язык интерфейса

Законодательство РУз

Законодательство РУз/ Информация. Информатизация. Связь/ Информационная безопасность/ Положение о сертификации средств криптографической защиты информации в Республике Узбекистан (Приложение N 2 к Постановлению Президента РУз от 03.04.2007 г. N ПП-614)

Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172

ПРИЛОЖЕНИЕ N 2

к Постановлению Президента РУз

от 03.04.2007 г. N ПП-614

ПОЛОЖЕНИЕ

о сертификации средств криптографической

защиты информации в Республике

Узбекистан


   

I. ОБЩИЕ ПОЛОЖЕНИЯ


1. Настоящее Положение разработано в соответствии с требованиями безопасности информации и устанавливает порядок организации работ по сертификации, а также государственного контроля за сертификацией в Республике Узбекистан средств криптографической защиты информации (далее - СКЗИ).


2. Сертификация в Республике Узбекистан СКЗИ осуществляется в соответствии с законами Республики Узбекистан "О стандартизации" и "О сертификации продукции и услуг".


3. Под сертификацией СКЗИ понимается деятельность по подтверждению соответствия СКЗИ требованиям нормативно-правовых актов и государственных стандартов в установленном порядке.


4. Обязательной сертификации подлежат СКЗИ, в том числе зарубежного производства, используемые при криптографической защите:

информации, содержащей сведения, отнесенные к государственным секретам;

конфиденциальной информации, собственником которой являются государственные организации;

конфиденциальной информации в организациях независимо от их ведомственной принадлежности и форм собственности при поставке ими товаров и услуг для нужд государственных организаций.

В остальных случаях сертификация СКЗИ носит рекомендательный характер.


5. Сертификация осуществляется в соответствии с правилами Национальной системы сертификации в рамках Системы сертификации СКЗИ в соответствии с действующими критериями (требованиями) нормативных документов в установленном порядке.



II. СИСТЕМА СЕРТИФИКАЦИИ СКЗИ


6. Система сертификации СКЗИ создаeтся Уполномоченным органом в области криптографической защиты информации и представляет собой совокупность участников сертификации, осуществляющих еe по установленным правилам.


7. Уполномоченным органом в области криптографической защиты информации является Служба государственной безопасности Республики Узбекистан.

8. Организация и проведение работ по сертификации, а также оформление сертификата соответствия осуществляются соответствующим подразделением СГБ - Органом по сертификации СКЗИ (далее - Орган по сертификации), аккредитованным в установленном законодательством порядке.

9. Государственный реестр сертифицированных СКЗИ ведется Органом по сертификации на основании выданных сертификатов соответствия.


10. Участниками сертификации СКЗИ являются:

- Орган по сертификации;

- аккредитованные испытательные центры (лаборатории), проводящие сертификационные испытания (или отдельные виды испытаний) СКЗИ;

- заявители - разработчики, изготовители, поставщики и пользователи СКЗИ.


11. Сертификация проводится по схемам, приведенным в приложении N 1 к настоящему Положению.

Основными схемами сертификации являются:

- для единичных образцов СКЗИ - проведение испытаний данного образца на соответствие требованиям безопасности информации;

- для ввозимых или выпускаемых партиями СКЗИ - проведение испытаний на отобранных в соответствии с нормативной документацией образцах на соответствие требованиям безопасности информации;

- для серийного производства СКЗИ - проведение типовых испытаний образцов продукции на соответствие требованиям безопасности информации с обследованием (специальной проверкой) производства по утвержденной программе, с последующим периодическим инспекционным контролем за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований.

Схемы сертификации в каждом конкретном случае выбирает Орган по сертификации с учетом предложений заявителя, объема продукции, методов испытаний и особенностей производства.

По решению Органа по сертификации могут быть использованы и другие схемы сертификации, применяемые в международной практике в рамках международных систем или соглашений.


12. Оплата работ по сертификации производится на договорной основе в установленном законодательством порядке.

Орган по сертификации должен обеспечивать хранение и конфиденциальность всех материалов по результатам выполнения процедур сертификации в течение не менее чем двух лет после окончания срока действия сертификата соответствия.


13. Орган по сертификации в пределах своей компетенции осуществляет следующие функции:

- организует сертификацию;

- устанавливает правила проведения сертификации конкретных видов СКЗИ;

- определяет схему проведения сертификации с учетом предложений заявителя;

- утверждает программы и методики проведения сертификационных испытаний;

- осуществляет отбор образцов СКЗИ для проведения сертификационных испытаний;

- подготавливает предложения к перечню СКЗИ, подлежащих обязательной сертификации и представляет их через Уполномоченный орган по согласованию с агентством "Узстандарт" на утверждение в Кабинет Министров Республики Узбекистан;

- разрабатывает и утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация, методические и распорядительные документы по проведению процедур сертификации;

- осуществляет государственный надзор за соблюдением правил сертификации, устанавливает порядок инспекционного контроля за сертифицированными СКЗИ;

- организует в установленном порядке проверку производства сертифицируемых СКЗИ;

- проводит инспекционный контроль за сертифицированными СКЗИ;

- представляет заявителю необходимую информацию по сертификации;

- формирует и актуализирует фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;

- проводит экспертизу технической, эксплуатационной документации на СКЗИ и материалов сертификационных испытаний СКЗИ;

- оформляет сертификаты на применение знака соответствия и ведет их учет;

- хранит документацию, подтверждающую сертификацию;

- рассматривает апелляции по вопросам сертификации;

- проводит экспертизу технической, эксплуатационной документации на СКЗИ;

- оформляет экспертное заключение по сертификации и обеспечивает выдачу сертификатов и договоров на применение знака соответствия СКЗИ, а также отмену (приостановление) действия сертификатов данной системы сертификации;

- направляет, в установленном порядке, в Национальный орган по сертификации сведения о сертифицированных и зарегистрированных СКЗИ.


14. Аккредитованные испытательные центры (лаборатории) в пределах установленной области аккредитации:

- осуществляют сертификационные испытания конкретных типов СКЗИ, оформляют заключения и протоколы сертификационных испытаний с последующим их направлением в Орган по сертификации;

- участвуют, по приглашению Органа по сертификации, в проверке производства, сертифицируемых СКЗИ;

- участвуют в отборе образцов СКЗИ для проведения сертификационных испытаний.

Аккредитованные испытательные центры (лаборатории) несут ответственность за полноту испытаний СКЗИ и достоверность их результатов.


15. Заявители (разработчики, изготовители, поставщики и пользователи СКЗИ):

- обеспечивают стабильность характеристик СКЗИ, определяющих безопасность информации;

- извещают Орган по сертификации обо всех изменениях в технологии, конструкции (составе) сертифицированных СКЗИ для принятия решения о повторной сертификации;

- применяют сертификат и маркируют сертифицированные СКЗИ знаком соответствия в порядке, установленном правилами системы сертификации СКЗИ;

- указывают в сопроводительной технической документации на СКЗИ сведения о сертификации, нормативных и методических документах, которым они должны соответствовать; обеспечивают доведение этой информации до пользователя;

- обеспечивают соответствие СКЗИ требованиям нормативных документов по безопасности информации, на соответствие которым они сертифицированы;

- обеспечивают беспрепятственное выполнение своих полномочий должностными лицами Органа по сертификации и должностными лицами, осуществляющими инспекционный контроль за сертифицированными СКЗИ;

- приостанавливают или прекращают реализацию СКЗИ, подлежащих обязательной сертификации, если они не отвечают требованиям нормативных документов, на соответствие которым они сертифицированы, по истечении срока действия сертификата, в случае приостановки его действия или отмены;

- при обнаружении несоответствия сертифицированных СКЗИ требованиям нормативно-методических и эксплуатационных документов немедленно информируют об этом Орган по сертификации;

- по мере необходимости подготавливают согласованные с Органом по сертификации рекламные проспекты (буклеты) сертифицированных продуктов.


16. Правила и порядок (схема) проведения сертификации и инспекционного контроля за сертифицированными СКЗИ, а также специальной проверки производства СКЗИ, устанавливаются Органом по сертификации изданием отдельных нормативных документов в порядке, установленном в Национальной системе сертификации Республики Узбекистан.


17. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в Орган по сертификации или в Уполномоченный орган в области криптографической защиты информации. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.


18. Участники сертификации несут ответственность, установленную законодательством Республики Узбекистан, за выполнение возложенных на них обязанностей, обеспечение защиты сведений, составляющих государственные секреты, и информации, подлежащей защите в соответствии с законодательством Республики Узбекистан, сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при сертификационных испытаниях СКЗИ.



III. ПОРЯДОК ПРОВЕДЕНИЯ

СЕРТИФИКАЦИИ СКЗИ


19. Для проведения сертификации в соответствии с настоящим Положением заявитель направляет в Орган по сертификации заявку по форме, приведенной в приложении N 2 к настоящему Положению.


20. Для проведения сертификации заявитель представляет следующие документы:

- копию нормативного документа на производимую продукцию (при его наличии);

- образец маркировки продукции;

- информацию о прохождении сертификации по общим показателям безопасности;

- информацию о том, где и для каких целей будут использованы СКЗИ.


21. После подачи заявки с пакетом документов, указанных в пункте 20 настоящего Положения, Орган по сертификации рассматривает ее, проводит анализ представленных документов и не позднее двух дней после получения и рассмотрения заявки сообщает заявителю решение о проведении сертификации или об отказе в сертификации.

В решении указываются все основные условия сертификации, в том числе схема сертификации и необходимые нормативные документы, на соответствие которым будет проведена сертификация, а также аккредитованный испытательный центр (лаборатория), в котором будут проводиться испытания, или причины отказа в сертификации.

Рекомендуемая форма решения приведена в приложении N 3 к настоящему Положению.


22. Срок проведения сертификации должен соответствовать срокам испытаний, установленным в нормативных документах на эту продукцию и/или на методы испытаний, но не должен превышать одного месяца с момента представления в Орган по сертификации заявки на сертификацию.


23. Отбор и идентификация образцов СКЗИ для проведения сертификации на соответствие требованиям безопасности информации осуществляется Органом по сертификации с выездом на место в срок не позднее двух дней со дня регистрации заявки.


24. Идентификация представленной на сертификацию продукции при отборе образцов осуществляется по правилам сертификации однородной продукции. Если по результатам идентификации установлено, что представленные заявителем образцы не соответствуют нормативным документам, указанным в заявке, отбор образцов не проводится, и заявителю представляется мотивированный отказ в сертификации.

При отказе в сертификации, данные СКЗИ не могут быть использованы для защиты информации.


25. Отбор образцов производимой продукции оформляется актом об отборе проб и образцов в двух экземплярах, один из которых вручается заявителю.

В соответствии с требованиями нормативных актов Государственного таможенного комитета, определяющими порядок ввоза на территорию Республики Узбекистан и вывоза с ее территории товаров (продукции), подлежащих обязательной сертификации, отбор проб и образцов от находящихся на хранении под таможенным контролем импортных товаров для проведения сертификации производится с разрешения таможенного органа представителями Органа по сертификации, в присутствии владельца товара либо его представителя. При этом представителем Органа по сертификации составляется акт об отборе проб и образцов в 3 экземплярах, третий из которых вручается таможенному органу.


26. При отрицательных результатах испытаний, а также при представлении неполного комплекта документов Орган по сертификации выдает заявителю заключение об отказе в выдаче сертификата соответствия, с указанием конкретных норм законодательства.


27. Обследование состояния производства сертифицируемой продукции, выпускаемой серийно, осуществляется Органом по сертификации. По результатам обследования составляется акт, который учитывается при принятии решения о выдаче сертификата соответствия.


28. Срок проведения обследования не должен превышать 10 дней с момента отбора образцов.


29. Сведения о проведенном обследовании производства приводятся в сертификате соответствия на продукцию.


30. Орган по сертификации после рассмотрения протокола испытаний, обследования состояния производства и документов, представленных заявителем с заявкой, выдает сертификат соответствия и проводит регистрацию СКЗИ в установленном порядке, при отрицательных результатах сертификации отказывает в выдаче сертификата и регистрации СКЗИ.


31. Сертификат соответствия выдается заявителю в течение двух рабочих дней, а при проведении Органом по сертификации обследования производства - в течение пяти рабочих дней с момента получения результатов испытаний.


32. Выданный Органом по сертификации сертификат соответствия вступает в силу после его регистрации в Государственном реестре Национальной системы сертификации Республики Узбекистан.

Срок действия сертификата устанавливается Органом по сертификации и не должен превышать трех лет.


33. Орган по сертификации проводит инспекционный контроль за использованием СКЗИ на соответствие требованиям защиты секретной информации. Контроль проводится по программе специальной проверки СКЗИ на соответствие требованиям защиты секретной информации с учетом требований нормативных документов.

По результатам инспекционного контроля действие сертификата соответствия может быть подтверждено, приостановлено или аннулировано.


34. По истечении срока действия сертификата Орган по сертификации осуществляет его продление на основании проведения повторных испытаний и специальной проверки. Орган по сертификации имеет право продления сертификата на основании результатов специальной проверки проведенного инспекционного контроля.


35. Материалы сертификации (копии протоколов испытаний, акты проверок) подлежат хранению в Органе по сертификации в течение 2 лет после истечения срока действия сертификата. Порядок и сроки хранения копий протоколов устанавливаются Органом по сертификации. По истечении установленного срока хранения указанных документов они сдаются в архив или уничтожаются в установленном порядке.


36. На основании выданного сертификата соответствия заключается соглашение об условиях проведения периодической специальной проверки и инспекционного контроля.


37. Признание зарубежных сертификатов соответствия осуществляется в порядке, установленном процедурами Национальной системы сертификации Республики Узбекистан. Заявка на признание зарубежных сертификатов соответствия направляется в Орган по сертификации по форме, приведенной в приложении N 4 к настоящему Положению.


38. Государственный надзор за сертифицированными СКЗИ осуществляется в порядке, установленном законодательством.


39. По результатам государственного надзора, а также инспекционного контроля за сертифицированными СКЗИ Органом по сертификации применяются меры, установленные законодательством.


40. Информация о принятых мерах по результатам государственного надзора и инспекционного контроля немедленно доводится до сведения изготовителей, потребителей СКЗИ и Национального органа по сертификации.






ПРИЛОЖЕНИЕ N 1

к Положению



СХЕМЫ

подтверждения соответствия продукции

путем сертификации соответствия

         

N схемы

Испытание в аккредитованных испытательных лабораториях и другие способы доказательства соответствия


Обследование производства или оценка системы качества

Инспекционный контроль сертифицированной продукции

(системы качества, производства)

1

Испытания образца


-

-

3

Типовые испытания образцов

Обследование (аттестация) производства по утвержденной программе

Испытание образцов, взятых у изготовителя. Обследование производства

7

Испытание партии

-

-

          





ПРИЛОЖЕНИЕ N 2

к Положению

      


      


(наименование органа по сертификации)


     


(адрес органа по сертификации)

      

     

ЗАЯВКА

на проведение сертификации средств

криптографической защиты информации

       

     

(наименование заявителя (предприятия-изготовителя, поставщика или Ф.И.О. индивидуального предпринимателя)

     

(адрес заявителя)

в лице


заявляет, что



(Ф.И.О. руководителя)


(наименование, вид продукции)

   

    

      


(код ТН ВЭД, выпускается серийно или партия, каждое изделие (при единичном производстве)

выпускается по

  


(наименование документации изготовителя)

соответствует требованиям



(наименование и номера нормативных документов)

     


   



     


и просит провести сертификацию данной продукции на соответствие

требованиям указанных документов по схеме





(номер схемы сертификации)




     


     

   

      

Дополнительные сведения



(указывается наличие гигиенического сертификата и др. документ)


       


   

  


Заявитель





(Ф.И.О.)


(подпись)

   


Дата


ПРИЛОЖЕНИЕ N 3

к Положению







"УТВЕРЖДАЮ"

Руководитель органа

по сертификации


(наименование органа по сертификации)

     





  




      

   

(подпись)


(Ф.И.О.)

(адрес органа по сертификации)

   





    

"____" _______________ 20___ г.



     



печать

          


    

РЕШЕНИЕ

по заявке на проведение сертификации

N ____ от "___" ______________ 20__ г.

       

Рассмотрев заявку



(наименование предприятия-изготовителя, поставщика)

     

     

     

   

на сертификацию

    


(наименование продукции, код ТН ВЭД)

решили, что:


      


1. Сертификация будет проведена по схеме


   

(номер схемы сертификации)

2. Испытания для сертификации следует провести в



(наименование аккредитованного

   


     

испытательного центра или лаборатории)


(адрес)

3. Сертификация будет проведена на соответствие требованиям


     

        

       

     

(наименование и обозначение нормативных документов)



4. Обследование производства будет проведено в



(наименование организации)

    

         


     

         

(адрес)


(вид обследования)

5. Форма оплаты работ



(по хозяйственному договору, тарифам)

6. Для целей сертификации необходимо представить


      

        

       

(перечислить необходимые документы)

         





ПРИЛОЖЕНИЕ N 4

к Положению

      


      


(орган по сертификации)

     



ЗАЯВКА

на признание сертификата


Просим признать сертификат на



(наименование продукции, тип, модель, марка)

       

     

      

изготовленную



(наименование предприятия-изготовителя, адрес)

испытанную в



(наименование испытательной лаборатории, адрес)

на соответствие требованиям



(обозначение, наименование документа, на соответствие

которому проведена сертификация)

Сертификат выдан



(наименование органа (организации, фирмы), выдавшего сертификат)


по правилам


(адрес)


(наименование системы сертификации или номер соглашения)


на срок с


до


    





         

Дополнительные сведения



(сертификат соответствия на систему качества и т. п.)


       


   

      


К заявке прилагаем:



(перечень документов и материалов)


        

    

       

Наименование и адрес заявителя


    

Телефон/факс заявителя


   

Междугородняя телефонная связь



Ф.И.О., должность и телефон

сотрудника, занимающегося заявкой


  



  

      


"Собрание законодательства Республики Узбекистан",

2007 г., N 14, ст. 140