Система сертификации средств криптографической защиты информации (скзи)

Система сертификации средств криптографической защиты информации (СКЗИ)

POCC RU.0001.030001
от 15.11.93

1. Общие положения

1.1. Настоящая Система устанавливает правила сертификации по требованиям безопасности информации:

шифровальных средств*);

________________________
*) К шифровальным средствам относятся:

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
аппаратные, программные и аппаратно-программные средства, системы комплексы изготовления ключевых документов для шифровальных средств независимо от вида носителя ключевой информации.

информационно-телекоммуникационных систем и баз данных государственных органов, Центрального банка Российской Федерации, Внешэкономбанка и их учреждений, иных государственных учреждений Российской Федерации.
Примечание: перечисленные выше средства, системы и комплексы именуются далее - продукция.
систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации;
закрытых систем и комплексов телекоммуникаций**) органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.

________________________
**) К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.

1.2. Система сертификации продукции по требованиям безопасности информации действует под управлением Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) и является составной частью системы сертификации продукции в Российской Федерации.

1.3. Под сертификацией продукции по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата соответствия подтверждается, что эта продукция соответствует:

требованиям государственных стандартов или иных нормативных документов, утвержденных Советом Министров - Правительством Российской Федерации (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, содержащей сведения, составляющие государственную тайну);
требованиям государственных или отраслевых стандартов, иных нормативных документов, утвержденных Советом Министров - Правительством Российской Федерации или ФАПСИ (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, не содержащей сведения, составляющие государственную тайну).

1.4. При проведении сертификации продукции подтверждается соответствие ее требованиям безопасности информации.

Требования безопасности информации, предъявляемые к продукции, выдаются ФАПСИ только предприятиям, имеющим лицензию на соответствующий вид деятельности в области защиты информации.

1.5. Система сертификации продукции базируется на действующих в стране:

системе стандартизации и фонде нормативной документации по безопасности информации;
системе аккредитации испытательных лабораторий (центров).

1.6. Основными схемами сертификации продукции по требованиям безопасности информации являются:

для единичных образцов продукции - проведение испытаний этих образцов по требованиям безопасности информации;
для серийного производства продукции - проведение типовых испытаний образцов этой продукции по требованиям безопасности информации и последующий контроль за стабильностью характеристик (параметров) сертифицированных образцов продукции, определяющих выполнение требований безопасности информации.

По согласованию с органом по сертификации могут быть использованы и другие схемы сертификации.

1.7. Сертификационные испытания образцов продукции проводятся в испытательных лабораториях (центрах), аккредитованных ФАПСИ.

В отдельных случаях по согласованию с органом по сертификации допускается проведение сертификационных испытаний на объекте разработчика (изготовителя) продукции. При этом орган по сертификации определяет условия, необходимые для обеспечения объективности результатов сертификационных испытаний.

1.8. Оплата работ по сертификации производится в соответствии с Законом Российской Федерации "О сертификации продукции и услуг".

1.9. Органы по сертификации и испытательные лаборатории (центры) несут ответственность за выполнение возложенных на них функций, а также за соблюдение авторских прав заявителя при испытаниях его продукции.

2. Система сертификации продукции
по требованиям безопасности информации

2.1 Система сертификации продукции, перечисленной в п. 1.1 включает в себя:

центральный орган системы сертификации;
органы по сертификации продукции по требованиям безопасности информации;
аккредитованные испытательные лаборатории (центры);
заявители (разработчики, изготовители, поставщики продукции).

2.2. Центральным органом системы сертификации является ФАПСИ.

ФАПСИ осуществляет следующие функции:

организует деятельность органов по сертификации продукции;
совместно с Госстандартом России организует разработку государственных и отраслевых стандартов на криптографические алгоритмы защиты информации, на требования безопасности информации, а также на методы проверки продукции по требованиям безопасности информации;
утверждает документы, устанавливающие порядок сертификации конкретных видов продукции по требованиям безопасности информации;
утверждает нормативные документы на сертифицируемую продукцию;
осуществляет аккредитацию испытательных лабораторий (центров);
проводит экспертизу результатов сертификационных испытаний продукции и выдает сертификаты соответствия;
осуществляет государственный контроль и надзор за соблюдением производителями, испытательными лабораториями (центрами), органами по сертификации правил сертификации, а также за стабильностью характеристик сертифицированной продукции;
проводит при необходимости контрольные сертификационные испытания сертифицированной продукции;
осуществляет регистрацию и аннулирует сертификаты соответствия;
осуществляет периодическую публикацию материалов по вопросам сертификации продукции;
рассматривает спорные вопросы, возникающие в процессе сертификации.

2.3. Орган по сертификации продукции по требованиям безопасности информации осуществляет следующие функции:

участвует в аккредитации испытательных лабораторий (центров);
осуществляет контроль за деятельностью испытательных лабораторий (центров);
участвует в контроле и надзоре за стабильностью характеристик сертифицированной продукции;
определяет схему проведения сертификации с учетом назначения продукции и предложений заявителя;
рекомендует заявителю испытательную лабораторию (центр) для проведения испытаний;
предоставляет заявителю по его требованию необходимую информацию по вопросам сертификации в пределах своей компетенции.

2.4. Аккредитованная испытательная лаборатория (центр) проводит испытания образцов сертифицируемой продукции и несет ответственность за полноту испытаний продукции и достоверность результатов.

Аккредитация (выдача лицензии на осуществление деятельности в области проведения сертификационных испытаний) испытательных лабораторий (центров) осуществляется ФАПСИ в соответствии с отдельным Положением

2.5. Заявители:

заключают договоры на проведение работ по сертификации родукции с органами по сертификации продукции и испытательными абораториями (центрами);
осуществляют подготовку производства и принимают меры по беспечению стабильности характеристик продукции, влияющих на выполнение требований безопасности информации;
незамедлительно извещают центральный орган системы сертификации, выдавший сертификат соответствия, о всех изменениях в технологии, конструкции (составе) продукции, которые могут оказать влияние на характеристики сертифицированной продукции и на их стабильность;
осуществляют доработку сертифицированной продукции при обнаружении несоответствий ее требованиям нормативных документов.

3. Порядок подготовки и проведения сертификации

3.1. Порядок подготовки и проведения сертификации включает:

подачу и рассмотрение заявки на сертификацию;
испытания сертифицируемой продукции;
оформление, регистрацию и выдачу сертификата соответствия;
информирование о результатах сертификации;
рассмотрение апелляций.

3.2. Подача и рассмотрение заявки на сертификацию.

3.2.1. Заявитель для получения сертификата соответствия направляет в орган по сертификации продукции заявку на проведение сертификации с указанием схемы проведения сертификации и наименований стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

Заявка оформляется по форме, приведенной в Приложении 1.

3.2.2. Орган по сертификации в месячный срок после получения заявки направляет заявителю решение по форме, приведенной в Приложении 2

3.2.3. Заявки на проведение сертификации принимаются только от заявителей, имеющих лицензии на производство (разработку) подлежащей сертификации продукции.

3.2.4. Заявки на проведение сертификации шифровальных средств принимаются при условии, что в указанных средствах реализованы криптографические алгоритмы, объявленные государственными или отраслевыми стандартами Российской Федерации, иными нормативными документами, утвержденными Советом Министров - Правительством Российской Федерации или ФАПСИ.

3.3. Испытания сертифицируемой продукции в аккредитованных испытательных лабораториях (центрах).

3.3.1.Испытания сертифицируемой продукции проводятся на изделиях, конструкция, состав и технология изготовления которых должны быть такими же, как и у изделий, поставляемых потребителю (заказчику).

Количество изделий, порядок их отбора и идентификации устанавливается нормативными документами по сертификации конкретного вида продукции.

В случае отсутствия на момент сертификации аккредитованных лабораторий (центров) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

3.3.2. При сертификации информационно-телекоммуникационных систем или систем (закрытых систем) телекоммуникаций, как целостных объектов защищенной информации, допускается проведение сертификационных испытаний их составных частей в отдельности.

3.3.3. Сроки проведения испытаний устанавливаются договором между заявителем и испытательной лабораторией (центром).

3.3.4. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов продукции в испытательной лаборатории (центре).

3.3.5. Результаты испытаний оформляются протоколом, который направляется испытательной лабораторией (центром) органу по сертификации продукции.

3.3.6. Орган по сертификации продукции оценивает результаты испытаний и готовит предложения для ФАПСИ о возможности (невозможности) выдачи сертификата соответствия на продукцию.

При несоответствии результатов испытаний требованиям нормативных документов орган по сертификации продукции готовит предложения для ФАПСИ об отказе в выдаче сертификата соответствия.

В случае несогласия с отказом в выдаче сертификата соответствия заявитель имеет право обратиться в ФАПСИ для дополнительного рассмотрения полученных при испытаниях результатов.

3.4. Оформление, регистрация и выдача сертификата соответствия.

3.4.1. Сертификат соответствия на продукцию, отвечающую требованиям безопасности информации, выдается ФАПСИ (форма приведена в Приложении 3).

ФАПСИ производится присвоение сертификату соответствия регистрационного номера.

3.4.2. Срок действия сертификата соответствия устанавливается не более чем три года.

При внесении изменений в конструкцию (состав) продукции или технологию ее производства, которые могут повлиять на характеристики, определяющие безопасность информации, заявитель извещает об этом ФАПСИ и орган по сертификации продукции. При этом ФАПСИ принимет решение о необходимости проведения новых сертификационных испытаний продукции.

3.5. Информирование о результатах сертификации.

3.5.1. ФАПСИ проводит учет сертифицированной продукции и создает фонды:
- сертификатов соответствия (копий);
- организационно-методических документов по сертификации продукции.
3.5.2. ФАПСИ организует периодическую публикацию материалов о работах по сертификации продукции, включающих:
- перечень продукции, на которые выданы сертификаты соответствия;
- перечень органов по сертификации продукции;
- перечень аккредитованных испытательных лабораторий (центров).

3.6. Рассмотрение апелляций.

В случае несогласия с результатами сертификации заявители могут подать в ФАПСИ апелляцию.

ФАПСИ в месячный срок рассматривает апелляцию с привлечением заинтересованных сторон и извещает заявителя о принятом решении.

4. Контроль и надзор за проведением сертификации
и стабильностью характеристик сертифицированной продукции.

4.1. По результатам контроля и надзора ФАПСИ может приостановить или аннулировать действие сертификата соответствия.

4.2 Решение о приостановлении действия сертификата соответствия принимается, если в результате принятых незамедлительных мер не может быть восстановлено соответствие продукции установленным требованиям, а также в случаях:

изменения нормативных документов на продукцию или методов испытаний и контроля;
изменения конструкции (состава), комплектности продукции, системы контроля качества продукции;
невыполнения требований технологии, контроля, испытаний;
отказа производителя продукции в предоставлении органам, осуществляющим контроль и надзор, технической документации на производство и использование сертифицированной продукции или образцов продукции для проведения контрольных сертификационных испытаний.

4.3. Решение об аннулировании сертификата соответствия принимается в случае, если не представляется возможным восстановить соответствие продукции или состояния производства установленным требованиям.

4.4. Информация о приостановлении действия или аннулировании сертификата соответствия немедленно доводится до сведения предприятия-изготовителя, испытательной лаборатории (центра).

Приложение 1

Кому:___________________________

наименование органа по сертификации

и его адрес

ЗАЯВКА

на проведение сертификации

1. ___________________________________________

(наименование заявителя, его адрес и регистрационный номер

лицензии на производство подлежащей сертификации продукции)

просит провести сертификацию

____________________________________________

(наименование продукции)

по требованиям безопасности информации на соответствие:

____________________________________________

(наименование нормативных документов)

2. Заявитель предлагает провести сертификационные испытания

продукции по схеме ______________________________

(указывается схема сертификации)

в ___________________________________________

(наименование испытательной лаборатории)

3. Заявитель согласен оплатить расходы по всем видам работ и услуг по сертификации указанной в данной заявке продукции.

Наш расчетный счет_______________________________

(банковские реквизиты заявителя)

ПЕЧАТЬ ЗАЯВИТЕЛЯ

Руководитель предприятия заявителя

______________ ________________

(подпись, дата) (фамилия, и.о.)

Главный бухгалтер предприятия

заявителя

_______________ ________________

(подпись, дата) (фамилия, и.о.)

Приложение 2

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

____________________________________________

(наименование и адрес органа по сертификации)

____________________________________________

РЕШЕНИЕ

от "___" _________ 199__ г. N ____

по заявке на проведение сертификации

Рассмотрев заявку _______________________________

(наименование заявителя)

на сертификацию ________________________________

(наименование продукции)

сообщаем, что сертификационные испытания следует провести в

____________________________________________

(наименование испытательной лаборатории)

ПЕЧАТЬ Руководитель органа по сертификации

_________________ ______________________

(подпись, дата) (фамилия, и.о.)

Приложение 3

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

г. Москва

СЕРТИФИКАТ СООТВЕТСТВИЯ

N ___ от " ___ " _____________ 199__ г.

Действителен до " ___ " ___________ 199__ г.

Выдан ____________________________________________

(наименование предприятия - заявителя)

Настоящий сертификат удостоверяет, что________________

___________________________________________________

(наименование продукции)

соответствует требованиям безопасности информации, установленным_____________________________________

(наименование стандартов и других нормативных документов)

Сертификат выдан на основании результатов проведенных______________________________________

(наименование испытательной лаборатории)

сертификационных испытаний образцов продукции (зав.NN__________ ). ______________________________

(наименование продукции)

обеспечивает безопасность ______________ информации при

(гриф секретности информации)

выполнении____________________________________

(наименование нормативных документов по эксплуатации)

ПЕЧАТЬ ФАПСИ

Генеральный директор Агентства ____________________

(подпись, и.о. фамилия)