Приказ ФСБ РФ от 13 ноября 1999 г. N 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"

Приказ ФСБ РФ от 13 ноября 1999 г. N 564
"Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"


Утвердить Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ) (приложение 1) и Положение о знаках соответствия системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (приложение 2).


Директор

Н.Патрушев


Зарегистрировано в Минюсте РФ 27 декабря 1999 г.

Регистрационный N 2028


Приложение 1

к приказу ФСБ РФ

от 13 ноября 1999 г. N 564


Положение
о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну
(система сертификации СЗИ-ГТ)

ГАРАНТ:

О Системах сертификации отдельных видов продукции и услуг см. справку


I. Общие положения


1.1. В соответствии с Законом Российской Федерации от 10.06.93 г. N 5151-I "О сертификации продукции и услуг", с изменениями и дополнениями, внесенными федеральными законами от 27.12.95 г. N 211-ФЗ, от 02.03.98 г. N 30-ФЗ, от 31.07.98 г. N 154-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 26, ст.966; Собрание законодательства Российской Федерации, 1996, N 1, ст.4; 1998, N 10, ст.1143; 1998, N 31, ст.3832), Законом Российской Федерации от 21.07.93 г. N 5485-1 "О государственной тайне", с изменениями и дополнениями, внесенными постановлением Конституционного Суда Российской Федерации от 27.03.96 г. N 8-П, Федеральным законом от 6.10.97 г. N 131-ФЗ (Российская газета, 21.09.93 г., N 182; Собрание законодательства Российской Федерации, 1996, N 15, ст.1768; Российская газета, 9.10.97 г., N 196), Федеральным законом от 3.04.95 г. N 40-ФЗ "Об органах Федеральной службы безопасности в Российской Федерации" (Собрание законодательства Российской Федерации, 1995, N 15, ст.1269), Федеральным законом от 20.02.95 г. N 24-ФЗ "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, N 8, ст.609), Законом Российской Федерации от 07.02.92 г. N 2300/1-1 "О защите прав потребителей", с изменениями и дополнениями, внесенными Федеральным законом от 9.01.96 г. N 2-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, N 15, ст.766; Собрание законодательства Российской Федерации, 1996, N 3, ст.140), постановлением Правительства Российской Федерации от 26.06.95 г. N 608 "О сертификации средств защиты информации", с изменениями и дополнениями, внесенными постановлениями Правительства Российской Федерации от 23.04.96 г. N 509, от 29.03.99 г. N 342 (Собрание законодательства Российской Федерации, 1995, N 27, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722), на основании Правил по проведению сертификации в Российской Федерации, утвержденных постановлением Госстандарта России от 16.02.94 г. N 3 и зарегистрированных в Министерстве юстиции Российской Федерации 21.03.94 г., регистрационный номер 521 (Российские вести, 30.03.94 г., N 56) и Порядка проведения сертификации продукции в Российской Федерации, утвержденного постановлением Госстандарта России от 21.09.94 г. N 15 и зарегистрированного в Министерстве юстиции Российской Федерации 5.04.95 г., регистрационный номер 826 (Российские вести, 01.06.95 г., N 100), с изменениями и дополнениями, внесенными постановлением Госстандарта России от 25.07.96 г. N 15 и зарегистрированными в Министерстве юстиции Российской Федерации 1.08.96 г., регистрационный номер 1139 (Российские вести, 8.08.96 г., N 147), Федеральная служба безопасности Российской Федерации создала систему обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ).

ГАРАНТ:

См. Правила по проведению сертификации в Российской Федерации, утвержденные постановлением Госстандарта РФ от 10 мая 2000 г. N 26


Обязательная сертификация в системе сертификации СЗИ-ГТ проводится на основании федеральных законов "О государственной тайне", "Об органах федеральной службы безопасности в Российской Федерации" и постановления Правительства Российской Федерации от 26.06.95 г. N 608 "О сертификации средств защиты информации".

1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами.

Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями) и органами по сертификации правил обязательной сертификации осуществляет ФСБ России в порядке, установленном законодательством Российской Федерации.

1.3. Целями создания системы сертификации являются:

- реализация требований статьи 28 Закона Российской Федерации "О государственной тайне";

- обеспечение национальной безопасности в сфере информатизации;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;

- содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

- регулирование и контроль разработки, а также последующего производства СЗИ-ГТ;

- содействие потребителям в компетентном выборе средств защиты информации;

- защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

- подтверждение показателей качества продукции, заявленных изготовителями.

1.4. Органы по сертификации системы сертификации СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ России на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ (приложение 1) и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.

По правилам системы сертификации СЗИ-ГТ по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.

1.5. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

Основными схемами сертификации (в соответствии с Порядком проведения сертификации продукции в Российской Федерации, утвержденным постановлением Госстандарта России от 21 сентября 1994 г. N 15) СЗИ-ГТ являются:

для серийного производства СЗИ-ГТ - схема 3 (приложение 2) проведение испытаний типа продукции на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну, и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации может проводиться предварительная проверка производства схема 3а (приложение 2);

для единичных образцов СЗИ-ГТ - схема 8 (приложение 2) проведение испытаний образца на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну.

По согласованию с органом по сертификации при добровольной и обязательной сертификации могут быть использованы и другие схемы сертификации, приведенные в приложении 2.

1.6. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации и при согласии разработчика (изготовителя, продавца) допускается проведение испытаний на испытательной базе разработчика данного СЗИ-ГТ в присутствии представителя органа по сертификации.

1.7. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ России и Межведомственной комиссией по защите государственной тайны.

1.8. Оплата работ по сертификации СЗИ-ГТ производится заявителем в порядке, установленном ФСБ России по согласованию с Министерством финансов Российской Федерации. Сумма средств, израсходованных заявителем на проведение сертификации средств защиты информации, относится на их себестоимость.

1.9. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности государственной тайны, другой информации, охраняемой законодательством Российской Федерации, за сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях СЗИ-ГТ.


II. Организационная структура системы сертификации СЗИ-ГТ


2.1. Организационную структуру системы сертификации образуют (приложение 3):

ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);

центральный орган системы сертификации (создается при необходимости);

органы по сертификации СЗИ-ГТ;

испытательные центры (лаборатории);

учебно-методический центр;

заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).

2.2. ФСБ России в пределах своей компетенции осуществляет следующие функции:

создает систему сертификации и устанавливает правила проведения сертификации СЗИ-ГТ;

представляет на государственную регистрацию в Госстандарт России систему сертификации СЗИ-ГТ и ее знаки соответствия;

организует функционирование системы сертификации;

определяет номенклатуру СЗИ-ГТ, подлежащих обязательной сертификации в данной системе;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

осуществляет процедуру признания нормативных и методических документов сторонних организаций;

организует и финансирует разработку нормативных и методических документов системы сертификации;

утверждает нормативные документы, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методические документы по проведению сертификационных испытаний;

устанавливает правила применения знаков соответствия обязательной и добровольной сертификации;

аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ по сертификации и аттестаты аккредитации;

организует подготовку, переподготовку и повышение квалификации экспертов по вопросам сертификации СЗИ-ГТ, а также аттестацию экспертов;

координирует деятельность органов по сертификации и испытательных центров (лабораторий) системы сертификации СЗИ-ГТ;

устанавливает правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний;

ведет государственный реестр сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия;

регистрирует сертификаты соответствия и лицензии на применение знака соответствия до их выдачи заявителю;

ведет учет нормативных документов, содержащих правила, требования и методические рекомендации по сертификации;

устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными СЗИ-ГТ;

рассматривает апелляции по вопросам сертификации;

обеспечивает участников сертификации информацией о деятельности системы сертификации и готовит необходимые материалы для опубликования;

организует публикацию информации о системе сертификации;

ежеквартально представляет информацию о работе системы сертификации в Межведомственную комиссию по защите государственной тайны;

осуществляет взаимодействие с федеральными органами по сертификации других систем сертификации.

2.3. Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации:

проводят идентификацию средств защиты информации;

определяют схему сертификации конкретных СЗИ-ГТ с учетом предложений заявителя;

проводят при необходимости предварительную проверку производства при серийном выпуске сертифицируемых СЗИ-ГТ;

разрабатывают предложения по номенклатуре СЗИ-ГТ, сертифицируемых в системе сертификации, и представляют их в ФСБ России;

участвуют в работах по совершенствованию нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний;

проводят анализ материалов сертификационных испытаний СЗИ-ГТ;

оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ России для регистрации в государственном реестре;

выдают сертификаты соответствия и лицензии на применение знака соответствия;

предоставляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;

проводят инспекционный контроль сертифицированных СЗИ-ГТ;

участвуют в случае необходимости в отборе образцов СЗИ-ГТ для проведения сертификационных испытаний;

хранят документацию, подтверждающую сертификацию СЗИ-ГТ;

приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия;

представляют заявителю необходимую информацию по сертификации;

обеспечивают конфиденциальность информации.

2.4. Испытательные центры (лаборатории) в пределах установленной области аккредитации:

разрабатывают, утверждают программы и методики проведения сертификационных испытаний (при необходимости);

осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;

осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;

обеспечивают полноту испытаний СЗИ-ГТ, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования;

обеспечивают сохранность образцов СЗИ-ГТ;

обеспечивают конфиденциальность информации.

2.5. Учебно-методический центр:

осуществляет подготовку, переподготовку и повышение квалификации кадров;

осуществляет подготовку и аттестацию экспертов;

участвует в разработке и совершенствовании нормативных и методических документов системы сертификации СЗИ-ГТ.

2.6. Заявители (разработчики, изготовители, продавцы):

применяют сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;

обеспечивают соответствие СЗИ-ГТ требованиям нормативных документов по безопасности информации, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;

указывают в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ и нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;

приостанавливают или прекращают реализацию СЗИ-ГТ по истечении срока действия сертификата соответствия, приостановке его действия или отмене, а также если СЗИ-ГТ не отвечает требованиям нормативных документов, на соответствие которым сертифицировано;

принимают меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;

при обнаружении несоответствия сертифицированных СЗИ-ГТ требованиям нормативных документов осуществляют мероприятия по доработке этих СЗИ-ГТ и проведению сертификационных испытаний;

обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих обязательную сертификацию СЗИ-ГТ и контроль за сертифицированными СЗИ-ГТ;

извещают орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.

Заявители (разработчики, изготовители) должны иметь лицензию на соответствующий вид деятельности.

2.7. Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСБ России. Правила аккредитации определяются соответствующим положением.

Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации. Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) организаций, подведомственных федеральным органам исполнительной власти, осуществляется по согласованию с этими органами власти.

2.8. Органы по сертификации и испытательные центры (лаборатории), действующие в других системах сертификации, могут быть аккредитованы в настоящей системе сертификации в установленном порядке.


III. Порядок проведения сертификации и инспекционного контроля


3.1. Порядок проведения сертификации включает следующие действия (приложение 4):

- подачу и рассмотрение заявки на сертификацию СЗИ-ГТ;

- испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства;

- экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата соответствия и лицензии на право применения знака соответствия;

- осуществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ;

- рассмотрение апелляций.

3.2. Подача и рассмотрение заявки на сертификацию СЗИ-ГТ.

3.2.1. Заявитель для получения сертификата соответствия направляет в орган по сертификации системы сертификации СЗИ-ГТ заявку (форма-приложение 5) на проведение сертификации продукции с указанием схемы проведения сертификации, государственных стандартов и иных нормативно-методических документов, на соответствие требованиям которых должна проводиться сертификация. Орган по сертификации в десятидневный срок направляет копию заявки на проведение сертификации продукции в ФСБ России.

3.2.2. Орган по сертификации СЗИ-ГТ в месячный срок после получения заявки направляет заявителю решение на проведение сертификации (форма - приложение 6). В решении указывается перечень испытательных центров (лабораторий), область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ. После получения решения заявителю необходимо представить в испытательный центр (лабораторию) или (в отдельных случаях) в орган по сертификации средство защиты информации согласно техническому заданию, техническому описанию, техническим условиям или программе и методикам испытаний на это средство, а также комплект технической и эксплуатационной документации согласно нормативным документам по Единой системе конструкторской документации (ЕСКД) и Единой системе программной документации (ЕСПД) на сертифицируемое средство защиты информации. Орган по сертификации в десятидневный срок направляет копию решения на проведение сертификации продукции в ФСБ России.

3.3. Испытания сертифицируемых СЗИ-ГТ в испытательных центрах (лабораториях).

3.3.1. Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция (состав) и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю (заказчику), по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Техническая и эксплуатационная документация на серийные СЗИ-ГТ должна иметь литеру не ниже "01" по ЕСКД. Количество образцов, порядок их отбора и идентификации должны соответствовать требованиям нормативных и методических документов на данный вид СЗИ-ГТ. В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

3.3.2. Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром (лабораторией).

3.3.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов СЗИ-ГТ в испытательном центре (лаборатории).

3.3.4. Результаты испытаний оформляются протоколами и техническим заключением, которые направляются испытательным центром (лабораторией) органу по сертификации и заявителю.

3.3.5. При внесении изменений в конструкцию (состав) СЗИ-ГТ или технологию их производства, которые могут повлиять на характеристики СЗИ-ГТ, держатель сертификата извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих СЗИ-ГТ.

3.3.6. Сертификация импортируемых средств защиты информации проводится по тем же правилам.

3.4. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия и лицензии на право применения знака соответствия.

3.4.1. Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение, которое утверждает его руководитель. При соответствии результатов испытаний требованиям нормативных документов орган по сертификации оформляет сертификат соответствия (формы - приложения 7 и 8) и лицензию на применение знака соответствия (форма - приложение 9), которые вместе с копией экспертного заключения направляет в ФСБ России для регистрации в государственном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.

ФСБ России регистрирует в государственном реестре системы сертификации СЗИ-ГТ сертификат соответствия и лицензию на применение знака соответствия. Орган по сертификации выдает заявителю сертификат соответствия и лицензию на применение знака соответствия.

При несоответствии результатов испытаний требованиям государственных стандартов или иных нормативных документов по защите информации орган по сертификации принимает решение об отказе в выдаче сертификата соответствия и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата соответствия заявитель имеет право обратиться в центральный орган системы сертификации, ФСБ России или Межведомственную комиссию по защите государственной тайны для дополнительного рассмотрения полученных при испытаниях результатов.

3.4.2. Получение изготовителем СЗИ-ГТ сертификата соответствия при обязательной сертификации дает ему право применения знака соответствия системы сертификации СЗИ-ГТ (формы знаков соответствия приведены в приложении 10). При добровольной сертификации разрешение на применение знака соответствия выдается заявителю органом по сертификации на условиях договора между ними. Правила применения знаков соответствия устанавливаются ФСБ России; конкретные условия применения знака соответствия могут быть уточнены в лицензии (разрешении) на применение знака соответствия. Обладатель лицензии (разрешения) на применение знака соответствия обеспечивает выполнение требований нормативной и методической документации, указанной в сертификате соответствия, в отношении маркированных СЗИ-ГТ.

3.4.3. Для признания зарубежного сертификата соответствия заявитель направляет в ФСБ России заявку на признание сертификата, копии сертификата соответствия и протоколов испытаний (на языке оригинала и русском языке). ФСБ России определяет необходимый объем работ по сертификации и орган по сертификации СЗИ-ГТ для их проведения. Орган по сертификации извещает заявителя в срок не позднее одного месяца после получения указанных документов о признании сертификата соответствия или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата соответствия орган по сертификации оформляет и выдает заявителю сертификат соответствия и лицензию на применение знака соответствия системы сертификации СЗИ-ГТ (в соответствии с пунктом 3.4.1).

3.4.4. Сертификаты соответствия на сертифицированную продукцию и лицензии на применение знака соответствия подписывает руководитель органа по сертификации или его заместитель.

3.5. Инспекционный контроль за сертифицированными СЗИ-ГТ.

3.5.1. Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию СЗИ-ГТ, при необходимости привлекая испытательный центр (лабораторию).

Правила инспекционного контроля за сертифицированными СЗИ-ГТ устанавливаются в нормативных и методических документах системы сертификации.

Периодичность и объемы испытаний сертифицированных СЗИ-ГТ в испытательных центрах (лабораториях) определяются органом по сертификации на основании нормативных и методических документов при проведении сертификации конкретных видов СЗИ-ГТ.

3.5.2. По результатам контроля орган по сертификации СЗИ-ГТ может приостановить или отменить действие сертификата соответствия.

Решение об отмене действия сертификата соответствия принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие СЗИ-ГТ установленным требованиям.

Основанием для принятия такого решения являются:

изменение нормативных и методических документов на СЗИ-ГТ или методов испытаний и контроля;

изменение (невыполнение) технологии изготовления, конструкции (состава), комплектности СЗИ-ГТ и системы контроля их качества.

3.5.3. Информация о приостановлении (отмене) действия сертификата соответствия немедленно доводится до сведения ФСБ России, заявителей, органов по сертификации и испытательных центров (лабораторий).

3.6. Информирование о сертификации СЗИ-ГТ.

ФСБ России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей:

перечень СЗИ-ГТ, на которые выданы сертификаты соответствия;

перечень СЗИ-ГТ, на которые действие сертификатов соответствия отменено;

перечень органов по сертификации СЗИ-ГТ;

перечень испытательных центров (лабораторий);

перечень нормативных документов, на соответствие требованиям которых проводится сертификация СЗИ-ГТ, и методических документов по проведению сертификационных испытаний.

3.7. Рассмотрение апелляций.

При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в центральный орган системы сертификации, ФСБ России или Межведомственную комиссию по защите государственной тайны. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции. В исключительных случаях срок рассмотрения апелляции может быть продлен до двух месяцев.

В случае несогласия с принятыми решениями заинтересованная сторона может обратиться в арбитражный суд.


IV. Требования к нормативным и методическим документам по сертификации СЗИ-ГТ


4.1. В нормативных документах, на соответствие которым проводится сертификация, должны быть установлены характеристики (показатели) продукции и методы испытаний, позволяющие обеспечить полное и достоверное подтверждение соответствия продукции этим требованиям и ее идентификацию.

Предпочтительно, чтобы все требования (показатели, характеристики) и методы испытаний для конкретного вида продукции содержались в одном нормативном документе.

4.2. Положения нормативных документов должны быть сформулированы четко, обеспечивая их точное и единообразное толкование. Размерность и количественные значения характеристик должны быть заданы таким образом, чтобы имелась возможность для их воспроизводимого определения с заданной или известной точностью при испытаниях.

Содержание и изложение этих сведений должно позволить различным лабораториям получать сопоставимые результаты. Должна быть указана последовательность проведения испытаний, если эта последовательность влияет на результаты испытаний.

4.3. Требования нормативных документов к маркировке должны обеспечить идентификацию продукции, а также содержать указания об условиях применения, месте и способе нанесения знака соответствия. Маркировка продукции должна осуществляться на русском языке.

4.4. При сертификации продукции следует применять официальные издания нормативных документов.

4.5. Официальным языком системы является русский. Все нормативные и методические документы системы сертификации оформляются на русском языке.


Приложение 1

к Положению (п.1.4),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Виды средств защиты информации,
подлежащих сертификации в системе сертификации СЗИ-ГТ


1. Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн.

1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.

1.3. Средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств регистрации, хранения, обработки и документирования информации.

1.4. Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях:

за счет ПЭМИН при работе технических средств регистрации, хранения, обработки и документирования информации;

вследствие эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами.

1.5. Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.

1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.

1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.

1.8 Технические средства обнаружения и выявления специальных технических средств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), инженерно-технических коммуникациях, интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории.

2. Технические средства и системы в защищенном исполнении, в том числе:

2.1. Средства скремблирования, маскирования или шифрования телематической информации, передаваемой по каналам связи.

2.2. Аппаратура передачи видеоинформации по оптическому каналу.

3. Технические средства защиты специальных оперативно-технических мероприятий (специальных технических средств, предназначенных для негласного получения информации).

4. Технические средства защиты информации от несанкционированного доступа (НСД):

4.1. Средства защиты, в том числе:

замки (механические, электромеханические, электронные);

пломбы;

замки разового пользования;

защитные липкие ленты;

защитные и голографические этикетки;

специальные защитные упаковки;

электрические датчики разных типов;

телевизионные системы охраны и контроля;

лазерные системы;

оптические и инфракрасные системы;

устройства идентификации;

пластиковые идентификационные карточки;

ограждения;

средства обнаружения нарушителя или нарушающего воздействия;

специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т.п.)

4.2. Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе:

средства защиты документов от ксерокопирования;

средства защиты документов от подделки (подмены) с помощью химических идентификационных препаратов;

средства защиты информации с помощью тайнописи.

4.3. Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации (бумага, фотопленка, аудио- и видеокассеты, лазерные диски).

5. Программные средства защиты информации от НСД и программных закладок:

5.1. Программы, обеспечивающие разграничение доступа к информации.

5.2. Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), в том числе программы повышения достоверности идентификации (аутентификации).

5.3. Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД.

5.4. Программы защиты различного вспомогательного назначения, в том числе антивирусные программы.

5.5. Программы защиты операционных систем ПЭВМ (модульная программная интерпретация и т.п.).

5.6. Программы контроля целостности общесистемного и прикладного программного обеспечения.

5.7. Программы, сигнализирующие о нарушении использования ресурсов.

5.8. Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования.

5.9. Программы контроля и восстановления файловой структуры данных.

5.10. Программы имитации работы системы или ее блокировки при обнаружении фактов НСД.

5.11. Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении.

6. Защищенные программные средства обработки информации:

6.1. Пакеты прикладных программ автоматизированных рабочих мест (АРМ).

6.2. Базы данных вычислительных сетей.

6.3. Программные средства автоматизированных систем управления (АСУ).

6.4. Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права.

7. Программно-технические средства защиты информации:

7.1 Программно-технические средства защиты информации от несанкционированного копирования, в том числе:

средства защиты носителей данных;

средства предотвращения копирования программного обеспечения, установленного на ПЭВМ.

7.2. Программно-технические средства криптографической и стенографической защиты информации (включая средства маскирования информации) при ее хранении на носителях данных и при передаче по каналам связи.

7.3. Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа, в том числе:

принудительное завершение работы программы;

блокировка компьютера.

7.4. Программно-технические средства стирания данных, в том числе:

стирание остаточной информации, возникающей в процессе обработки секретных данных в оперативной памяти и на магнитных носителях;

надежное стирание устаревшей информации с магнитных носителей.

7.5. Программно-технические средства выдачи сигнала тревоги при попытке несанкционированного доступа к информации, в том числе:

средства регистрации некорректных обращений пользователей к защищаемой информации;

средства организации контроля за действиями пользователей ПЭВМ.

7.6. Программно-технические средства обнаружения и локализации действия программных и программно-технических закладок.

8. Специальные средства защиты от идентификации личности:

8.1. Средства защиты от фонографической экспертизы речевых сигналов.

8.2. Средства защиты от дактилоскопической экспертизы.

9. Программно-аппаратные средства защиты от несанкционированного доступа к системам оперативно-розыскных мероприятий (СОРМ) на линиях связи:

9.1. В проводных системах связи.

9.2. В сотовых системах связи.


Приложение 2

к Положению (п.1.5),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Схемы сертификации


Номер
схемы
Испытания в аккре-
дитованных лабора-
ториях
Проверка произ-
водства (системы
качества)
Инспекторский контроль
за сертифицированной
продукцией (производством)
1 Испытания типа - -
1a Испытания типа Анализ состояния
производства
-
2 Испытания типа - Испытания образцов, взятых
у продавца
2a Испытания типа Анализ состояния
производства
Испытания образцов, взятых
у продавца
Анализ состояния производс-
тва
3 Испытания типа - Испытания образцов, взятых
у изготовителя
Испытания типа Анализ состояния
производства
Испытания образцов, взятых
у изготовителя
Анализ состояния производс-
тва
4 Испытания типа - Испытания образцов, взятых
у продавца
Испытания образцов, взятых
у изготовителя
4a Испытания типа Анализ состояния
производства
Испытания образцов, взятых
у продавца
Испытания образцов, взятых
у изготовителя
Анализ состояния производс-
тва
7 Испытания партии - -
8 Испытания каждого
образца
- -

Приложение 3

к Положению (п.2.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Структура системы сертификации СЗИ-ГТ


                  /-----------------------------------\
                  |  Федеральная служба безопасности  |
                  |       Российской Федерации        |
                  \-----------------------------------/
                                      |
/----------------------------------\  |   /-----------------------------\
|        Учебно-методический       |  |   |         Аккредитованные     |
|               центр              |--|   |    органы по сертификации   |
\----------------------------------/  |---|            СЗИ-ГТ           |
/----------------------------------\  |   \-----------------------------/
|             Заявитель            |  |   /-----------------------------\
|   (разработчик, производитель,   |--|   |        Аккредитованные      |
|             продавец)            |  \---|         испытательные       |
\----------------------------------/      |          лаборатории        |
                                          \-----------------------------/

Приложение 4

к Положению (п.3.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Порядок
сертификации средств защиты информации в системе сертификации СЗИ-ГТ


      /----------------------------------------------------------\
      |              Федеральная служба безопасности             |
      |                   Российской Федерации                   |
      |         (Федеральный орган исполнительной власти,        |
      |      уполномоченный проводить работу по обязательной     |
      |          сертификации средств защиты информации)         |
      \----------------------------------------------------------/
       ^ |                         ^ |                        |
       | |                         | v                        |
       | |     /-----------------------------------------\    |
       | |     | /------------\           /------------\ |    |
       | |     | |  Орган по  |           |  Орган по  | |    |
       | | /-->| |сертификации|    ...    |сертификации| |<---|
       | | |   | |   СЗИ-ГТ   |           |   СЗИ-ГТ   | |    |
       | | |   | \------------/           \------------/ |    |
       | v |   \-----------------------------------------/    v
/---------------v\           ^              ^           /---------------\
|/--------------\|           |              |           |/-------------\|
||  Заявитель   ||           |              |           ||Испытательная||
|| (разработчик,||--------------------------+---------->|| лаборатория ||
||производитель,||                          |           |\-------------/|
||  продавец)   ||                          |           |               |
|\--------------/|                          |           |               |
|      ...       |                          |           |      ...      |
|/--------------\|                          |           |               |
||  Заявитель   ||                          |           |               |
|| (разработчик,||                          |           |/-------------\|
||производитель,||                          |           ||Испытательная||
||  продавец)   ||<-------------------------------------|| лаборатория ||
|\--------------/|                                      |\-------------/|
\----------------/                                      \---------------/

Приложение 5

к Положению (п.3.2.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Форма заявки на проведение сертификации средства
защиты информации в системе сертификации СЗИ-ГТ


 Кому ___________________________________________________________________
                 (наименование органа по сертификации, адрес)

Заявка
на проведение сертификации средства защиты информации
в системе сертификации СЗИ-ГТ


 1. _____________________________________________________________________
    (наименование  заявителя, адрес и регистрационный номер  лицензии  на
    производство подлежащей сертификации продукции)
 ________________________________________________________________________
 просит провести сертификацию следующей продукции: ______________________
 ________________________________________________________________________
                         (наименование продукции, код)
 на соответствие:
 ________________________________________________________________________
            (наименование нормативных и методических документов)
 2. Заявитель  предлагает  провести сертификационные испытания  продукции
 по схеме
 ________________________________________________________________________
                       (указывается схема сертификации)
 в ______________________________________________________________________
                 (наименование испытательного центра (лаборатории)
 3. Заявитель обязуется: выполнять все условия сертификации; обеспечивать
 стабильность сертификационных характеристик средств защиты информации по
 требованиям  безопасности  для  сведений,  составляющих  государственную
 тайну,  маркированных  знаком  соответствия;  оплатить  все  расходы  по
 проведению сертификации.
 4. Предварительную проверку производства предлагаем провести в период
 ________________________________________________________________________

 место
 печати     ______________________                      _________________
               (дата, подпись)                          (Фамилия, И.,О.)

Приложение 6

к Положению (п.3.2.2),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Форма решения по заявке на проведение сертификации


Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, Федеральной службы безопасности Российской Федерации


Решение


       от _____________ ____г. по заявке на проведение сертификации
 Рассмотрев заявку ______________________________________________________
                                    (наименование заявителя)
 на сертификацию ________________________________________________________
                                    (наименование продукции)
 сообщаем:
 1. Сертификация будет проведена ________________________________________
 ________________________________________________________________________
                   (наименование органа по сертификации, адрес)
 2. Испытания сертифицируемой продукции следует провести в ______________
 ________________________________________________________________________
 ________________________________________________________________________
         (наименование испытательного центра (лаборатории), адрес)
 3. Сертификация будет проведена на соответствие требованиям ____________
 ________________________________________________________________________
 ________________________________________________________________________
            (наименование нормативных и методических документов)
 4. Инспекционный контроль будет осуществлять ___________________________
 ________________________________________________________________________
                    (наименование организации, адрес)
 путем испытаний образцов, взятых в торговле и  (или)  у  изготовителя  с
 периодичностью _________________________________________________________

 место
 печати     ______________________                      _________________
               (дата, подпись)                          (Фамилия, И.,О.)

Приложение 7

к Положению (п.3.4.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Форма сертификата соответствия обязательной сертификации


Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, Федеральной службы безопасности Российской Федерации


Сертификат соответствия
N

Выдан ________________ _____г.

Действителен до ________________ _____г.

Настоящий сертификат удостоверяет, что:
 1.______________________________________________________________________
                     (наименование вида продукции, код, N ТУ)
 соответствует требованиям ______________________________________________
 ________________________________________________________________________
 (перечисление  конкретных  стандартов  или  нормативных  документов,  на
 соответствие которым проведены сертификационные испытания)
 2. Сертификат соответствия выдан на основании экспертного заключения
 ________________________________________________________________________
                      (наименование органа по сертификации)
 и результатов испытаний указанной продукции ____________________________
 ________________________________________________________________________
 (наименование испытательного центра (лаборатории), реквизиты  протоколов
 испытаний)
 3. Заявитель ___________________________________________________________
 ________________________________________________________________________
                (наименование организации-заявителя, адрес)
 4. Изготовитель ________________________________________________________
                     (наименование организации-производителя, адрес)
Руководитель органа по сертификации

место
печати      ______________________                      _________________
               (подпись)                                (Фамилия, И., О.)
_________________________________________________________________________
Сертификат имеет юридическую силу на всей территории Российской Федерации
_________________________________________________________________________
 Настоящий сертификат внесен в Государственный  реестр  сертифицированных
 СЗИ-ГТ__________________г.

Приложение 8

к Положению (п.3.4.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Форма сертификата соответствия добровольной сертификации


Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, Федеральной службы безопасности Российской Федерации


Сертификат соответствия
N


Выдан ________________ _____г.
Действителен до ________________ _____г.

Настоящий сертификат удостоверяет, что:
 1. _____________________________________________________________________
                  (наименование вида продукции, код, N ТУ)
 соответствует требованиям ______________________________________________
 ________________________________________________________________________
 (перечисление  конкретных  стандартов  или  нормативных  документов,  на
 соответствие которым проведены сертификационные испытания)
 2. Сертификат соответствия выдан на основании экспертного заключения
 ________________________________________________________________________
                (наименование органа по сертификации)
 и результатов испытаний указанной продукции ____________________________
 ________________________________________________________________________
 (наименование испытательного центра (лаборатории), реквизиты  протоколов
 испытаний)
3. Заявитель ____________________________________________________________
 ________________________________________________________________________
                 (наименование организации-заявителя, адрес)
 4. Изготовитель ________________________________________________________
 ________________________________________________________________________
 (наименование организации-производителя, адрес)
Руководитель органа по сертификации

место
печати      ______________________                      _________________
               (подпись)                                (Фамилия, И., О.)
_________________________________________________________________________
Сертификат не применяется при обязательной сертификации
 ________________________________________________________________________
 Настоящий сертификат внесен в Государственный  реестр  сертифицированных
 СЗИ-ГТ__________________г.

Приложение 9

к Положению (п.3.4.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Форма лицензии на применение знака соответствия


Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, Федеральной службы безопасности Российской Федерации


Лицензия
на применение знака соответствия системы сертификации СЗИ-ГТ
N


Выдана ________________ _____г.
Действительна до ________________ _____г.

 Настоящая лицензия выдана ______________________________________________
 ________________________________________________________________________
             (наименование организации-изготовителя, адрес)
 на применение знака соответствия для маркирования ______________________
 ________________________________________________________________________
                       (наименование вида продукции)
 Условия применения знака соответствия __________________________________
 ________________________________________________________________________

 место
печати      _______   ____________                      _________________
             дата       подпись                          Фамилия, И., О.

Приложение 10

к Положению (п.3.4.2),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


Формы знаков соответствия системы сертификации СЗИ-ГТ


ФОРМА ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 564)
ФОРМА ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 564)

Приложение 2

к приказу ФСБ РФ

от 13 ноября 1999 г. N 564


Положение
о знаках соответствия системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну


Форма, размеры, технические требования и правила применения


1. Настоящий документ устанавливает форму (формы - приложения 1 и 2), размеры (приложения 3 и 4), технические требования и правила применения знаков соответствия обязательной и добровольной сертификации продукции (далее - знаки соответствия) в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну.

Все требования настоящего документа являются обязательными.

2. Размеры знаков соответствия определяет организация, получившая право на их применение, установлением базового размера Н (приложения 3, 4). Базовый размер Н должен быть не менее 4 мм.

Размеры знаков соответствия должны гарантировать четкость и различимость его элементов невооруженным глазом.

Код органа сертификации, выдавшего сертификат соответствия, наносят на расстоянии 0,2 Н под графическим изображением знаков соответствия симметрично относительно вертикальной оси В знаков шрифтом, представленным в образце-приложении 5, высотой 0,2 Н.

3. Изображение знаков соответствия должно быть четко отличимым от поверхности изделия.

4. Знаки соответствия выполняют различными технологическими способами, обеспечивающими их четкое и ясное изображение в течение всего срока службы изделия.

5. В качестве правил применения знаков соответствия при обязательной сертификации используются Правила применения знака соответствия при обязательной сертификации продукции, утвержденные постановлением Госстандарта России от 25.07.96 г. N 14, зарегистрированным в Минюсте России 01.08.96 г., регистрационный N 1138.

При добровольной сертификации право применения знака соответствия предоставляется заявителю органом по сертификации на условиях договора между ними.


Приложение 1

к Положению (п.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


ФОРМА ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 564)

Приложение 2

к Положению (п.1),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


ФОРМА ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 564)

Приложение 3

к Положению (п.1 и 2),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


РАЗМЕРЫ ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 56)

Приложение 4

к Положению (п.1 и 2),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


РАЗМЕРЫ ЗНАКА (ПРИЛ. К ПОЛОЖ., УТВ. ПРИКАЗОМ ФСБ РФ ОТ 13.11.1999 N 56)

Приложение 5

к Положению (п.2),

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564


ШРИФТ HELVCONDENCED (ПРИЛ. К ПРИКАЗУ ФСБ РФ ОТ 13.11.1999 N 564)


Приказ ФСБ РФ от 13 ноября 1999 г. N 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"


Зарегистрировано в Минюсте РФ 27 декабря 1999 г.

Регистрационный N 2028


Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования


Текст приказа опубликован в Бюллетене нормативных актов федеральных органов исполнительной власти от 17 января 2000 г., N 3, в "Российской газете" от 23 мая 2000 г., N 98, в приложении к "Российской газете" N 22, 2000 г.


Актуальный текст документа