От государственной аттестации освобождаются руководители предприятий, имеющие свидетельство об окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по вопросам защиты информации, составляющей государственную тайну. Перечень указанных учебных заведений утверждается Межведомственной комиссией по представлению органов, уполномоченных на ведение лицензионной деятельности.
Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случае:
- предоставления лицензиатом соответствующего заявления;
- обнаружения недостоверных данных в документах, представленных для получения лицензии;
- нарушения лицензиатом условий действия лицензии;
- невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления этими государственными органами деятельности предприятия в соответствии с законодательством Российской Федерации;
Решение о приостановлении, возобновлении и аннулировании лицензии принимается органом, выдавшим лицензию.
Орган, уполномоченный на ведение лицензионной деятельности, в 3-дневный срок со дня принятия решения о приостановлении действия лицензии или о ее аннулировании в письменной форме уведомляет об этом лицензиата и органы Государственной налоговой службы Российской Федерации. Действие лицензии приостанавливается со дня получения лицензиатом указанного уведомления.
После уведомления владельца лицензии о ее аннулировании она подлежит возврату в 10-дневный срок в орган, ее выдавший.
В случае изменения обстоятельств, повлекших приостановление действия лицензии, действие лицензии может быть возобновлено.
Лицензия считается возобновленной после принятия органом, уполномоченным на ведение лицензионной деятельности, соответствующего решения, о котором не позднее чем в 3-дневный срок с момента принятия он оповещает лицензиата и органы Государственной налоговой службы Российской Федерации.
Органы, уполномоченные на ведение лицензионной деятельности, ежеквартально представляют в Межведомственную комиссию сведения о выданных и аннулированных лицензиях.
Контроль за соблюдением лицензионных условий лицензиатами, выполняющими работы, связанные с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляют органы, уполномоченные на ведение лицензионной деятельности.
Решения и действия органов, уполномоченных на ведение лицензионной деятельности, могут быть обжалованы в установленном порядке.
Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, другие министерства и ведомства Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий, на основании приведенного Положения разработали свои ведомственные инструкции о порядке проведения специальных экспертиз по допуску предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну. В частности, такая Инструкция была утверждена Приказом ФСБ РФ 23 августа 1995 г. N 28.
В соответствии с излагаемой в качестве примера Инструкцией ФСБ РФ она определяет порядок организации и проведения специальных экспертиз предприятий, учреждений и организаций (далее - предприятия) на право осуществления ими работ, связанных с использованием сведений, составляющих государственную тайну (далее - специальная экспертиза), на территории Российской Федерации.
Специальные экспертизы предприятий выполняются по следующим направлениям:
- режим секретности;
- противодействие иностранной технической разведке;
- защита информации от утечки по техническим каналам.
Специальные экспертизы организуются и проводятся:
- Федеральной службой безопасности Российской Федерации и территориальными органами безопасности, ФСТЭК России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации и их органами на местах, другими министерствами и ведомствами Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий;
- отраслевыми аттестационными центрами министерств и ведомств, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, для проведения специальных экспертиз на подведомственных им предприятиях (отраслевые аттестационные центры при необходимости могут проводить специальные экспертизы вневедомственных предприятий);
- региональными аттестационными центрами Федеральной службы безопасности Российской Федерации и территориальными органами безопасности, ФСТЭК России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации и их органами на местах, а также администрациями субъектов Российской Федерации, для проведения экспертиз на вневедомственных предприятиях.
Проведение специальных экспертиз осуществляется экспертными комиссиями.
Экспертные комиссии формируются при Федеральной службе безопасности Российской Федерации и территориальных органах безопасности, ФСТЭК России, Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации и их органах на местах и аттестационных центрах.
В состав экспертных комиссий могут включаться представители Федеральной службы безопасности Российской Федерации и территориальных органов безопасности, ФСТЭК России, Федерального агентства правительственной связи и информации при Президенте Российской Федерации и их органов на местах, других министерств, ведомств и предприятий из числа специалистов, компетентных в соответствующих областях защиты государственной тайны (режим секретности, противодействие иностранной технической разведке, защита информации от утечки по техническим каналам) и имеющих необходимую форму допуска к работе со сведениями, составляющими государственную тайну.
Составы экспертных комиссий утверждаются Федеральной службой безопасности Российской Федерации или территориальными органами безопасности по согласованию с подразделениями, осуществляющими лицензионную деятельность, ФСТЭК России, Федерального агентства правительственной связи и информации при Президенте Российской Федерации или с их органами на местах.
Для проведения специальных экспертиз предприятия обращаются в Федеральную службу безопасности Российской Федерации или в территориальные органы безопасности.
Обращение предприятия для проведения специальной экспертизы оформляется в произвольной форме и подписывается руководителем (или заместителем руководителя) предприятия.
В обращении указывается:
- наименование и организационно-правовая форма предприятия, его юридический адрес, номер расчетного счета в банке;
- ведомственная принадлежность предприятия и контактный телефон.
Федеральная служба безопасности Российской Федерации или территориальный орган безопасности на основании обращения предприятия о проведении специальной экспертизы с участием ФСТЭК России, Федерального агентства правительственной связи и информации при Президенте Российской Федерации или их органов на местах дает соответствующее поручение аттестационному центру (экспертной комиссии в случае проведения специальной экспертизы Федеральной службой безопасности Российской Федерации или территориальным органом безопасности) и уведомляет об этом предприятие.
Сроки работы экспертной комиссии доводятся до руководства предприятия не позднее чем за 5 дней до ее начала.
Результаты работы экспертной комиссии оформляются актом, утверждаемым ее председателем.
В акте специальной экспертизы дается заключение о готовности (неготовности) предприятия осуществлять работы, связанные с использованием сведений, составляющих государственную тайну.
Акт специальной экспертизы прилагается к заявлению о выдаче лицензии, которое направляется предприятием в Федеральную службу безопасности Российской Федерации, территориальный орган безопасности.
Специальная экспертиза проводится по договору между предприятием и органом лицензирования или аттестационным центром, ее проводящим.
Основанием для заключения предприятием договора на проведение специальной экспертизы с Федеральной службой безопасности Российской Федерации, территориальным органом безопасности или аттестационным центром является уведомление предприятия Федеральной службой безопасности Российской Федерации или территориальным органом безопасности о проведении специальной экспертизы.
Расходы по проведению специальной экспертизы относятся за счет предприятия.
Оплата работы членов экспертной комиссии осуществляется в порядке, установленном органом лицензирования или аттестационным центром, с которым предприятием заключался договор на проведение специальной экспертизы.
Указанной Инструкцией ФСБ РФ предусмотрен следующий порядок проведения специальных экспертиз предприятий:
специальные экспертизы проводятся путем оценки готовности выполнения предприятиями следующих условий:
- выполнения требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
- достаточности количества и уровня квалификации специально подготовленных сотрудников по защите государственной тайны и защите информации;
- наличия сертифицированных средств защиты информации.
Оценка готовности выполнения предприятиями требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений, предусматривает проверку:
- наличия законодательных и нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, а также нормативно-методических документов по режиму секретности, противодействию иностранной технической разведке и защите информации от утечки по техническим каналам, утверждаемых Федеральной службой безопасности Российской Федерации, ФСТЭК России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации с учетом специфики деятельности предприятий;
- наличия и качества разработки предприятиями документов, регламентирующих организацию и порядок проведения на предприятиях работ по защите сведений, составляющих государственную тайну;
- наличия в структуре предприятия подразделения по защите государственной тайны;
- наличия аттестованных объектов информатики (под объектами информатики понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи секретной информации, а также помещения, предназначенные для ведения секретных переговоров), кроме органов шифровальной службы.
Оценка достаточности количества и уровня квалификации специально подготовленных сотрудников (кроме сотрудников шифровальной службы) по защите государственной тайны и защите информации предусматривает проверку их готовности выполнять следующие виды работ:
- определение охраняемых сведений, демаскирующих признаков предприятия и его производственной деятельности;
- проведение анализа возможностей технической разведки в отношении предприятий по добыванию сведений, составляющих государственную тайну;
- выявление каналов утечки сведений, составляющих государственную тайну;
- разработка мероприятий по защите сведений о предприятии и выпускаемой продукции, составляющих государственную тайну, и оценка их достаточности;
- аттестование рабочих мест по всему технологическому циклу разработки, изготовления и испытания продукции, подлежащей защите;
- контроль выполнения применяемых мер защиты сведений, составляющих государственную тайну.
Кроме того, в ходе проверки при необходимости оценивается достаточность проводимых предприятиями организационных и технических мероприятий по защите сведений, составляющих государственную тайну, в соответствии с требованиями законодательных и нормативных актов Российской Федерации и нормативно-методических документов.
Оценка наличия сертифицированных средств защиты информации заключается в проверке прохождения предполагаемыми к использованию средствами защиты информации установленных процедур сертификации на выполнение требований по защите сведений соответствующей степени секретности.
Излагаемая Инструкция ФСБ РФ также предусматривает организацию и проведение специальных экспертиз аттестационных центров.
Отраслевые аттестационные центры создаются совместным решением министерств и ведомств, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, Федеральной службы безопасности Российской Федерации, ФСТЭК России и Федерального агентства правительственной связи и информации при Президенте Российской Федерации (в качестве примера такого центра в комментарии к данной статье приводился уже Российский центр "Безопасность").
Региональные аттестационные центры создаются совместным решением Федеральной службы безопасности Российской Федерации, ФСТЭК России и Федерального агентства правительственной связи и информации при Президенте Российской Федерации. Это решение принимается также совместно с администрацией субъекта Российской Федерации, если она обратилась в указанные органы с предложением о создании такого центра.
Отраслевые и региональные аттестационные центры получают лицензии в установленном порядке.
Специальные экспертизы аттестационных центров проводятся экспертными комиссиями, сформированными из специалистов Федеральной службы безопасности Российской Федерации или территориальных органов безопасности, ФСТЭК России, Федерального агентства правительственной связи и информации при Президенте Российской Федерации или их органов на местах.
Состав экспертной комиссии формируется Федеральной службой безопасности Российской Федерации или территориальными органами безопасности по согласованию с ФСТЭК России и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации или их органами на местах.
Статья 28. Порядок сертификации средств защиты информации
Комментарий к статье 28
1. Согласно ст. 2 Федерального закона от 01.01.01 г. N 184-ФЗ "О техническом регулировании":
а) под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;
б) сертификатом соответствия является документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров;
в) под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом (о статусе национального и иных стандартов, установленных указанным Федеральным законом, см. п. п. 1, 2 комментария к ст. 9.4).
2. Федеральным законом "О техническом регулировании" вышеуказанные понятия определяются следующим образом:
а) орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;
б) оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
в) подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
г) декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
д) декларация о соответствии - документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
е) заявитель - физическое или юридическое лицо, осуществляющее обязательное подтверждение соответствия;
ж) знак обращения на рынке - обозначение, служащее для информирования приобретателей о соответствии выпускаемой в обращение продукции требованиям технических регламентов;
з) знак соответствия - обозначение, служащее для информирования приобретателей о соответствии объекта сертификации требованиям системы добровольной сертификации или национальному стандарту;
и) идентификация продукции - установление тождественности характеристик продукции ее существенным признакам;
к) стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;
л) стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг;
м) техническое регулирование - правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, а также в области установления и применения на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия;
н) технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента РФ, или постановлением Правительства РФ и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; статус общих технических регламентов и специальных технических регламентов установлен ст. 8 Федерального закона "О техническом регулировании");
о) контроль (надзор) за соблюдением требований технических регламентов - проверка выполнения юридическим лицом или индивидуальным предпринимателем требований технических регламентов к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации и принятие мер по результатам проверки;
п) форма подтверждения соответствия - определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
3. Технические регламенты с учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие:
- безопасность излучений;
- биологическую безопасность;
- взрывобезопасность;
- механическую безопасность;
- промышленную безопасность;
- термическую безопасность;
- химическую безопасность;
- электрическую безопасность;
- ядерную и радиационную безопасность;
- электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования;
- единство измерений.
Технический регламент должен содержать исчерпывающий перечень продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, в отношении которых устанавливаются его требования, и правилам идентификации объекта технического регулирования для целей применения технического регламента. В техническом регламенте в целях его принятия могут содержаться правила и формы оценки соответствия (в том числе схемы подтверждения соответствия), определяемые с учетом степени риска, предельные сроки оценки соответствия в отношении каждого объекта технического регулирования и (или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения.
Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Содержащиеся в технических регламентах обязательные требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, правилам и формам оценки соответствия, правила идентификации, требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения являются исчерпывающими, имеют прямое действие на всей территории Российской Федерации и могут быть изменены только путем внесения изменений и дополнений в соответствующий технический регламент.
Не включенные в технические регламенты требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, правилам и формам оценки соответствия, правилам идентификации, требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут носить обязательный характер.
В технических регламентах с учетом степени риска причинения вреда могут содержаться специальные требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения, обеспечивающие защиту отдельных категорий граждан (несовершеннолетних, беременных женщин, кормящих матерей, инвалидов).
В Российской Федерации действуют следующие виды технических регламентов:
- общие технические регламенты;
- специальные технические регламенты.
Обязательные требования к отдельным видам продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации определяются совокупностью требований общих технических регламентов и специальных технических регламентов.
Требования общего технического регламента обязательны для применения и соблюдения в отношении любых видов продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации.
Требованиями специального технического регламента учитываются технологические и иные особенности отдельных видов продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации.
Общие технические регламенты принимаются по вопросам:
- безопасной эксплуатации и утилизации машин и оборудования;
- безопасной эксплуатации зданий, строений, сооружений и безопасного использования прилегающих к ним территорий;
- пожарной безопасности;
- биологической безопасности;
- электромагнитной совместимости;
- ядерной и радиационной безопасности.
Специальные технические регламенты устанавливают требования только к тем отдельным видам продукции, процессам производства, эксплуатации, хранения, перевозки реализации и утилизации, в отношении которых цели, определенные настоящим Федеральным законом для принятия технических регламентов, не обеспечиваются требованиями общих технических регламентов.
Специальные технические регламенты устанавливают требования только к тем отдельным видам продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, степень риска причинения вреда которыми выше степени риска причинения вреда, учтенной общим техническим регламентом.
В случае отсутствия требований технических регламентов в отношении оборонной продукции (работ, услуг), поставляемой для федеральных государственных нужд по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти, являющимися в пределах своей компетенции государственными заказчиками оборонного заказа, и (или) государственным контрактом.
4. Согласно ст. ст. 20, 21 Федерального закона "О техническом регулировании" подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
Обязательное подтверждение соответствия осуществляется в формах:
- принятия декларации о соответствии (декларирование соответствия);
- обязательной сертификации.
Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.
Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.
Орган по сертификации:
осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;
выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;
предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;
приостанавливает или прекращает действие выданных им сертификатов соответствия.
В соответствии с п. п. 1, 2 ст. 23 Федерального закона "О техническом регулировании" обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.
Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории РФ.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учетом степени риска недостижения целей технических регламентов.
Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.
Согласно п. п. 1, 2 ст. 25, п. 1 ст. 26 Федерального закона "О техническом регулировании" обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством РФ, на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.
Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Органами сертификации средств защиты информации согласно комментируемой статье являются федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (Федеральная служба по техническому и экспортному контролю России), федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (Федеральная служба безопасности РФ, Служба внешней разведки РФ), и федеральный орган исполнительной власти, уполномоченный в области обороны (Минобороны России), в соответствии с функциями, возложенными на них законодательством Российской Федерации.
Порядок разработки, принятия и применения документов о стандартизации в продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну, устанавливается Правительством РФ.
Оценка соответствия, в том числе государственный контроль (надзор) за соблюдением обязательных требований к указанной продукции (работам, услугам), осуществляется в порядке, установленном Правительством РФ.
Обязательные требования к указанной продукции (работам, услугам) не должны противоречить требованиям технических регламентов.
В развитие данных правил Постановлением Правительства РФ от 01.01.2001 N 608 с последующими изменениями и дополнениями утверждено Положение о сертификации средств защиты информации.
Данное Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
5. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия). В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Участниками сертификации средств защиты информации являются:
- федеральный орган по сертификации;
- центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;
- органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
- изготовители-продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
Федеральный орган по сертификации в пределах своей компетенции:
- создает системы сертификации;
- осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
- устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
- определяет центральный орган для каждой системы сертификации;
- выдает сертификаты и лицензии на применение знака соответствия;
- ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
- осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
- рассматривает апелляции по вопросам сертификации;
- представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
- устанавливает порядок признания зарубежных сертификатов;
- приостанавливает или отменяет действие выданных сертификатов.
Центральный орган системы сертификации:
- организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
- ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
- обеспечивает участников сертификации информацией о деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.
Органы по сертификации средств защиты информации:
- сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
- приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
- принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
- формируют фонд нормативных документов, необходимых для сертификации;
- представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.
Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.
Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
Изготовители:
- производят (реализуют) средства защиты информации только при наличии сертификата;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
