Відповідно до Указу Президента України від 27.09.99 N 1229/99 "Про Положення про технічний захист інформації в Україні" та Указу Президента України від 10.04.2000 N 582/2000 "Про заходи щодо захисту інформаційних ресурсів держави" та Закону України "Про захист інформації в автоматизованих системах", з метою засвідчення відповідності засобів забезпечення технічного захисту інформації загального призначення до вимог нормативно-правових актів з технічного захисту інформації

1. Затвердити Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення (додається).

2. Управлінню державного нагляду та підтвердження відповідності (О. Баб'як) у п'ятиденний термін забезпечити подання на державну реєстрацію до Міністерства юстиції України наказу "Про затвердження Порядку проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення".

3. Українському науково-дослідному інституту стандартизації, сертифікації та інформатики (Б. Угаров) після державної реєстрації в Міністерстві юстиції України цього наказу забезпечити його публікацію в черговому випуску "Інформаційного покажчика стандартів".

4. Контроль за виконанням цього наказу покласти на заступника Голови Держстандарту України Г.Сидоренка та заступника керівника Департаменту - начальника Головного управління ТЗІ І.А.Котельчука.

1.1 Цей документ установлює порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення в Українській державній системі сертифікації продукції - УкрСЕПРО (далі - Система) і враховує положення ДСТУ 3410 та ДСТУ 3413.

1.2 Сертифікація засобів забезпечення технічного захисту інформації загального призначення проводиться відповідно до Закону України "Про захист інформації в автоматизованих системах" та Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27.09.99 N 1229.

1.3 Порядок є обов'язковим для акредитованих органів із сертифікації (далі - ОС), випробувальних лабораторій або центрів (далі - ВЛ), підприємств, установ й організацій усіх форм власності, які здійснюють діяльність у сфері технічного захисту інформації за дозволами або ліцензіями Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент), а також підприємств, установ й організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби забезпечення технічного захисту інформації загального призначення в установи, де циркулює інформація, охорона якої забезпечується державою.

У цьому Порядку є посилання на такі нормативні документи:

ДСТУ 2462-94 Сертифікація. Основні терміни та визначення;

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації.

Терміни та визначення;

ДСТУ 3410-96 Система сертифікації УкрСЕПРО. Основні положення;

ДСТУ 3413-96 Система сертифікації УкрСЕПРО. Порядок проведення сертифікації продукції.

Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.

Засіб забезпечення ТЗІ - технічний засіб із захистом, засіб технічного захисту інформації або засіб контролю за ефективністю технічного захисту інформації.

Засіб забезпечення ТЗІ загального призначення (ЗЗ ТЗІ) - такий засіб забезпечення ТЗІ, при створенні якого не передбачається його використання у складі конкретного об'єкта.

4.1 Загальне керівництво сертифікаційною діяльністю у сфері ТЗІ, організація і координація робіт із сертифікації здійснюються Національним органом із сертифікації - Державним комітетом стандартизації, метрології та сертифікації України (Держстандартом України) та Департаментом.

4.2 Сертифікацію ЗЗ ТЗІ проводять виключно ОС, що акредитовані в Системі в установленому порядку.

Випробування ЗЗ ТЗІ проводять виключно ВЛ, що акредитовані в Системі в установленому порядку.

4.3 Об'єктом сертифікації в Системі є ЗЗ ТЗІ.

4.4 Сертифікація ЗЗ ТЗІ проводиться на відповідність до вимог нормативних документів, які зареєстровані в установленому порядку, нормативних документів з питань ТЗІ, а також вимог аналогічних нормативних документів інших держав, що введені в дію в Україні.

4.5 Порядок проведення робіт із сертифікації ЗЗ ТЗІ в загальному випадку передбачає:

подання заявки на сертифікацію;

розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;

обстеження чи атестацію виробництва ЗЗ ТЗІ, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;

відбір зразків для випробувань;

ідентифікацію ЗЗ ТЗІ;

приймання ВЛ зразків ЗЗ ТЗІ;

випробування зразків ЗЗ ТЗІ;

аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;

видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих ЗЗ ТЗІ до Реєстру Системи;

визнання результатів сертифікації, які підтверджують відповідність імпортних ЗЗ ТЗІ вимогам чинних в Україні нормативних документів і які видані на цю продукцію за кордоном;

технічний нагляд за сертифікованими ЗЗ ТЗІ під час їх виробництва;

інформування про результати робіт з сертифікації ЗЗ ТЗІ.

5.1 Подання заявки на сертифікацію

5.1.1 Заявником робіт із сертифікації ЗЗ ТЗІ можуть бути:

підприємство-виробник ЗЗ ТЗІ;

продавець ЗЗ ТЗІ, який має договірні відносини з виробником;

інші юридичні і фізичні особи, які діють за офіційним дорученням виробника (безпосередньо або через продавця);

замовник (наприклад, підрозділ державного органу виконавчої влади або недержавної установи, на який покладається забезпечення технічного захисту інформації).

5.1.2 Для проведення сертифікації ЗЗ ТЗІ в Системі заявник подає до ОС заявку згідно з додатоком 1.

5.1.3 До заявки додаються:

копія нормативного документа виробника на продукцію;

технічний опис;

комплект експлуатаційної документації;

копія протоколів випробувань;

завірена копія контракту (договору) або інший документ, який підтверджує походження ЗЗ ТЗІ.

Технічні умови на ЗЗ ТЗІ повинні бути узгоджені з Департаментом у встановленому порядку.

Заявником додатково можуть бути передані до ОС сертифікати, протоколи випробувань, видані іншими ОС або ВЛ (у тому числі іноземними), інша документація, яка дає змогу уточнити особливості ЗЗ ТЗІ і прискорити процедуру сертифікації.

5.2 Розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації

5.2.1 ОС під час розгляду заявки виконує такі процедури:

реєструє заявку в журналі обліку і заводить окрему справу про сертифікацію ЗЗ ТЗІ, у якій надалі зберігаються все листування і документація щодо цього заявника;

перевіряє правильність заповнення реквізитів заявки;

проводить аналіз наданої документації;

визначає та узгоджує з Департаментом необхідність розроблення програми і методики випробувань окремих ЗЗ ТЗІ;

визначає схему сертифікації за поданою заявкою;

визначає, з урахуванням побажання заявника, акредитовані в Системі ВЛ, які проводитимуть випробування зразків;

визначає кількість зразків для випробувань, правила їх відбору;

узгоджує із заявником терміни проведення робіт із сертифікації та їх вартість;

готує документи за встановленою формою для укладання договору із заявником на проведення робіт із сертифікації;

готує рішення за поданою заявкою згідно з додатком 2.

5.2.2 ОС розглядає заявку і не пізніше одного місяця від дня її реєстрації надсилає заявнику своє рішення, яке повинно вміщати основні умови сертифікації. У разі позитивного рішення за заявкою ОС одночасно надсилає заявнику проект договору на проведення робіт із сертифікації.

Копія рішення за заявкою направляється до:

органу із сертифікації систем якості (у разі потреби);

ВЛ (або кільком ВЛ), що проводитиме випробування;

ОС або територіальному центру стандартизації, метрології та сертифікації за місцем розташування заявника, що здійснюватиме технічний нагляд (якщо це передбачено схемою сертифікації).

5.2.3 Якщо для прийняття рішення за заявкою необхідні додаткові відомості щодо ЗЗ ТЗІ або його виробника, то ОС, за погодженням із заявником, може встановити інший термін розгляду заявки.

5.2.4 Якщо за результатами розгляду заявки і наданої документації виявиться неможливість проведення подальших робіт із сертифікації, то не пізніше одного тижня заявнику надсилається обгрунтоване рішення і заявка анулюється.

Заявка анулюється також, якщо протягом місяця після надсилання заявнику органом із сертифікації проекту договору на проведення робіт із сертифікації (або випробувальною лабораторією проекту договору на проведення сертифікаційних випробувань) означений договір заявником не було укладено.

5.3 Визначення схеми (моделі) сертифікації ЗЗ ТЗІ

5.3.1 Схема (модель) сертифікації визначається ОС під час розгляду заявки з урахуванням особливості виробництва, випробувань, поставки і використання конкретного ЗЗ ТЗІ.

5.3.2 При сертифікації ЗЗ ТЗІ використовуються схеми сертифікації згідно з додатком 3.

5.4 Обстеження виробництва

5.4.1 Обстеження виробництва проводиться з метою встановлення відповідності фактичного стану виробництва вимогам документації, підтвердження можливості підприємства виготовлювати продукцію відповідно до вимог нормативних документів, чинних в Україні, видачі рекомендацій щодо періодичності та форм проведення технічного нагляду за виробництвом сертифікованих ЗЗ ТЗІ.

5.4.2 Порядок обстеження виробництва встановлюється ОС з урахуванням вимог ДСТУ 3957 та особливостей виробництва конкретних ЗЗ ТЗІ.

5.5 Атестація виробництва

5.5.1 Атестація виробництва проводиться з метою оцінки технічних можливостей підприємства-виробника щодо забезпечення стабільної якості ЗЗ ТЗІ.

5.5.2 Атестація виробництва проводиться за ініціативою заявника або за рішенням ОС і здійснюється ОС. Порядок виконання робіт з атестації виробництва встановлюється ОС з урахуванням особливостей виробництва конкретних ЗЗ ТЗІ та вимог ДСТУ 3414.

5.6 Сертифікація системи якості

5.6.1 Сертифікація (оцінка) системи якості проводиться органами, що акредитовані в Системі на право проведення цих робіт. Порядок проведення робіт визначено ДСТУ 3419.

5.6.2 Сертифікація (оцінка) системи якості виконується за ініціативою заявника або за рішенням ОС, якщо це передбачено схемою сертифікації.

5.7 Відбір зразків ЗЗ ТЗІ для випробувань

5.7.1 Відбір зразків для випробувань проводиться ОС або, за його письмовим дорученням, уповноваженим представником.

5.7.2 Зразки відбираються з тих виробів, що пройшли приймальний контроль виробника та готові до реалізації. Кількість зразків для випробувань має відповідати кількості, зазначеній в рішенні за заявкою. Відбір зразків проводиться у присутності представника заявника і оформляється актом відбору зразків в трьох примірниках згідно з додатком 4. Один примірник залишається у заявника, другий - надсилається до ОС для зберігання, третій - до ВЛ, яка зазначена у рішенні за заявкою.

5.7.3 Відібрані зразки мають бути повністю укомплектовані, опломбовані (опечатані) та упаковані.

5.8. Ідентифікація ЗЗ ТЗІ

5.8.1 Ідентифікація ЗЗ ТЗІ проводиться ОС або, за його дорученням, акредитованою ВЛ. Якщо ВЛ акредитована тільки на технічну компетентність, то ідентифікація проводиться за участю уповноваженого представника ОС. В обох випадках ідентифікація проводиться в присутності заявника.

5.8.2 Ідентифікація включає в себе звіряння складу поданого для випробувань зразка та його технічного стану зі змістом нормативних документів на цю продукцію.

Зразки, що не пройшли ідентифікацію, на випробування з метою сертифікації не приймаються.

5.8.3 За результатами ідентифікації складається акт ідентифікації згідно з додатком 5.

5.9 Приймання зразків ЗЗ ТЗІ випробувальною лабораторією

5.9.1 Відібрані та ідентифіковані зразки ЗЗ ТЗІ для випробувань з метою сертифікації приймає відповідальна особа ВЛ, яка спеціально вповноважена наказом керівника ВЛ виключно за умови, що ці зразки передано до лабораторії в опломбованому або запечатаному вигляді, а також за наявності акта відбору зразків та ідентифікації.

5.9.2 Доставку відібраних зразків до ВЛ та повернення їх після випробувань заявник здійснює за свій рахунок.

5.10 Випробування зразків ЗЗ ТЗІ з метою сертифікації

5.10.1 Випробування зразків ЗЗ ТЗІ з метою сертифікації проводяться ВЛ, що акредитовані в Системі і визначені в рішенні за заявкою.

Самостійне прийняття ВЛ рішення щодо проведення випробувань зразків з метою сертифікації не допускається.

5.10.2 Зразки ЗЗ ТЗІ випробовуються на відповідність вимогам нормативних документів, зазначених у рішенні за заявкою.

Програма та методика випробувань окремих ЗЗ ТЗІ, що визначаються ОС, розробляються ВЛ і погоджуються Департаментом.

5.10.3 При сертифікації партії ЗЗ ТЗІ незначної кількості (до 5 виробів) ОС може прийняти рішення не включати в програму випробувань ті види випробувань, які можуть призвести до руйнування або фізичного пошкодження зразків продукції.

5.10.4 За результатами випробувань ВЛ подає протокол випробувань продукції до ОС, копію - заявнику. Протокол випробувань повинен бути підписаний виконавцями робіт і затверджений керівником ВЛ. Якщо випробування проводились у ВЛ, що акредитована в Системі тільки на технічну компетентність, то протокол випробувань підписується представником ОС, під контролем якого проводились ці випробування, та затверджується керівником ОС.

5.10.5 Протокол випробувань повинен відображати акуратно, чітко, повністю і недвозначно результати випробувань та іншу інформацію, що стосується проведених випробувань. Кількісні результати мають подаватися із зазначенням показників точності і (або) достовірності.

5.10.6 У разі отримання негативних результатів хоча б за одним з показників випробування з метою сертифікації припиняються. Про негативні результати випробувань ВЛ у термін не пізніше двох тижнів повідомляє заявника та ОС, який приймає рішення щодо припинення або продовження робіт із сертифікації.

5.10.7 Повторні випробування, у разі їх припинення, можуть бути проведені тільки після подання заявником нової заявки та надання ОС переконливих доказів щодо проведення виробником коригувальних заходів щодо усунення причин, що викликали невідповідність установленим вимогам.

5.10.8 ВЛ забезпечує умови для зберігання зразків протягом усього терміну випробувань та повернення їх заявнику.

Зразки, які пройшли випробування з метою сертифікації, у тому числі методом руйнівного контролю, залишаються власністю заявника.

ОС, якщо вважає за необхідне, залишає, за згодою заявника, у себе чи у ВЛ, або передає на відповідальне зберігання заявникові опломбовані зразки - зразки-свідки. Місце і термін зберігання зразків-свідків обумовлюється в угоді (договорі).

5.11 Аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності

5.11.1 ОС проводить аналіз одержаних результатів випробувань, проведених у відповідності до пунктів 5.10.1-5.10.5 цього Порядку.

При аналізі результатів випробувань оцінюється їх повнота, об'єктивність, достовірність, показники точності та інші характеристики.

5.11.2 За позитивними результатами розгляду протоколу та інших робіт, що передбачені в рішенні за заявкою, ОС приймає рішення про видачу сертифіката відповідності.

5.12. Видача сертифіката відповідності та занесення сертифікованих ЗЗ ТЗІ до Реєстру Системи

5.12.1 Сертифікат відповідності видається ОС на одиничний виріб, партію із зазначенням її кількості або на ЗЗ ТЗІ, що випускаються підприємством серійно протягом терміну, установленого ліцензійною угодою, з правом маркування знаком відповідності кожної одиниці випущеної продукції.

5.12.2 Термін дії сертифіката відповідності визначається ОС з урахуванням терміну дії нормативних документів на ЗЗ ТЗІ, схеми сертифікації, гарантійного терміну експлуатації продукції, але не більше термінів, зазначених у додатку 3 або визначених чинним законодавством України.

5.12.3 Правила та порядок реєстрації сертифікованих ЗЗ ТЗІ в Системі визначено ДСТУ 3415.

5.12.4 Форми сертифікатів відповідності встановлені ДСТУ 3498.

Вибір форми сертифіката відповідності залежить від ступеня підтвердження вимог нормативних документів.

5.12.5 Сертифікат відповідності видається заявнику. Копії сертифіката відповідності ОС передає до Держстандарту України та Департаменту.

5.12.6 У разі внесення змін до конструкції (складу) ЗЗ ТЗІ або технології їх виготовлення, що можуть вплинути на показники, які підтверджені під час сертифікації, заявник зобов'язаний не пізніше як за три місяці попередити про це ОС, з яким укладено ліцензійну угоду. ОС приймає рішення про необхідність проведення нових випробувань або оцінки стану виробництва продукції.

5.12.7 Якщо випробування ЗЗ ТЗІ за окремими показниками проводились декількома акредитованими в Системі або визнаними в Системі ВЛ інших систем, то сертифікат відповідності видається за наявності всіх необхідних протоколів з позитивними результатами випробувань. У цьому разі в сертифікаті відповідності перелічуються усі протоколи випробувань із зазначенням ВЛ, що проводили випробування.

5.13 Технічний нагляд за сертифікованими ЗЗ ТЗІ під час їх виробництва.

5.13.1 Технічний нагляд за стабільністю показників, що підтверджені сертифікатом відповідності, під час виробництва ЗЗ ТЗІ здійснює ОС, який видав сертифікат. На пропозицію ОС нагляд може проводитися органами із сертифікації систем якості або територіальними центрами стандартизації, метрології та сертифікації.

5.13.2 Обсяг, порядок і періодичність нагляду встановлюється ОС під час проведення сертифікації і регламентуються програмою технічного нагляду, яка розроблюється ОС і затверджується його керівником.

5.13.3 За результатом нагляду ОС може призупинити або скасувати дію ліцензійної угоди чи сертифіката відповідності в разі:

порушення вимог з технології виготовлення, правил приймання, методів контролю та випробувань, позначення виробів, що узгоджені з ОС під час проведення сертифікації;

зміни нормативних документів на ЗЗ ТЗІ або на методи їх випробувань без попереднього погодження з ОС;

зміни конструкції (складу), комплектності або технології виготовлення ЗЗ ТЗІ без попереднього погодження з ОС.

5.13.4 Рішення про призупинення дії ліцензійної угоди і (або) сертифіката відповідності приймається у випадку, якщо вжиттям коригувальних заходів, погоджених з ОС, підприємство може усунути виявлені причини невідповідності та без проведення повторних випробувань ВЛ підтвердити відповідність ЗЗ ТЗІ вимогам нормативних документів. У протилежному разі ліцензійна угода або сертифікат скасовуються.

5.13.5 Інформація про призупинення або скасування дії сертифіката відповідності у тижневий термін у письмовій формі доводиться ОС до відома заявника, Національного органу з сертифікації та Департаменту.

Дія сертифіката відповідності припиняється з моменту вилучення його з Реєстру Системи згідно з ДСТУ 3415.

5.13.6 У разі призупинення дії сертифіката відповідності здійснюються такі заходи:

Орган із сертифікації:

інформує про призупинення чи відновлення дії сертифіката відповідності Національний орган із сертифікації та Департамент;

установлює термін виконання заходів;

контролює виконання заявником заходів.

Заявник:

визначає обсяг вироблених невідповідних ЗЗ ТЗІ та нове маркування для розрізнення ЗЗ ТЗІ, вироблених до і після проведення заходів;

повідомляє споживача про небезпеку (або небажаність) експлуатації ЗЗ ТЗІ та порядок усунення виявлених невідповідностей або обміну ЗЗ ТЗІ;

усуває невідповідності в ЗЗ ТЗІ, які перебувають в експлуатації, або забезпечує їх повернення та дороблення, замінює ЗЗ ТЗІ в споживача, якщо усунення виявлених невідповідностей неможливе чи недоцільне;

здійснює заходи для усунення причин невідповідностей ЗЗ ТЗІ.

5.14 Сертифікація ЗЗ ТЗІ, що імпортуються.

5.14.1 Сертифікація одиничних зразків і партії ЗЗ ТЗІ, які імпортуються, проводиться згідно з вимогами цього документа.

5.14.2 Сертифікація імпортованих ЗЗ ТЗІ, які виробляються серійно, за схемами сертифікації з обстеженням та атестацією виробництва, сертифікацією системи якості та технічним наглядом за стабільністю показників сертифікованих ЗЗ ТЗІ під час їх виробництва не проводиться.

5.15 Визнання результатів сертифікації, які підтверджують відповідність імпортованих ЗЗ ТЗІ вимогам чинних в Україні нормативних документів, і які видані на них за кордоном

5.15.1 Визнання результатів сертифікації ЗЗ ТЗІ, що імпортуються, стосується:

визнання сертифіката (знаку) відповідності;

визнання результатів випробування випробувальної лабораторії.

5.15.2 Рішення про визнання результатів сертифікації приймає ОС на підставі підтвердження відповідності продукції вимогам нормативних документів, чинних в Україні, а також аналогічним вимогам нормативних документів інших країн.

5.15.3 Сертифікати відповідності та протоколи випробувань, видані уповноваженими органами інших країн, підлягають визнанню в Системі за умови дотримання сукупності таких правил:

Національним органом із сертифікації за участю Департаменту укладено двосторонню угоду про взаємне визнання результатів робіт із сертифікації з національним органом із сертифікації тієї країни, з якої походять ЗЗ ТЗІ, що ввозяться в Україну;