Фрагмент документа "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ".
1. Общие положения 1.1. Положение разработано в соответствии с Законом Российской Федерации от 10 июня 1993 г. N 5151-1 "О сертификации продукции и услуг" с изменениями и дополнениями, внесенными Федеральными законами от 27 декабря 1995 г. N 211-ФЗ, от 2 марта 1998 г. N 30-ФЗ, от 31 июля 1998 г. N 154-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 26, ст. 966; Собрание законодательства Российской Федерации, 1996, N 1, ст. 4; 1998, N 10, ст. 1143; 1998, N 31, ст. 3832), Законом Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне", с изменениями и дополнениями, внесенными Постановлением Конституционного Суда Российской Федерации от 27 марта 1996 г. N 8-П, Федеральным законом от 6 октября 1997 г. N 131-ФЗ (Российская газета, от 21 сентября 1993 г., N 182; Собрание законодательства Российской Федерации, 1996, N 15, ст. 1768; Российская газета, от 9 октября 1997 г., N 196), Федеральным законом от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, N 8, ст. 609), Законом Российской Федерации от 7 февраля 1992 г. N 2300/1-1 "О защите прав потребителей" с изменениями и дополнениями, внесенными Федеральным законом от 9 января 1996 г. N 2-ФЗ (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, N 15, ст. 766; Собрание законодательства Российской Федерации, 1996, N 3, ст. 140), Федеральным законом "Об участии в международном информационном обмене" от 4 июля 1996 г. N 85-ФЗ, Указов Президента Российской Федерации от 19 февраля 1999 г. N 212 и от 29 ноября 1999 г. N 1567, Постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" с изменениями и дополнениями, внесенными Постановлениями Правительства Российской Федерации от 23 апреля 1996 г. N 509, от 29 марта 1999 г. N 342 (Собрание законодательства Российской Федерации, 1995, N 27, ст. 2579; 1996, N 18, ст. 2142; 1999, N 14, ст. 1722), на основании Правил по проведению сертификации в Российской Федерации, утвержденных Постановлением Госстандарта России от 16 февраля 1994 г. N 3 и зарегистрированных в Министерстве юстиции Российской Федерации 21 марта 1994 г., регистрационный номер 521 (Российские вести, от 30 марта 1994 г., N 56), и Порядка проведения сертификации продукции в Российской Федерации, утвержденного Постановлением Госстандарта России от 21 сентября 1994 г. N 15 и зарегистрированного в Министерстве юстиции Российской Федерации 5 апреля 1995 г., регистрационный номер 826 (Российские вести, от 1 июня 1995 г., N 100), с изменениями и дополнениями, внесенными Постановлением Госстандарта России от 25 июля 1996 г. N 15 и зарегистрированными в Министерстве юстиции Российской Федерации 1 августа 1996 г., регистрационный номер 1139 (Российские вести, от 8 августа 1996 г., N 147). 1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств по требованиям безопасности информации, а также государственного контроля и надзора за сертификацией и сертифицированными средствами защиты информации. Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России). 1.3. Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации <*> по требованиям безопасности информации. Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации". 1.4. Деятельность системы сертификации средств защиты информации по требованиям безопасности информации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации. 1.5. Целями создания системы сертификации являются: реализация требований статьи 28 Закона Российской Федерации "О государственной тайне"; реализация требований государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам; создание условий для качественного и эффективного обеспечения потребителей сертифицированной техникой защиты информации; обеспечение национальной безопасности Российской Федерации в информационной сфере; содействие формированию рынка защищенных информационных технологий и средств их обеспечения; формирование и осуществление единой научно-технической и промышленной политики в информационной сфере с учетом современных требований по противодействию техническим разведкам и технической защите информации. 1.6. Обязательной сертификации подлежат средства защиты информации <**>, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам. Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении N 1 к настоящему Положению. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации. 1.7. Основными схемами сертификации средств защиты информации являются: для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации; для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации; для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению федерального органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике. 1.8. Сертификация средств защиты информации осуществляется федеральным и аккредитованными органами по сертификации. Сертификационные испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с федеральным органом по сертификации (или органом по сертификации) допускается проведение испытаний на испытательной базе заявителя данного средства защиты информации. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации". 1.9. Оплата работ по сертификации средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средств защиты информации, относится на их себестоимость. 1.10. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации. |
Фрагмент документа "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ".