В соответствии с Законами Российской Федерации "О государственной тайне" и "О сертификации продукции и услуг" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о сертификации средств защиты информации.
2. Государственной технической комиссии при Президенте Российской Федерации, Федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Федеральной службе безопасности Российской Федерации и Министерству обороны Российской Федерации в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации, а также по согласованию с Министерством финансов Российской Федерации порядок оплаты работ по сертификации средств защиты информации.
| Председатель ПравительстваРоссийской Федерации | В. Черномырдин |
Положение о сертификации средств защиты информации (утв. постановлением Правительства РФ от 26 июня 1995 г. N 608)
1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия)* В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
2. Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители-продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
3. Федеральный орган по сертификации в пределах своей компетенции:
создает системы сертификации;
осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
определяет центральный орган для каждой системы сертификации;
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
рассматривает апелляции по вопросам сертификации;
представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
устанавливает порядок признания зарубежных сертификатов;
приостанавливает или отменяет действие выданных сертификатов.
4. Центральный орган системы сертификации:
организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
обеспечивает участников сертификации информацией о деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.
5. Органы по сертификации средств защиты информации:
сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
формируют фонд нормативных документов, необходимых для сертификации;
представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.
6. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.
Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
7. Изготовители:
производят (реализуют) средства защиты информации только при наличии сертификата;
извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;