Либертариум Либертариум

Cистема сертификации средств криптографической защиты информации

Утверждено Генеральным директором ФАПСИ 28 октября 1993г.
Регистрационный номер Госстандарта России - РОСС RU.0001.030001 от 15.11.93

28.10.1993

УТВЕРЖДАЮ
Генеральный директор Федерального
агентства правительственной связи
и информации при Президенте
Российской Федерации

А. Старовойтов

"28" октября 1993 года.

СИСТЕМА
сертификации средств криптографической защиты информации
(Система сертификации СКЗИ)

Регистрационный номер Госстандарта России
РОСС RU.0001.030001 от 15.11.93

1. Общие положения

1.1. Настоящая Система устанавливает правила сертификации по требованиям безопасности информации:

  • шифровальных средств
    [К шифровальным средствам относятся:
    -- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передачи по каналам связи, включая шифолвальную технику;
    -- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
    реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
    -- аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления ключевых документов для шифровальных средств, независимо от вида носителя ключевой информации.
    ]
  • систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации;
  • закрытых систем и комплексов телекоммуникаций [К закрытым системам и комплексам   телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования  и организационных мер.] органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности;
  • информационно-телекоммуникационных систем и баз данных государственных органов, Центрального банка Российской Федерации, Внешэкономбанка и их учреждений, иных государственных учреждений Российской Федерации.

Примечание: перечисленные выше средства, системы н комплексы именуются далее -- индукция.

1.2. Система сертификации продукции по требованиям безопасности информации действует под управлением Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее -- ФАПСИ) и является составной частью системы сертификации продукции в Российской Федерации.

1.3. Под сертификацией продукции по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата соответствия подтверждается, что эта продукции соответствует:

  • требованиям государственных стандартов или иных нормативных документов, утвержденных Советом Министров -- Правительством Российской Федерации (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, содержащей сведения, составляющие государственную тайну);
  • требованиям государственных или отраслевых стандартов, иных нормативных докуметов, утвержденных Советом Министров Правительством Российской Федерации или ФАПСИ (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, не содержащей сведения, составляющие государственную тайну).

1.4. При проведении сертификации продукции подтверждается соответствие ее требованиям безопасности информации.

Требования безопасности информации, предъявляемые к продукции, выдаются ФАПСИ только предприятиям, имеющим лицензию на соответствующий вид деятельности в области защиты информации.

1.5. Система сертификация продукции базируется на действующих в стране:

  • системе стандартизации и фонде нормативной документации по безопасности информации;
  • системе аккредитации испытательных лабораторий (центров).

1.6. Основными схемами сертификации продукции по требованиям безопасности информации являются:

  • для единичных образцов продукции -- проведение испытаний этих образцов по требованиям безопасности информации;
  • для серийного производства продукции -- проведение типовых испытаний образцов этой продукции по требованиям безопасности информации и последующий контроль за стабильностью характеристик (параметров) сертифицированных образцов продукции, определяющих выполнение требований безопасности информации.

По согласованию с органом по сертификации могут быть использованы и другие схемы сертификации.

1.7. Сертификационные испытания образцов продукции проводятся в испытательных лабораториях (центрах), аккредитованных ФАПСИ.

В отдельных случаях по согласованию с органом по сертификации допускается проведение сертификационных испытаний на объекте разработчика (изготовителя) продукции. При этом орган по сертификации определяет условия, необходимые для обеспечения объективности результатов сертификационных испытаний.

1.8. Оплата работ по сертификации производится в соответствии с Законом Российской Федерации "О сертификации продукции к услуг".

1.9. Органы по сертификации и испытательные лаборатории (центры) несут ответственность за выполнение возложенных на них
функций, а также за соблюдение авторских прав заявителя при испытаниях его продукции.

2. Система сертификации продукции по требованиям безопасности информации

2.1 Система сертификации продукции, перечисленной в п. 1.1 включает в себя:

  • центральный орган системы сертификации;
  • органы по сертификации продукции по требованиям безопасности информации;
  • аккредитованные испытательные лаборатории (центры);
  • заявители (разработчики, изготовители, поставщики продукции).

2.2. Центральным органом системы сертификации является ФАПСИ.

  • ФАПСИ осуществляет следующие функции:
  • организует деятельность органов по сертификации продукции;
  • совместно с Госстандартом России организует разработку государственных н отраслевых стандартов на криптографические алгоритмы зашиты информации, на требования безопасности информации, а также на методы проверки продукции по требованиям безопасности информации;
  • утверждает документы, устанавливающие порядок сертификации конкретных видов продукция по требованиям безопасности информации;
  • утверждает нормативные документы на сертифицируемую продукцию;
  • осуществляет аккредитацию испытательных лабораторий (центров);
  • проводит экспертизу результатов сертификационных испытаний продукции и выдает сертификаты соответствия;
  • осуществляет государственный контроль и надзор за соблюдением производителями" испытательными лабораториями (центрами), органами по сертификации правил сертификации, а также за стабильностью характеристик сертифицированной продукции;
  • проводит при необходимости контрольные сертификационные испытания сертифицированной продукции;
  • осуществляет регистрацию и аннулирует сертификаты соответствия;
  • осуществляет периодическую публикацию материалов по вопросам сертификации продукция;
  • рассматривает спорные вопросы, возникающие а процессе сертификации.

2.3. Орган по сертификации продукции по требованиям безопасности информации осуществляет следующие функции:

  • участвует в аккредитации испытательных лабораторий (центров);
  • осуществляет контроль за деятельностью испытательных лабораторий (центров);
  • участвует в контроле и надзоре за стабильностью характерисик сертифицированной продукции;
  • определяет схему проведения сертификации с учетом назначения продукции и предложений заявителя;
  • рекомендует заявителю испытательную лабораторию (центр) для проведения испытаний;
  • предоставляет заявителю по его требованию необходимую информацию но вопросам сертификации в пределах своей компетенции.

2.4. Аккредитованная испытательная лаборатория (центр) проводит испытания образцов сертифицируемой продукции и несет ответственность за полноту испытаний продукции и достоверность результатов.

Аккредитация (выдача лицензии на осуществление деятельности в области проведения сертификационных испытаний) испытательных лабораторий (центров) осуществляется ФАПСИ в соответствии с отдельным Положением.

2.5. Заявители:

  • заключают договоры на проведение работ по сертификации продукции с органами no сертификации продукции и испытательными лабораториями (центрами);
  • осуществляют подготовку производства и принимают меры по обеспечению стабильности характеристик продукции, влияющих на выполнение требований безопасности информации;
  • незамедлительно извещают центральный орган системы сертификации, видавший сертификат соответствия, о всех изменениях в технологии, конструкции (составе) продукции, которые могут оказать влияние на характеристики сертифицированной продукции и на их стабильность;
  • осуществляют доработку сертифицированной продукции при обнаружения несоответствий ее требованиям нормативных документов.

3. Порядок подготовки и проведения сертификации

3.1. Порядок подготовки я проведения сертификации включает

  • подачу и рассмотрение заявки на сертификацию;
  • испытания сертифицируемой продукции;
  • оформление, регистрацию и выдачу сертификата соответствия;
  • информирование о результатах сертификации;
  • рассмотрение апелляций.

3.2. Подача и рассмотрение заявки на сертификацию.

3.2.1. Заявитель для получения сертификата соответствия направляет в орган по сертификации продукции заявку на проведение сертификации с указанием схемы проведения сертификации и наименований стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

Заявка оформляется по форме, приведенной в Приложении 1.

3.2.2. Орган по сертификации в месячный срок после получения заявки направляет заявителю решение по форме, приведенной в Приложении 2.

3.2.3. Заявки на проведение сертификации принимаются только от заявителей, имеющих лицензии на производство (разработку) подлежащей сертификации продукции.

3.2.4. Заявки на проведение сертификации шифровальных средств принимаются при условии, что в указанных средствах реализованы криптографические алгоритмы, объявленные государственными или отраслевыми стандартами Российской Федерации, иными нормативными документами, утвержденными Советом Министров -- Правительством Российской Федерации или ФАПСИ.

3.3. Испытания сертифицируемой продукции в аккредитованных испытательных лабораториях (центрах).

3.3.1. Испытания сертифицируемой продукции проводятся на изделиях, конструкция, состав и технология изготовления котрых должны быть такими же, ках и у изделий, поставляемых потребителю (заказчику).

Количество изделий, порядок их отбора и идентификации устанавливается нормативными документами по сертификации конкретного вида продукции.

В случае отсутствия на момент сертификации, аккредитованных лабораторий (центров) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность и результатов.

3.З.2. При сертификации информационно-телекоммуникационных систем или систем (закрытых систем) телекоммуникаций, как целостных объектов защищенной информации, допускается проведение сертификационных испытаний их составных частей в отдельности.

3.3.3. Сроки проведения испытанийустанавливаются договором между заявителем и испытательной лабораторией (центром).

3.3.4. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов продукции в испытательной лаборатории (центре).

3.3.5. Результаты испытаний оформляются протоколом, который направляется испытательной лабораторией (центром) органу по сертификации продукции.

3.3.6. Орган по сертификации продукции оценивает результаты испытаний и готовит предложения для ФАПСИ о возможности (невозможности) выдачи сертификата соответствия на продукцию.

При несоответствии результатов испытаний требованиям нормативных документов орган по сертификации продукции готовит предложения для ФАПСИ об отказе в выдаче сертификата соответствия.

В случае несогласия с отказом в выдаче сертификата соответствия заявитель имеет право обратиться в ФАПСИ для дополнительного рассмотрения полученных при испытаниях результатов.

3.4. Оформление, регистрация и выдача сертификата соответствия.

3.4.1. Сертификат соответствия на продукцию, отвечающую требованиям безопасности информации, выдается ФАПСИ (форма приведена в Приложении 3).

ФАПСИ производится присвоение сертификату соответствия регистрационного номера.

3.4.2. Срок действия сертификата соответствия устанавливается не более чем три года.

При внесении изменений в конструкцию (состав) продукции или технологию ее производства, которые могут повлиять на характеристики, определяющие безопасность информации, заявитель извешает об этом ФАПСИ и орган по сертификации продукции. При этом ФАПСИ принимет решение о необходимости проведения новых сертификационных испытаний продукции.

3.5. Информирование о результатах сертификации.

3.5.1. ФАПСИ проводит учет сертифицированной продукции и создает фонды:

  • сертификатов соответствия (копий);
  • организационно-методических документов по сертификации продукции.

3.5.2. ФАПСИ организует периодическую публикацию материалов о работах по сертификации продукии, включающих:

перечень продукции, на которые выданы сертификаты соответствия;

перечень органов по сертфикации продукции;

перечень аккредитованных испытательных лабораторий (центров).

3.6. Рассмотрение апелляций.

В случае несогласия с результатами сертификации заявители могут подать в ФАПСИ апелляцию.

ФАПСИ в месячный срок рассматривает апелляцию с привлечением заинтересованных сторон и извещает  заявителя о принятом решении.

4. Контроль и надзор за проведением сертификации и стабильностью характеристик сертифицированной продукции.

4.1. По результатам контроля и надзора ФАПСИ может приостановить или аннулировать действие сертификата соответствия.

4.2. Решение о приостановлении действия сертификата соответствия принимается, если в результате принятых незамедлительных мер не может быть восстановлено соответствие продукции установленным требованиям, а также в случаях:

  • изменения нормативных документов на продукцию или методов испытаний и контроля;
  • изменения конструкции (состава), комплектности продукции, системы контроля качества продукции;
  • невыполнения требований технологии, контроля, испытаний;
  • отказа производителя продукции в предоставлении органам, осуществляющим контроль и надзор, технической документации на производство и использование сертифицированной продукции или образцов продукции для проведения контрольных сертификационных испытаний.

4.3. Решение об аннулировании сертификата соответствия принимается в случае, если не представляется возможным восстановить соответствие продукции или состояния производства установленным требованиям.

4.4. Информация о приостановлении действия или аннулировании сертификата соответствия немедленно доводится до сведения предприятия изготовителя, испытательной лаборатории (центра).

Приложение 1

Кому____________________________________
наименование органа по сертификации и его адрес

ЗАЯВКА

на проведение сертификации

1._______________________________________________________________________
(наименование заявителя, его адрес и регистрационный номер лицензии на производство
подлежащей сертификации продукции)

просит провести сертификацию                                                                                          
________________________________________________________________________
(наименование продукции)

________________________________________________________________________

по требованиям безопасности информации на соответствие:                                         

________________________________________________________________________

________________________________________________________________________
(наименование нормативных документов)

2. Заявитель предлагает провести сертификационные испытания продукции по схеме

________________________________________________________________________
(указывается схема сертификации)

в_______________________________________________________________________
(наименование испытательной лаборатории)

3. Заявитель согласен оплатить расходы по всем видам работ и услуг по сертификации
указанной в данной заявке продукции.                                                                                

Наш расчетный счет________________________________________________________
(банковские реквизиты заявителя)

ПЕЧАТЬ ЗАЯВИТЕЛЯ

Руководитель предприятия заявителя

____________    ____________
(подпись, дата)        (подпись, дата)

Главный бухгалтер заявителя

____________    ____________
(подпись, дата)        (подпись, дата)

Приложение 2

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ
И ИНФОРМАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ
ФЕДЕРАЦИИ

________________________________________________________________________
наименование и адрес органа по сертификации
________________________________________________________________________

РЕШЕНИЕ

от "___" _______________199__г. N___

по заявке на проведение сертификации

Рассмотрев заявку________________________________________________________
(наименование заявителя)

на сертификацию_________________________________________________________
(наименование продукции)

сообщаем, что сертификационные испытания следует провести в                                
________________________________________________________________________
(наименование испытательной лаборатории)

ПЕЧАТЬ         Руководитель органа по сертификации

__________            ____________________________
(подпись, дата)                                     (фамилия, и.о.)                        

Приложение 3

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ
И ИНФОРМАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ
ФЕДЕРАЦИИ
г. Москва

СЕРТИФИКАТ СООТВЕТСТВИЯ

N____ от "___" _______________199__г.

Действителен до "___" _______________199__г.

Выдан__________________________________________________________________
(наименование предприятия -- заявителя)

Настоящий сертификат удостоверяет, что_____________________________________

________________________________________________________________________
(наименование продукции)

соответствует требованиям безопасности информации, установленным___________

________________________________________________________________________
(наименование стандартов и других нормативных документов)

Сертификат выдан на основании результатов проведенных_____________________

________________________________________________________________________
(наименование испытательной лаборатории)

сертификационных испытаний образцов продукции (зав.NN___________________)

________________________________________________________________________
(наименование продукции)

обеспечивает безопасность _________________________________ информации при
(гриф секретности)

 

ПЕЧАТЬ ФАПСИ                                                                        

Генеральный директор Агентства ______________________________
                                                             (подпись, и.о.фамилия)

Комментарии (1)

  • По-моему, пункта 1.4 вполне достаточно для сомнений во всей системе:

    Если требования к безопасности сообщаются только организациям, имеющим лицензию на работы в данной области, то, во-первых, неясно, как смогут получить лицензию другие организации (они не смогут адаптировать свои внутренние условия к этим требованиям), во-вторых, потребители вообще не могут судить, насколько разумны эти требования и, следовательно, насколько безопасна сертифицированная продукция.

    Впрочем, обе эти проблемы заложены скорее всего вполне сознательно и целенаправленно. Организации, не нравящиеся ФАПСИ, отстраняются от работ по безопасности (как понравиться государственной конторе, каждый читатель может придумать самостоятельно), а потребители "безопасной" продукции оказываются беззащитны перед всё тем же ФАПСИ.

Московский Либертариум, 1994-2020