АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
ДЕРЖАВНИЙ КОМІТЕТ УКРАЇНИ З ПИТАНЬ
ТЕХНІЧНОГО РЕГУЛЮВАННЯ ТА СПОЖИВЧОЇ ПОЛІТИКИ
НАКАЗ
25.04.2007 N 75/91
Зареєстровано
в Міністерстві юстиції України
14 травня 2007 р. за N 498/13765
(Наказ втратив чинність на підставі Наказу
Адміністрація Державної служби спеціального
зв'язку та захисту інформації України,
Міністерства економічного розвитку і торгівлі України
N 648/1727 від 29.11.2017)
Про затвердження Правил проведення
робіт із сертифікації засобів захисту інформації
( Із змінами, внесеними згідно з Наказом
Адміністрації Державної служби спеціального
зв'язку та захисту інформації
N 54/104 від 04.02.2014 )
Відповідно до пункту 18 частини першої статті 16 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ) наказуємо:
1. Затвердити Правила проведення робіт із сертифікації засобів захисту інформації, що додаються.
2. Визнати таким, що втратив чинність, наказ Держстандарту України та Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 9 липня 2001 року N 329/32 "Про затвердження Порядку проведення робіт з сертифікації засобів забезпечення технічного захисту інформації загального призначення", зареєстрований в Міністерстві юстиції України 26 липня 2001 року за N 640/5831.
3. Департаменту регулювання діяльності у сфері технічного захисту інформації Адміністрації Держспецзв'язку забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України та заступника Голови Державного комітету України з питань технічного регулювання та споживчої політики відповідно до розподілу функціональних обов'язків.
Голова Державної служби спеціального зв'язку та
захисту інформації України Ю.Б.Чеботаренко
Т.в.о. Голови Державного комітету України з
питань технічного регулювання та
споживчої політики І.Б.Саєвич
Затверджено
Наказ Адміністрації
Держспецзв'язку,
Держспоживстандарту
України
25.04.2007 N 75/91
Зареєстровано
в Міністерстві юстиції України
14 травня 2007 р. за N 498/13765
Правила
проведення робіт із сертифікації
засобів захисту інформації
( У тексті Правил і додатках до них слово "УкрСЕПРО"
виключено на підставі Наказу Адміністрації Державної служби
спеціального зв'язку та захисту інформації
N 54/104 від 04.02.2014 )
1. Загальні положення
1.1. Ці Правила розроблено відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), Декрету Кабінету Міністрів України від 10.05.93 N 46-93 "Про стандартизацію і сертифікацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229, Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, та Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717. ( Пункт 1.1 розділу 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 54/104 від 04.02.2014 )
1.2. Цей документ установлює правила проведення робіт із сертифікації засобів захисту інформації в державній системі сертифікації. ( Пункт 1.2 розділу 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 54/104 від 04.02.2014 )
1.3. Правила призначені для:
органів із сертифікації (далі - ОС) та випробувальних лабораторій (далі - ВЛ);
органів державної влади, органів місцевого самоврядування, утворених відповідно до законів України військових формувань, підприємств, установ і організацій незалежно від форм власності, що здійснюють діяльність, пов'язану з інформацією, яка є власністю держави, або інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом, і використовують засоби захисту інформації;
підприємств, установ і організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби захисту інформації.
2. Терміни та визначення
Випробувальна лабораторія - лабораторія, яка проводить технічні операції, що полягають у визначенні однієї чи декількох характеристик даної продукції згідно з установленою процедурою.
Виробник - юридична або фізична особа - суб'єкт підприємницької діяльності, відповідальний за проектування, виготовлення, пакування та маркування продукції незалежно від того, виконуються зазначені операції цією особою чи від її імені.
Заявник - особа або орган, яка звернулася для одержання відповідного свідоцтва від органу сертифікації.
Засоби захисту інформації - засоби криптографічного захисту, криптографічні системи, засоби технічного захисту інформації загального призначення.
Криптографічний захист інформації - вид захисту, що реалізовується за допомогою перетворень інформації з використанням спеціальних (ключових) даних з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.
Засіб криптографічного захисту інформації - програмний, апаратно-програмний та апаратний засоби, призначені для криптографічного захисту інформації.
Криптографічна система - сукупність засобів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання якої забезпечує належний рівень захищеності інформації, що обробляється, зберігається та/або передається.
Засоби технічного захисту інформації - технічні засоби, основне функціональне призначення яких - захист інформації від загроз витоку, порушення цілісності та блокування; технічні засоби, у яких додатково до основного призначення передбачено функції захисту інформації; засоби, що призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв, які створюють загрозу для інформації, або контролю ефективності технічного захисту інформації.
Засоби технічного захисту інформації загального призначення - засоби захисту інформації, при створенні яких не передбачалося використання їх виключно під час упровадження заходів з технічного захисту інформації на конкретному об'єкті інформаційної діяльності, у конкретній інформаційній, телекомунікаційній, інформаційно-телекомунікаційній системі.
Об'єкт інформаційної діяльності (ОІД) - інженерно-технічна споруда (приміщення), де здійснюється діяльність, пов'язана з інформацією, що підлягає захисту.
Орган із сертифікації - орган, який проводить діяльність у сфері оцінки відповідності.
Оцінка відповідності - доведення, що встановлені вимоги до продукції, процесу, системи, особи або органу виконано шляхом випробування, здійснення контролю або сертифікації.
Постачальник - юридична або фізична особа - суб'єкт підприємницької діяльності, який вводить в обіг продукцію чи безпосередньо бере в цьому участь.
Свідоцтво про визнання відповідності - документ, що засвідчує визнання іноземних документів про підтвердження відповідності продукції вимогам, установленим законодавством України.
Сертифікація - процедура, за допомогою якої визнаний в установленому порядку орган документально засвідчує відповідність продукції встановленим законодавством вимогам.
Сертифікат відповідності - документ, який підтверджує, що продукція відповідає встановленим вимогам конкретного стандарту чи іншого нормативного документа, визначеного законодавством.
3. Сертифікаційна діяльність
3.1. Загальне керівництво сертифікаційною діяльністю у сфері захисту інформації, організація і координація робіт із сертифікації здійснюються національним органом із сертифікації - Міністерством економічного розвитку і торгівлі України та Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку). ( Пункт 3.1 розділу 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 54/104 від 04.02.2014 )
3.2. Сертифікацію здійснюють виключно ОС, які призначені та/або вповноважені в установленому порядку для виконання робіт із сертифікації в Системі і мають відповідну галузь акредитації.
Сертифікаційні випробування проводять виключно ВЛ, акредитовані в установленому порядку на незалежність та/або технічну компетентність відповідно до вимог ДСТУ 3412-96 або ДСТУ ISO/IEC 17025:2006. ( Абзац другий пункту 3.2 розділу 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 54/104 від 04.02.2014 )
3.3. Об'єктом сертифікації в Системі є засоби захисту інформації. ( Пункт 3.3 розділу 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 54/104 від 04.02.2014 )
3.4. Сертифікація проводиться на відповідність до вимог нормативних документів, які затверджені та зареєстровані в установленому порядку.
3.5. Порядок проведення робіт із сертифікації засобів захисту інформації в загальному випадку передбачає:
подання заявки на сертифікацію;
розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;
обстеження чи атестацію виробництва засобів захисту інформації, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;
відбір зразків засобів захисту інформації для випробувань;
ідентифікацію засобів захисту інформації;
приймання ВЛ зразків засобів захисту інформації;
випробування зразків засобів захисту інформації;
аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;
видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів захисту інформації до Реєстру Системи;
технічний нагляд за сертифікованими засобами захисту інформації під час їх виробництва;
інформування про результати робіт із сертифікації засобів захисту інформації.
4. Проведення робіт із сертифікації
засобів захисту інформації
4.1. Подання заявки на сертифікацію
4.1.1. Заявником робіт із сертифікації засобів захисту інформації можуть бути:
виробник засобів захисту інформації;
постачальник засобів захисту інформації;
замовник (покупець), яким може бути орган державної влади чи місцевого самоврядування, суб'єкт господарювання, який провадить господарську діяльність, зокрема підприємницьку, у сфері захисту інформації.
4.1.2. Для проведення сертифікації засобів захисту інформації в Системі заявник подає до ОС заявку на проведення сертифікації продукції в Системі (далі - заявка) згідно з додатком 1.
4.1.3. До заявки додаються:
копія нормативного документа виробника на продукцію (за наявності);
технічний опис;
комплект експлуатаційної документації;
завірена копія контракту (договору) або інший документ, який підтверджує походження засобів захисту інформації (за наявності).
Технічні умови на засоби захисту інформації повинні бути узгоджені з Адміністрацією Держспецзв'язку відповідно до постанови Кабінету Міністрів України від 13 березня 2002 року N 281 "Про деякі питання захисту інформації, охорона якої забезпечується державою".
Заявником додатково можуть бути передані до ОС сертифікати, протоколи випробувань, видані іншими ОС або ВЛ (у тому числі іноземними), інша документація, яка дає змогу уточнити особливості засобів захисту інформації і прискорити процедуру сертифікації.
4.2. Розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації
4.2.1. ОС під час розгляду заявки виконує такі процедури:
реєструє заявку в журналі обліку і заводить окрему справу про сертифікацію засобів захисту інформації, у якій надалі зберігаються все листування і документація щодо цього заявника;
перевіряє правильність заповнення реквізитів заявки;
проводить аналіз наданої документації;
визначає необхідність розроблення програми і методики випробувань окремих засобів захисту інформації, які узгоджуються з Держспецзв'язку;
визначає схему сертифікації за поданою заявкою;
визначає з урахуванням побажання заявника акредитовані в Системі ВЛ, які проводитимуть випробування зразків;
визначає кількість зразків для випробувань, правила їх відбору;
узгоджує із заявником терміни проведення робіт із сертифікації та їх вартість;
готує документи за встановленою формою для укладання договору із заявником на проведення робіт із сертифікації відповідно до ДСТУ 3410;
готує рішення за заявкою на проведення сертифікації продукції в Системі (далі - рішення) згідно з додатком 2.
4.2.2. За результатами розгляду заявки ОС не пізніше одного місяця від дня її реєстрації надсилає заявнику своє рішення, у якому зазначаються основні умови сертифікації. У разі позитивного рішення за заявкою ОС одночасно надсилає заявнику проект договору на проведення робіт із сертифікації.
Копія рішення за заявкою направляється до:
органу із сертифікації систем якості (у разі потреби);
ВЛ (або кільком ВЛ), що проводитиме випробування;
ОС або державному центру стандартизації, метрології та сертифікації за місцем розташування заявника, що здійснюватиме технічний нагляд (якщо це передбачено схемою сертифікації).
4.2.3. Якщо для прийняття рішення за заявкою необхідні додаткові відомості щодо засобів захисту інформації або його виробника, то ОС за погодженням із заявником може встановити інший термін розгляду заявки.
4.2.4. Якщо за результатами розгляду заявки і наданої документації виявиться неможливим проведення подальших робіт із сертифікації, то не пізніше одного тижня заявнику надсилається обґрунтоване рішення і заявка анулюється.
Заявка анулюється також, якщо протягом місяця після надсилання заявнику органом із сертифікації проекту договору на проведення робіт із сертифікації (або випробувальною лабораторією проекту договору на проведення сертифікаційних випробувань) означений договір заявником не було укладено.
4.3. Визначення схеми (моделі) сертифікації засобів захисту інформації
4.3.1. Схема (модель) сертифікації визначається ОС під час розгляду заявки з урахуванням особливостей виробництва, випробувань, поставки і використання конкретного засобу захисту інформації.
4.3.2. При сертифікації засобів захисту інформації використовуються схеми (моделі) сертифікації засобів захисту інформації в Системі згідно з додатком 3. Якщо ОС обрано схему щодо видачі сертифікатів відповідності на серійну продукцію з терміном один рік, він додатково до заявки може запросити інформацію та документи згідно з переліком додаткової інформації та документації до заявки на сертифікацію щодо видачі сертифікатів відповідності на серійне виробництво засобів захисту інформації з терміном дії один рік згідно з додатком 4.
4.4. Обстеження виробництва
4.4.1. Обстеження виробництва проводиться з метою встановлення відповідності фактичного стану виробництва вимогам нормативної, конструкторської та технологічної документації, підтвердження можливості підприємства виготовляти продукцію відповідно до вимог нормативних документів, чинних в Україні, видачі рекомендацій щодо періодичності та форм проведення технічного нагляду за виробництвом сертифікованих засобів захисту інформації.
4.4.2. Порядок обстеження виробництва встановлюється ОС з урахуванням вимог ДСТУ 3957 та особливостей виробництва конкретних засобів захисту інформації. Програма обстеження виробництва погоджується з Адміністрацією Держспецзв'язку.
4.5. Атестація виробництва
4.5.1. Атестація виробництва проводиться з метою оцінки технічних можливостей підприємства-виробника щодо забезпечення стабільної якості засобів захисту інформації.
4.5.2. Атестація виробництва проводиться за ініціативи заявника або за рішенням ОС і здійснюється ОС. Порядок виконання робіт з атестації виробництва встановлюється ОС з урахуванням особливостей виробництва конкретних засобів захисту інформації та вимог ДСТУ 3414.
4.6. Сертифікація системи якості
4.6.1. Сертифікація (оцінка) системи якості проводиться органами, що акредитовані в Системі на право проведення цих робіт. Порядок проведення робіт визначено ДСТУ 3419.
4.6.2. Сертифікація (оцінка) системи якості виконується за ініціативи заявника або за рішенням ОС, якщо це передбачено схемою сертифікації.
4.7. Відбір зразків засобів захисту інформації для випробувань
4.7.1. Відбір зразків для випробувань проводиться ОС або за його письмовим дорученням уповноваженим представником.
4.7.2. Зразки відбираються з тих виробів, що пройшли приймальний контроль виробника. Кількість зразків для випробувань має відповідати кількості, зазначеній в рішенні за заявкою. Відбір зразків проводиться у присутності представника заявника і оформляється актом відбору зразків у трьох примірниках згідно з додатком 5. Один примірник залишається у заявника, другий - надсилається до ОС для зберігання, третій - до ВЛ, яка зазначена в рішенні за заявкою.
4.7.3. Зразки, що відбираються для випробувань, мають бути повністю укомплектовані, опломбовані (опечатані) та упаковані.
4.8. Ідентифікація засобів захисту інформації
4.8.1. Ідентифікація засобів захисту інформації проводиться ОС або за його дорученням акредитованою ВЛ. Якщо ВЛ акредитована тільки на технічну компетентність, то ідентифікація проводиться за участю уповноваженого представника ОС. В обох випадках ідентифікація проводиться в присутності заявника.
4.8.2. Ідентифікація включає в себе звіряння складу поданого для випробувань зразка та його технічного стану зі змістом нормативних документів на цю продукцію.
Зразки, що не пройшли ідентифікацію, на випробування з метою сертифікації не приймаються.
4.8.3. За результатами ідентифікації складається акт ідентифікації згідно з додатком 6.
4.9. Приймання зразків засобів захисту інформації випробувальною лабораторією
4.9.1. Відібрані та ідентифіковані зразки засобів захисту інформації для випробувань з метою сертифікації приймає відповідальна особа ВЛ, яка спеціально уповноважена наказом керівника ВЛ, виключно за умови, що ці зразки передано до лабораторії в опломбованому або опечатуваному вигляді, а також за наявності акта відбору зразків та акта ідентифікації.
4.9.2. Доставку відібраних зразків до ВЛ та повернення їх після випробувань заявник здійснює за свій рахунок.
4.9.3. У разі, якщо продукція є великогабаритною або нетранспортабельною, або потребує монтажу на місці, або використання унікального випробувального обладнання тощо, допускається сертифікаційні випробування проводити на підприємстві виробника або замовника з використанням його обладнання та засобів вимірювальної техніки, які відповідають встановленим вимогам. Випробування повинні проводити фахівці акредитованої ВЛ.
4.10. Випробування зразків засобів захисту інформації з метою сертифікації
4.10.1. Сертифікаційні випробування зразків засобів захисту інформації проводяться ВЛ, що визначені в рішенні ОС за заявкою.
Самостійне прийняття ВЛ рішення щодо проведення сертифікаційних випробувань зразків не допускається.
4.10.2. Зразки засобів захисту інформації випробовуються на відповідність вимогам нормативних документів, зазначених у рішенні за заявкою.
Програма та методика випробувань окремих засобів захисту інформації, що визначаються ОС, відповідно до ДСТУ 3412 розробляються ВЛ і погоджуються ОС та Адміністрацією Держспецзв'язку.
4.10.3. При сертифікації партії засобів захисту інформації незначної кількості (до 5 виробів) ОС може прийняти рішення не включати в програму випробувань ті види випробувань, які можуть призвести до руйнування або фізичного пошкодження зразків продукції.
4.10.4. За результатами випробувань ВЛ подає протокол випробувань продукції до ОС, копію протоколу - заявнику, якщо це передбачено договором на проведення робіт із сертифікації. Протокол випробувань повинен бути підписаний виконавцями робіт і затверджений керівником ВЛ. Якщо випробування проводились у ВЛ, що акредитована тільки на технічну компетентність, то протокол випробувань підписується представником ОС, під контролем якого проводились ці випробування, та затверджується керівником ОС.
4.10.5. Протокол випробувань повинен чітко, повністю і недвозначно відображати результати випробувань та іншу інформацію, що стосується проведених випробувань. Кількісні результати мають подаватися із зазначенням показників точності і (або) достовірності.
4.10.6. У разі отримання негативних результатів хоча б за одним з показників випробування з метою сертифікації припиняються. Про негативні результати випробувань ВЛ у термін не пізніше двох тижнів повідомляє заявника та ОС, який приймає рішення щодо припинення або продовження робіт із сертифікації.
4.10.7. Повторні випробування, у разі їх припинення, можуть бути проведені тільки після подання заявником нової заявки та надання ОС переконливих доказів щодо проведення виробником коригувальних заходів щодо усунення причин, що викликали невідповідність установленим вимогам.
4.10.8. ВЛ забезпечує умови для зберігання зразків протягом усього терміну випробувань та повернення їх заявнику.
Зразки, які пройшли випробування з метою сертифікації, у тому числі методом руйнівного контролю, залишаються власністю заявника.
ОС, якщо вважає за необхідне, залишає за згодою заявника у себе чи у ВЛ або передає на відповідальне зберігання заявникові опломбовані зразки - "зразки-свідки". Місце і термін зберігання "зразків-свідків" обумовлюється в договорі.
4.11. Аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності
4.11.1. ОС проводить аналіз одержаних результатів випробувань, проведених у відповідності з пунктами 4.10.1-4.10.5 цих Правил.
При аналізі результатів випробувань оцінюється їх повнота, об'єктивність, достовірність, показники точності та інші характеристики.
4.11.2. За позитивними результатами розгляду протоколу випробувань та інших робіт, що передбачені в рішенні за заявкою, ОС приймає рішення про видачу сертифіката відповідності.
4.12. Видача сертифіката відповідності та занесення сертифікованих засобів захисту інформації до Реєстру Системи
4.12.1. Сертифікат відповідності видається ОС на одиничний виріб, партію із зазначенням її кількості або на засоби захисту інформації, що випускаються підприємством серійно протягом терміну, установленого ліцензійною угодою, з правом маркування знаком відповідності кожної одиниці випущеної продукції.
4.12.2. Термін дії сертифіката відповідності визначається ОС з урахуванням терміну дії нормативних документів на засоби захисту інформації, схеми сертифікації, гарантійного терміну експлуатації продукції, але не більше термінів, зазначених у схемі (моделі) сертифікації засобів захисту інформації в Системі або визначених чинним законодавством України.
4.12.3. Правила та порядок реєстрації сертифікатів відповідності на засоби захисту інформації в Системі визначено ДСТУ 3415.
4.12.4. Форми сертифікатів відповідності встановлені ДСТУ 3498.
Сертифікати відповідності підписуються Головою (заступником Голови) Держспецзв'язку та керівником ОС.
4.12.5. Сертифікат відповідності видається заявнику. Під час видачі сертифіката відповідності виробнику (постачальнику) засобів захисту інформації, що виготовляються серійно, ОС укладає з ним ліцензійну угоду згідно з ДСТУ 3413. Копії сертифіката відповідності ОС надсилає до Реєстру Системи та Держспецзв'язку.
4.12.6. У разі внесення змін до конструкції (складу) засобів захисту інформації або технології їх виготовлення, що можуть вплинути на показники, які підтверджені під час сертифікації, заявник зобов'язаний не пізніше як за три місяці попередити про це ОС, з яким укладено ліцензійну угоду. ОС приймає рішення про необхідність проведення нових випробувань або оцінки стану виробництва продукції.
4.12.7. Якщо випробування засобів захисту інформації за окремими показниками проводились декількома акредитованими або визнаними ВЛ, то сертифікат відповідності видається за наявності всіх необхідних протоколів випробувань з позитивними результатами випробувань. У цьому разі в сертифікаті відповідності наводяться посилання на всі протоколи випробувань із зазначенням ВЛ, що проводили випробування.
4.13. Технічний нагляд за сертифікованими засобами захисту інформації під час їх виробництва
4.13.1. Технічний нагляд за стабільністю показників, що підтверджені сертифікатом відповідності, під час виробництва засобів захисту інформації здійснює ОС, який видав сертифікат. За пропозицією ОС нагляд може проводитися органами із сертифікації систем якості або державними центрами стандартизації, метрології та сертифікації.
4.13.2. Обсяг, порядок і періодичність нагляду встановлюються ОС під час проведення сертифікації і регламентуються програмою технічного нагляду, яка розроблюється ОС, погоджується Адміністрацією Держспецзв'язку та затверджується керівником ОС.
4.13.3. За результатом нагляду ОС може призупинити або скасувати дію ліцензійної угоди чи сертифіката відповідності в разі:
порушення вимог з технології виготовлення, правил приймання, методів контролю та випробувань, позначення виробів, що узгоджені з ОС під час проведення сертифікації;
зміни нормативних документів на засоби захисту інформації або на методи їх випробувань без попереднього погодження з ОС;
зміни конструкції (складу), комплектності або технології виготовлення засобів захисту інформації без попереднього погодження з ОС.
4.13.4. Рішення про призупинення дії ліцензійної угоди і (або) сертифіката відповідності приймається у випадку, якщо вжиттям коригувальних заходів, погоджених з ОС, підприємство може усунути виявлені причини невідповідності та без проведення повторних випробувань ВЛ підтвердити відповідність засобів захисту інформації вимогам нормативних документів. У противному разі ліцензійна угода або сертифікат скасовуються.
4.13.5. Інформація про призупинення або скасування дії сертифіката відповідності у тижневий термін у письмовій формі доводиться ОС до відома заявника, національного органу із сертифікації та Адміністрації Держспецзв'язку.
Дія сертифіката відповідності припиняється з моменту вилучення його з Реєстру Системи згідно з ДСТУ 3415.
4.13.6. У разі призупинення дії сертифіката відповідності здійснюються такі коригувальні заходи:
Орган із сертифікації:
інформує про призупинення чи відновлення дії сертифіката відповідності національний орган із сертифікації та Адміністрацію Держспецзв'язку;
установлює термін виконання коригувальних заходів;
контролює виконання заявником коригувальних заходів.
Заявник:
визначає обсяг виготовлених невідповідних засобів захисту інформації та нове маркування для розрізнення засобів захисту інформації, вироблених до і після проведення коригувальних заходів;
повідомляє споживача про небезпеку (або небажаність) експлуатації засобів захисту інформації та порядок усунення виявлених невідповідностей або обміну засобів захисту інформації;
усуває невідповідності в засобах захисту інформації, які перебувають в експлуатації, або забезпечує їх повернення та дороблення, замінює засоби захисту інформації у споживача, якщо усунення виявлених невідповідностей неможливе чи недоцільне;
здійснює заходи для усунення причин невідповідностей засобів захисту інформації.
4.14. Сертифікація засобів захисту інформації, що імпортуються
4.14.1. Сертифікація одиничних зразків і партії засобів захисту інформації, які імпортуються, проводиться згідно з вимогами цих Правил.
4.15. Визнання результатів сертифікації, які підтверджують відповідність імпортованих засобів захисту інформації вимогам чинних в Україні нормативних документів і які видані на них за кордоном
4.15.1. Визнання результатів сертифікації засобів захисту інформації, що імпортуються, стосується:
сертифіката (знака) відповідності;
результатів випробування ВЛ.
4.15.2. Рішення про визнання результатів сертифікації приймає ОС на підставі підтвердження відповідності продукції вимогам нормативних документів, чинних в Україні, а також аналогічним вимогам нормативних документів інших країн.
4.15.3. Сертифікати відповідності та протоколи випробувань, видані уповноваженими органами інших країн, підлягають визнанню в Системі за умови дотримання сукупності таких правил:
національним органом із сертифікації укладено двосторонню угоду про взаємне визнання результатів робіт із сертифікації з національним органом із сертифікації тієї країни, з якої походять засоби захисту інформації, що ввозяться в Україну;
засоби захисту інформації, що ввозяться в Україну, можуть бути ідентифіковані за супровідною документацією (маркування, етикетка) як такі, що виготовлені за міждержавними або іншими нормативними документами, що є чинними в Україні;
зазначені в іноземному сертифікаті відповідності номенклатура вимог до засобів захисту інформації і норми цих вимог повністю відповідають номенклатурі вимог до цієї продукції і нормам, чинним в Україні.
4.15.4. За умови виконання сукупності правил, наведених у пункті 4.15.3 цих Правил, ОС видає на іноземний сертифікат свідоцтво про його визнання, яке підписує Голова (заступник Голови) Держспецзв'язку та керівник ОС.
4.15.5. У разі невиконання принаймні однієї з умов пункту 4.15.3 цих Правил сертифікація засобів захисту інформації іноземного виробництва здійснюється згідно з вимогами цих Правил.
4.15.6. Документом про визнання іноземних сертифікатів відповідності є свідоцтво про визнання (у разі повного визнання) або сертифікат відповідності (у разі часткового визнання), що видані в Системі.
Процедура визнання результатів сертифікації засобів захисту інформації, що імпортуються, має відповідати ДСТУ 3417.
5. Конфіденційність
ОС та організації, що діють за їх дорученням, повинні забезпечувати конфіденційність інформації, що становить професійну або комерційну таємницю.
Збереження інформації, віднесеної до категорії відомостей, що становлять державну таємницю, здійснюється в установленому законом порядку.
6. Розгляд спірних питань
6.1. Якщо заявник бажає оскаржити рішення ОС щодо відмови у видачі сертифіката відповідності, він повинен подати письмову апеляцію до ОС стосовно рішення органу із сертифікації не пізніше одного місяця після одержання повідомлення про прийняте рішення. Про факт апеляції ОС повідомляє Голову Держспецзв'язку. Подання апеляції не зупиняє дії прийнятого рішення.
Для розгляду апеляцій наказом Голови Держспецзв'язку створюється апеляційна комісія, до складу якої залучаються фахівці Адміністрації Держспецзв'язку та ОС.
6.2. Апеляція розглядається апеляційною комісією у місячний термін з дня її надходження.
6.3. Для розгляду апеляції ОС надає апеляційній комісії наступні матеріали:
апеляцію заявника;
листування щодо спірного питання між заявником, ВЛ та ОС;
протоколи випробувань;
технічну документацію на засіб захисту інформації (за потреби).
Документація надається членам апеляційної комісії не пізніше як за два тижні до засідання комісії.
6.4. Заявник має право бути заслуханим на комісії.
6.5. Апеляційна комісія розглядає спірні питання конфіденційно. Під час прийняття рішення мають бути присутні тільки члени комісії і в повному складі.
6.6. Апеляційна комісія приймає одне з таких рішень:
видати сертифікат відповідності (ліцензійна угода);
відмовити у видачі сертифіката відповідності (ліцензійна угода);
скасувати видану ліцензійну угоду.
Рішення комісії письмово доводиться до відома заявника та ОС у тижневий термін.
6.7. Витрати, пов'язані з розглядом апеляції, несе кожна із сторін.
6.8. У разі незгоди з рішенням апеляційної комісії заявник має право протягом десяти днів від дня отримання рішення звернутися до комісії з апеляції національного органу із сертифікації, рішення якої може бути оскаржене до суду.
7. Розрахунки між ОС і заявником
7.1. Основні засади системи розрахунків такі:
оплата робіт із сертифікації проводиться незалежно від її результатів;
витрати заявника на проведення робіт із сертифікації продукції відносяться на собівартість продукції відповідно до Декрету Кабінету Міністрів України від 10.05.93 N 46-93 "Про стандартизацію і сертифікацію".
7.2. Порядок розрахунків під час сертифікації засобів захисту інформації
7.2.1. Під час сертифікації засобів захисту інформації фінансові взаємовідносини встановлюються між ОС, ВЛ та заявником.
7.2.2. Оплата робіт із сертифікації здійснюється на підставі договорів, що укладаються за рішенням ОС відповідно до одного з нижчевикладених варіантів:
заявник укладає договір на проведення усіх робіт з ОС. З одержаних за договором коштів ОС сплачує проведення відповідних робіт ВЛ або іншим організаціям;
заявник укладає окремі договори на виконання видів робіт із ОС, ВЛ або іншими організаціями, що зазначені в рішенні за заявкою.
7.3. При визначенні вартості робіт ОС керується Правилами визначення вартості робіт із сертифікації продукції та послуг, затвердженими наказом Держстандарту України від 10.03.99 N 100, зареєстрованими в Міністерстві юстиції України 31.03.99 за N 194/3487, та нормативами трудомісткості робіт ОС.
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 1
до пункту 4.1.2 Правил
проведення робіт
із сертифікації засобів
захисту інформації
Керівнику органу
із сертифікації
____________________________
(найменування, прізвище,
ініціали, місцезнаходження)
ЗАЯВКА
на проведення сертифікації продукції
в Системі
1. ______________________________________________________________
(назва підприємства-виробника, постачальника (далі - заявник),
місцезнаходження, код за ЄДРПОУ)
в особі _________________________________________________________
(прізвище, ім'я, по батькові керівника та його посада)
заявляє, що ____________________________________________________,
(назва продукції, код за ДКПП, код за УКТ ЗЕД
для імпортної продукції)
яка виготовлена ________________________________________________,
(одноразово, партіями, серійно
(шт., тис.шт., номери виробу)
за _____________________________________________________________,
(назва та позначення нормативного документа виробника)
відповідає вимогам ______________________________________________
(назви та позначення нормативних документів)
і просить провести сертифікацію цієї продукції на відповідність
вимогам зазначених нормативних документів за правилами Системи.
2. Випробування з метою сертифікації прошу провести в ___________
_________________________________________________________________
(назва акредитованої в Системі випробувальної
лабораторії та її місцезнаходження. У разі
відсутності відомостей цей пункт не наводиться)
3. Зазначена вище продукція не заявлялась на сертифікацію в інші
органи із сертифікації.
4. Заявник зобов'язується: виконувати умови сертифікації;
забезпечувати стабільність показників (характеристик) продукції,
що підтверджені сертифікатом відповідності; сплатити всі витрати
за проведення сертифікації.
5. Додаткові відомості __________________________________________
Керівник підприємства ______________ ________________________
(підпис) (ініціали та прізвище)
Головний бухгалтер ______________ ________________________
(підпис) (ініціали та прізвище)
"___"______________ 20__ р.
М.П.
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 2
до пункту 4.2.1 Правил
проведення робіт
із сертифікації засобів
захисту інформації
Назва та місцезнаходження
органу із сертифікації
РІШЕННЯ N
від "___"____________ 200__ р.
за заявкою на проведення сертифікації
продукції в Системі
Розглянувши заявку ______________________________________________
(назва підприємства-виробника
або постачальника продукції)
від _________________________ на сертифікацію ___________________
(дата)
________________________________________________________________,
(назва продукції, код за ДКПП, код за УКТЗЕД
для імпортної продукції)
повідомляємо:
1. Сертифікація буде проведена на відповідність продукції вимогам
_________________________________________________________________
(позначення та назва нормативних документів)
2. Схема сертифікації міститиме (непотрібне закреслити):
обстеження виробництва;
атестацію виробництва продукції, що сертифікується;
сертифікацію (оцінку) системи якості продукції, що
сертифікується;
випробування зразків продукції з метою сертифікації;
технічний нагляд.
3. Сертифікація системи якості буде проведена в період
(включається за необхідності)
з __________________ до ___________________
_________________________________________________________________
(назва та місцезнаходження акредитованого органу
із сертифікації систем якості)
4. Сертифікація засобів захисту інформації за схемою щодо видачі
сертифікатів відповідності на серійне виробництво на один рік з
аналізом документів буде проведена в період (включається за
необхідності)
з __________________ до ___________________
_________________________________________________________________
(назва та місцезнаходження акредитованої випробувальної
лабораторії)
5. Випробування продукції з метою сертифікації будуть проведені в
період
з __________________ до ___________________
_________________________________________________________________
(назва та місцезнаходження акредитованої випробувальної
лабораторії)
6. Технічний нагляд за виробництвом сертифікованої продукції
здійснюватиме (включається за необхідності) _____________________
(назва організації
та її місцезнаходження)
Періодичність проведення та форми технічного нагляду будуть
повідомлені додатково.
7. Роботи проводяться на підставі _______________________________
(господарських договорів)
Керівник органу із сертифікації ________ ________________________
(підпис) (ініціали та прізвище)
М.П.
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 3
до пункту 4.3.2 Правил
проведення робіт
із сертифікації засобів
захисту інформації
СХЕМИ (МОДЕЛІ)
сертифікації засобів захисту інформації
в Системі
-----------------------------------------------------------------------------------------------
|Продукція, що | Назва робіт | Документи, |
|сертифікується|---------------------------------------------------------------|які видаються |
| |обстеження | атестація |сертифікація|випробування| технічний | органом із |
| |виробництва|виробництва| (оцінка) | з метою | нагляд | сертифікації |
| | | | системи |сертифікації| | |
| | | | якості | | | |
|--------------+-----------+-----------+------------+------------+-------------+--------------|
| Одиничний | Не | Не | Не |Проводяться | Не |Сертифікат |
| виріб |проводиться|проводиться|проводиться |щодо кожного| проводиться |відповідності |
| | | | |виробу | |на кожний |
| | | | | | |виріб |
|--------------+-----------+-----------+------------+------------+-------------+--------------|
| Партія | Не | Не | Не |Проводяться | Не |Сертифікат |
| виробів |проводиться|проводиться|проводиться |на зразках | проводиться |відповідності |
| | | | |виробів, що | |на партію |
| | | | |відбираються| |виробів з |
| | | | |в порядку і | |наведенням |
| | | | |в кількості,| |розміру |
| | | | |які | |сертифікованої|
| | | | |встановлені | |партії |
| | | | |органом із | | |
| | | | |сертифікації| | |
|--------------+-----------+-----------+------------+------------+-------------+--------------|
|Продукція, що | Не | Не | Не |Проводяться |Проводиться |Сертифікат |
| випускається |проводиться|проводиться|проводиться |на зразках |через |відповідності |
| серійно | | | |виробів, що |випробування |з терміном дії|
| | | | |відбираються|зразків |до одного |
| | | | |в порядку і |виробів з |року, що |
| | | | |в кількості,|періодичністю|встановлюється|
| | | | |які |в обсязі та |ліцензійною |
| | | | |встановлені |порядку, що |угодою |
| | | | |органом із |встановлені | |
| | | | |сертифікації|органом із | |
| | | | | |сертифікації.| |
| | | | | |У разі | |
| | | | | |необхідності | |
| | | | | |проводиться | |
| | | | | |перевірка | |
| | | | | |виробництва | |
| |-----------+-----------+------------+------------+-------------+--------------|
| |Проводиться| Не | Не |Проводяться |Проводиться |Сертифікат |
| | |проводиться|проводиться |на зразках |в порядку, |відповідності |
| | | | |виробів, що |визначеному |з терміном дії|
| | | | |відбираються|органом із |до двох |
| | | | |в порядку і |сертифікації,|років, що |
| | | | |в кількості,|і включає |встановлюється|
| | | | |які |перевірки |ліцензійною |
| | | | |встановлені |виробництва |угодою |
| | | | |органом із |та контрольні| |
| | | | |сертифікації|випробування | |
| | | | | |зразків | |
| | | | | |виробів | |
| |-----------+-----------+------------+------------+-------------+--------------|
| | Не |Проводиться| Не |Проводяться |Проводиться |Сертифікат |
| |проводиться| |проводиться |на зразках |в порядку, |відповідності |
| | | | |виробів, що |визначеному |з терміном дії|
| | | | |відбираються|органом із |до трьох |
| | | | |в порядку і |сертифікації,|років, що |
| | | | |в кількості,|і включає |встановлюється|
| | | | |які |перевірки |ліцензійною |
| | | | |встановлені |виробництва |угодою з |
| | | | |органом із |та контрольні|урахуванням |
| | | | |сертифікації|випробування |терміну дії |
| | | | | |зразків |атестата |
| | | | | |виробів |виробництва |
| |-----------+-----------+------------+------------+-------------+--------------|
| | Не | Не |Проводиться |Проводиться |Проводиться в|Сертифікат |
| |проводиться|проводиться| органом з |в порядку, |порядку, |відповідності |
| | | |сертифікації|визначеному |визначеному |з терміном дії|
| | | | систем |органом із |органом із |до п'яти |
| | | | якості |сертифікації|сертифікації |років, що |
| | | | | |продукції та |встановлюється|
| | | | | |систем якості|ліцензійною |
| | | | | | |угодою з |
| | | | | | |урахуванням |
| | | | | | |терміну дії |
| | | | | | |сертифіката на|
| | | | | | |систему якості|
-----------------------------------------------------------------------------------------------
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 4
до пункту 4.3.2 Правил
проведення робіт
із сертифікації засобів
захисту інформації
Перелік
додаткової інформації та документації
до заявки на сертифікацію щодо видачі сертифікатів
відповідності на серійне виробництво засобів
захисту інформації з терміном дії один рік
1. Керівництво підприємства.
1.1. Прізвища і посади керівника та його заступника.
1.2. Прізвища і посади особи, яка відповідальна за сертифікацію засобів захисту інформації, та її заступника.
2. Кількість працівників, зайнятих виробництвом засобів захисту інформації.
3. Документи, що визначають розподіл відповідальності працівників та служб підприємства за забезпечення засобів захисту інформації вимогам нормативних документів.
4. Документи, що підтверджують наявність задокументованої системи якості (Настанова з якості, Сертифікат системи якості (за наявності).
5. Документи щодо процедури ідентифікації засобів захисту інформації при його виробництві.
6. Документи щодо проведення вхідного контролю матеріалів та комплектувальних виробів, що впливають на відповідність засобів захисту інформації вимогам нормативних документів.
7. Документи щодо проведення технічного контролю і випробувань засобів захисту інформації у процесі виробництва та випробувань готової продукції.
8. Документи, які підтверджують, що готова продукція піддавалася контролю та випробуванням.
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 5
до пункту 4.7.2 Правил
проведення робіт
із сертифікації засобів
захисту інформації
Назва та місцезнаходження
органу із сертифікації
АКТ
відбору зразків
від "___"_____________ 20__ р.
На ______________________________________________________________
(назва підприємства, організації, місцезнаходження,
код за ЄДРПОУ)
мною, __________________________________________________________,
(посада, прізвище, ініціали представника,
що проводив відбір зразків)
у присутності ___________________________________________________
(посада, прізвище, ініціали представника підприємства)
відповідно до рішення N ____________ від ________________________
за заявкою ______________________________________________________
відібрані зразки продукції:
------------------------------------------------------------------
| Назва зразків | Розмір |Кількість|Заводські| Дата |
| | партії | зразків | номери |виготов-|
| | (шт.) | (шт.) | | лення |
|--------------------------+--------+---------+---------+--------|
| 1 | 2 | 3 | 4 | 5 |
|--------------------------+--------+---------+---------+--------|
| | | | | |
|--------------------------+--------+---------+---------+--------|
| | | | | |
------------------------------------------------------------------
Стан зразків ____________________________________________________
(прийняті ВТК, у технологічній упаковці,
у транспортній тарі)
Відібрані зразки опломбовані (опечатані) ________________________
Зразки передані на відповідальне зберігання _____________________
_________________________________________________________________
(прізвище, ініціали та посада представника підприємства,
його підпис, дата)
Представник органу
із сертифікації ______________ ________________________
(підпис) (ініціали та прізвище)
Представник заявника ______________ ________________________
(підпис) (ініціали та прізвище)
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко
Додаток 6
до пункту 4.8.3 Правил
проведення робіт
із сертифікації засобів
захисту інформації
Назва та місцезнаходження
органу із сертифікації
АКТ
ідентифікації
________________________________________________________________,
(назва продукції)
що випускається _________________________________________________
(найменування підприємства та його
місцезнаходження)
_________________________________________________________________
______________________ ______________________
(дата) (місто)
Представник органу із сертифікації ______________________________
_________________________________________________________________
(посада, місце роботи, прізвище, ім'я, по батькові)
та уповноважений представник ____________________________________
(найменування підприємства)
_________________________________________________________________
(посада, прізвище, ім'я, по батькові)
склали цей акт про те, що відібрані зразки ______________________
_________________________________________________________________
(назва продукції)
для випробувань з метою її сертифікації відповідають вимогам ____
_________________________________________________________________
(позначення та назва нормативного документа)
щодо маркування та комплектації.
Відібрані та опломбовані (опечатані) зразки _____________________
_________________________________________________________________
(назва продукції)
ідентифіковані і можуть бути пред'явлені на випробування з метою
сертифікації.
Представник органу
із сертифікації ______________ ________________________
(підпис) (ініціали та прізвище)
Представник заявника ______________ ________________________
(підпис) (ініціали та прізвище)
М.П.
Т.в.о. директора Департаменту регулювання діяльності
у сфері технічного захисту інформації Адміністрації
Держспецзв'язку М.Д.Діхтяренко