденными органом по сертификации программами и методиками сертификационных испытаний.
4.2. Тексты нормативных и методических документов, используемых при сертификации средств защиты информации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В разделе "Область применения" должно содержаться указание о возможности использования документа в целях сертификации.
4.3. В специальном разделе или путем ссылки на другой нормативный или методический документ должны быть установлены методы, условия, объем и порядок испытаний для определения показателей, характеристик и требований, проверяемых при сертификации. Содержание и изложение этих сведений должны быть таковы, чтобы свести к минимуму погрешности результатов испытаний и позволить квалифицированному персоналу любого испытательного центра (лаборатории) получать сопоставимые результаты. Должна быть указана последовательность проведения испытаний, если эта последовательность влияет на результаты испытаний.
4.4. В разделе "Маркировка" должны содержаться требования, которые обеспечивают однозначную идентификацию сертифицированных средств защиты информации, а также указания о месте и способе нанесения знака соответствия.
4.5. Официальным языком системы сертификации средств защиты информации по требованиям безопасности информации является русский. Все нормативные и методические документы системы сертификации оформляются на русском языке.
Приложение 1 Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (N РОСС RU.0001.01БИ00)
Приложение 1
Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (N РОСС RU.0001.01БИ00)
Средства защиты информации | Код средств защиты информации по ОК 005-93(ОКП) | Код средств защиты информации по ТН ВЭД | Область применения средств защиты информации |
| 1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении. | 66 5000 0 66 6000 0 66 7000 0 66 8000 0 67 0000 0 69 0000 0 70 3000 0 | 847100000 847210000 847300000 851700000 851800000 851900000 852000000 852100000 854000000 854100000 854200000 | Защита информационных ресурсов ограниченного доступа представленных в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи, приема, передачи, обработки и хранения информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройств, средства изготовления, тиражирования документов и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для обработки информации ограниченного доступа.Технические средства и системы, не обрабатывающие информацию, размещенные в помещениях, где обрабатывается (циркулирует) информация, отнесенная к категории ограниченного доступа, а также сами помещения (выделенные помещения). |
| 1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн, осуществляемого оптическими, оптико-электронными, телевизионными, тепловизионными (инфракрасными), лазерными, фото и другими визуальными средствами съема информации. | Средства телевидения (телевизионные системы и аппаратура, системы и аппаратура видеозаписи воспроизведения). Системы телевизионной охранной сигнализации. Компоненты вычислительной техники (терминалы ЭВМ и оконечных устройств автоматизированных систем, печатающие устройства ЭВМ и оконечных устройств автоматизированных систем). Промышленные объекты. | ||
| 1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах, осуществляемого акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами | Средства радио и кабельной связи, радиовещания и телевидения, видео- и звукозаписывающей и воспроизводящей техники и их компоненты (радиовещательная и телевизионная аппаратура, телефонная и телеграфная аппаратура, телефоны, микрофоны, громкоговорители, аппаратура видеозаписи и воспроизведения, аппаратура звукозаписи и воспроизведения)Промышленные объекты. | ||
| 1.3. Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств обработки информации, осуществляемого магнитометрическими, радио, радиотехническими и радиолокационными средствами. | Электронно-вычислительная техника и ее компоненты (ЭВМ), вычислительные сети, системы и комплексы, устройства телеобработки информации). Автоматизированные системы. Программно-технические комплексы для автоматизации различных процессов. Средства радио- и кабельной связи, радиовещания и телевидения, включая спутниковые системы и волоконно-оптические линии связи и их компоненты, а также средства видео, звукозаписывающей и воспроизводящей техники и ее компоненты. Приборы и оборудование охранной и пожарной сигнализации. Промышленные объекты, образцы вооружения и военной техники. Программно-технические комплексы для автоматизации контроля и производственных испытаний средств вычислительной техники, связи и средств защиты информации, изделий радиоэлектроники и приборостроения. Средства автоматизации труда (электрические и автоматические пишущие машинки, копировально-множительная техника, в том числе ризографы). | ||
| 1.4. Средства защиты информации от перехвата электрических сигналов, распространяющихся в токопроводящих коммуникациях и являющихся причиной электромагнитной наводки за счет побочных электромагнитных излучений технических средств обработки информации или следствием эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами. | |||
| 1.5 Средства защиты информации от деятельности радиационной разведки по добыванию сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты. | |||
| 1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты. | |||
| 1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты. | |||
| 2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности | |||
| 2.1 Средства пассивной защиты, в том числе: замки (с управлением от микропроцессора, радиоуправляемые и т.п.); электрические датчики разных типов; телевизионные системы охраны и контроля; СВЧ и радиолокационные системы; лазерные системы; оптические и инфракрасные системы; акустические системы; кабельные системы; устройства идентификации; ограждения;средства обнаружения нарушителя или нарушающего воздействия; специальные средства для транспортировки и хранения физических носителей информации (кассет стриммеров, магнитных и оптических дисков и т.п.) | |||
| 2.2. Средства защиты от подделки документов на основе оптико-химических технологий. | |||
| 2.3. Программы, обеспечивающие разграничение доступа к информации. | |||
| 2.4. Программы идентификации и аутентификации терминалов и пользователей | |||
| 2.5. Программы контроля целостности информационных массивов. | |||
| 2.6. Антивирусные программы. | |||
| 2.7. Программы уничтожения остаточной информации в запоминающих устройствах. | |||
| 2.8. Программы контроля и восстановления файловой структуры на внешних запоминающих устройствах. | |||
| 2.9. Программы имитации работы системы или ее блокировки при обнаружении фактов НСД. | |||
| 2.10. Средства защиты, встроенные в операционные системы, системы управления базами данных и пакеты прикладных программ. | |||
| 2.11 Программы предотвращения несанкционированного копирования информации | |||
| 2.15. Межсетевые экраны | |||
| 2.16. Средства стирания данных. | |||
| 2.17. Средства локализации электронных закладок | |||
| 2.18. Средства предотвращения несанкционированного копирования информации | |||
| 2.19. Средства автоматизированного анализа защищенности, обнаружения атак и уязвимостей АС и СВТ | |||
| 2.20. Средства управления доступом в локальные вычислительные сети на основе виртуальных локальных сетей. | |||
| 2.21. Средства реализующие виртуальные частные сети поверх глобальных и локальных вычислительных сетей. | |||
| 2.22. Базовая система ввода/вывода(BIOS) | |||
| 2.23. Система управления потоками информации в цифровых АТС. | |||
| 2.24. Программные средства идентификации изготовителя программного (информационного) продукта, средства идентификации авторского права. | |||
| 3. Средства контроля эффективности применения средств защиты информации. | |||
| 4. Защищенные программные средства обработки информации. | |||
| 4.1. Пакеты прикладных программ. | |||
| 4.2. Программные средства, входящие с состав автоматизированных систем управления. | |||
| 5. Программные средства общего назначения. | |||
| 5.1. Операционные системы. | |||
| 5.2. Системы управления базами данных. | |||
| 5.3. Компиляторы. | |||
| 5.4. Средства разработки программного обеспечения. | |||
| 5.5. Редакторы текстовые и графические. | |||
| 6. Контрольно-кассовые машины (ККМ) |
Приложение 2 Заявка на проведение сертификации средств защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00
Приложение 2
Кому (наименование федерального органа по сертификации, адрес)
Заявка на проведение сертификации средств защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00
(наименование заявителя, адрес) просит провести сертификацию следующей продукции:
(наименование продукции, код ОКП, шифр) на соответствие требованиям (наименование нормативных и методических документов)
Заявитель предлагает провести испытания продукции по схеме (указывается схема сертификации) в (наименование испытательного центра (лаборатории)
Заявитель обязуется:
выполнять все условия сертификации;
обеспечивать стабильность сертифицированных характеристик средств защиты информации, маркированных знаком соответствия;
оплатить все расходы по проведению сертификации.
Дополнительные условия или сведения для договора:
а) предварительную проверку производства предлагаем провести в период
_______________________________________________
место печати дата, подпись Фамилия И.О
Приложение 2А Заявка на продление срока действия сертификата на средство защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00
Приложение 2А
Кому (наименование федерального органа по сертификации, адрес)
Заявка на продление срока действия сертификата на средство защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00
(наименование заявителя, адрес) просит продлить срок действия сертификата:
(номер сертификата, дата выдачи) на (наименование сертифицированного СЗИ, код ОКП, шифр) на соответствие требованиям (наименование нормативных и методических документов)
Заявитель предлагает провести сертификацию в (наименование органа по сертификации) и (наименование испытательного центра (лаборатории)
Заявитель обязуется:
выполнять все условия сертификации;
обеспечивать стабильность сертифицированных характеристик средств защиты информации, маркированных знаком соответствия;
оплатить все расходы по проведению сертификации.
Дополнительные условия или сведения для договора:
а) проверку аттестованного производства предлагаем провести в период _____________________________________
место печати дата, подпись Фамилия И.О
Приложение 3 Решение по заявке на проведение сертификации
Приложение 3
Государственная техническая комиссия при Президенте Российской Федерации Система сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00
Решение от "_____" __________________20__ г. по заявке на проведение сертификации
По заявке (наименование заявителя) на сертификацию (наименование продукции, код ОКП, ТУ) принято решение:
1. Сертификацию провести по схеме (указывается схема сертификации)