Сноска. Утратил силу приказом Руководителя Канцелярии Премьер-Министра РК от 14.06.2013 № 25-1-21.
В соответствии с пунктом 8 статьи 17 Закона Республики Казахстан от 9 ноября 2004 года "О техническом регулировании" и подпунктом 21) пункта 12 Положения о Канцелярии Премьер-Министра Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 11 сентября 2002 года N 993, ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности.
2. Настоящий приказ вводится в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
Руководитель Канцелярии
СОГЛАСОВАНО СОГЛАСОВАНО
Председатель Комитета Первый вице-министр
национальной безопасности индустрии и торговли
Республики Казахстан Республики Казахстан
Утверждены
приказом Руководителя Канцелярии
Премьер-Министра
Республики Казахстан
от 3 октября 2005 года N 25-1-90
Правила обязательного подтверждения
соответствия информационных систем, технических,
программно-технических и программных средств
(изделий), технических средств защиты информации
требованиям информационной безопасности
1. Общие положения
1. Настоящие Правила обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности (далее - Правила) разработаны в соответствии со следующими нормативными правовыми актами:
Законом Республики Казахстан "О техническом регулировании";
Законом Республики Казахстан "О национальной безопасности Республики Казахстан";
Законом Республики Казахстан "Об информатизации";
Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи".
2. В Правилах используются понятия и определения по вопросам подтверждения соответствия в соответствии с Законом Республики Казахстан "О техническом регулировании".
3. Правила определяют порядок организации и проведения обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации (далее - СЗИ и СВТ) требованиям информационной безопасности (далее - подтверждение соответствия). Обязательное подтверждение соответствия СЗИ и СВТ проводится путем процедуры обязательного подтверждения соответствия требованиям информационной безопасности согласно требованиям нормативных правовых актов, стандартов и документов технического регулирования, в том числе по вопросам применения технических средств защиты информации, согласованными с уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности, органами национальной безопасности и другими заинтересованными государственными органами.
4. Обязательному подтверждению соответствия требованиям информационной безопасности подлежат СЗИ и СВТ, включенные в Перечень продукции и услуг, подлежащих обязательной сертификации, утвержденным постановлением Правительства Республики Казахстан от 20 апреля 2005 года N 367.
Средства криптографии (шифрования), входящие в состав СЗИ и СВТ, подлежат обязательному подтверждению соответствия в форме обязательной сертификации в соответствии с отдельными правилами подтверждения соответствия шифровальных средств требованиям информационной безопасности, утверждаемыми в установленном порядке.
5. Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия СЗИ и СВТ требованиям информационной безопасности, несут ответственность за разглашение сведений, предоставляемых заявителями, либо полученных в ходе проведения подтверждения соответствия, в порядке, предусмотренном законодательством Республики Казахстан о государственных секретах.
Условия неразглашения предоставляемых сведений определяются в договоре, заключаемом между заявителем или собственником сведений и органом по подтверждению соответствия или испытательной лабораторией (центром), и в соответствии с законодательством Республики Казахстан о государственных секретах.
6. Конкретные перечни сведений,в том числе СЗИ и СВТ, составляющих государственные секреты Республики Казахстан, условия и порядок их передачи органу по подтверждению соответствия и/или испытательной лаборатории (центру) в целях проведения подтверждения соответствия СЗИ и СВТ, определяются в соответствии с законодательством Республики Казахстан о государственных секретах и указываются в договорах на проведение совместных секретных работ.
7. Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия используемых в государственных органах СЗИ и СВТ, должны иметь разрешение Комитета национальной безопасности Республики Казахстан на проведение работ с использованием сведений, составляющих государственные секреты Республики Казахстан.
8. Документальное удостоверение выдается в порядке, установленном законодательством Республики Казахстан о техническом регулировании.
2. Подтверждение соответствия СЗИ и СВТ
требованиям информационной безопасности
9. Под подтверждением соответствия СЗИ и СВТ требованиям информационной безопасности понимается процедура, результатом которой является документальное удостоверение соответствия СЗИ и СВТ требованиям информационной безопасности органом по подтверждению соответствия в виде декларации о соответствии или сертификата соответствия требованиям нормативных документов, согласованных и утвержденных в порядке, установленном законодательством Республики Казахстан о техническом регулировании.
10. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности проводится в соответствии с требованиями нормативных документов, устанавливающих параметры и методы проведения подтверждения соответствия и испытаний в зависимости от степени секретности обрабатываемой (хранимой) информации.
11. С учетом степени секретности обрабатываемой (хранимой) информации, данные из состава сертификатов соответствия СЗИ и СВТ требованиям информационной безопасности используются в установленном порядке для внесения в предписания на эксплуатацию СЗИ и СВТ (по требованиям информационной безопасности).
Пользователи СЗИ и СВТ, имеющих документальное удостоверение соответствия, обеспечивают выполнение действующих предписаний на эксплуатацию (по требованиям информационной безопасности). При этом рекомендуемый порядок создания СЗИ и СВТ, подлежащих обязательному подтверждению соответствия требованиям информационной безопасности, осуществляется согласно приложению к настоящим Правилам.
3. Порядок проведения работ по подтверждению
соответствия требованиям информационной безопасности
12. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности предусматривает следующую последовательность процедур:
подача заявителем в орган по подтверждению соответствия заявки о проведении обязательной сертификации СЗИ или СВТ с документами, подтверждающими соответствие установленным требованиям;
принятие органом по подтверждению соответствия решения по результатам рассмотрения заявки, в том числе, выбор схемы подтверждения соответствия;
заключение между органом по подтверждению соответствия и заявителем договора на проведение работ по обязательной сертификации;
проведение отбора и идентификации образца (образцов) заявленных СЗИ или СВТ;
проведение работ по обязательной сертификации в соответствии с согласованной схемой сертификации образца (образцов) заявленного СЗИ или СВТ;
анализ результатов испытаний;
принятие решения о возможности выдачи документального удостоверения;
регистрация документального удостоверения в установленном законодательством Республики Казахстан о техническом регулировании порядке и выдача его заявителю.
Каждая последующая процедура выполняется при положительных результатах предыдущей процедуры.
13. К заявке, в зависимости от типа заявленного СЗИ и СВТ и выбранной схемы сертификации, прилагаются следующие сопроводительные документы:
учредительные документы заявителя;
инвойс, контракт на поставку СЗИ и СВТ (при импорте);
накладная на предъявляемую партию образцов заявленного СЗИ и СВТ;
техническое описание СЗИ и СВТ, содержащее технические параметры, позволяющие идентифицировать СЗИ и СВТ и оценить соответствие СЗИ и СВТ установленным требованиям;
документ изготовителя, подтверждающий факт производства им заявляемого для обязательного подтверждения соответствия СЗИ и СВТ (в случае, если заявитель является продавцом);
о возможности отбора образцов для проведения испытаний;
оценка технических характеристик СЗИ или СВТ уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности (СЗИ) и уполномоченным органом в сфере информатизации (СВТ);
нормативные или технические документы, содержащие требования к подтверждаемым показателям СЗИ и СВТ, методы испытаний;
исходные коды программ, реализующих функции СЗИ и СВТ, в том числе, механизмы обработки и защиты информации.
Техническое описание СЗИ и СВТ должно содержать: наименование, назначение, комплектность СЗИ и СВТ, выполняемые ими функции; версию программного обеспечения (при наличии); электрические характеристики, характеристики радиоизлучения (для радиоэлектронных средств); условия применения в сети передачи данных общего пользования; схемы подключения к сети передачи данных общего пользования с указанием реализуемых интерфейсов и протоколов; сведения о наличии (отсутствии) встроенных средств криптографии (шифрования), приемников глобальных спутниковых навигационных систем; условия эксплуатации, включая климатические и механические требования, способы размещения, типы электропитания.
14. Заявка и сопроводительная документация к ней представляются на государственном, русском и/или английском языках. В случае наличия перевода с иностранного языка, заявителем должно быть представлено подтверждение его аутентичности.
В предоставляемой заявителем в орган по подтверждению соответствия нормативной и технической документации должно быть дано полное описание всех функций и механизмов обработки и защиты информации, реализованных в данной информационной системе.
15. Если заявка и (или) документы, приложенные к ней, не соответствуют требованиям, устанавливаемым пунктами 13 и 14 настоящих Правил, то они подлежат возврату вместе с решением по заявке с указанием обоснованных причин возврата в установленные сроки в соответствии с законодательством Республики Казахстан о техническом регулировании.
При отсутствии замечаний (после устранения замечаний) орган по подтверждению соответствия направляет заявителю решение по результатам рассмотрения заявки и создает комиссию для проведения подтверждения соответствия (далее - комиссия).
Принятие органом по подтверждению соответствия положительного решения по заявке является основанием для заключения договора на проведение работ по подтверждению соответствия.
16. При рассмотрении заявки устанавливается:
наличие учредительных документов заявителя;
соответствие заявителя требованиям, установленным законодательством Республики Казахстан о техническом регулировании;
полнота представленной документации.
17. В ходе предварительного рассмотрения заявки орган по подтверждению соответствия:
при необходимости может запросить у заявителя разъяснения по всем вопросам, представленным в заявке;
информирует заявителя о порядке и процедурах подтверждения соответствия, нормативных требованиях, на соответствие которым будут проводиться работы по подтверждению соответствия;
разъясняет заявителю, какие могут быть установлены ограничения при выдаче сертификата соответствия;
направляет заявителю письменное уведомление с перечнем недостатков, которые были обнаружены в ходе рассмотрения заявки, и рекомендации по их устранению;
отказывает заявителю в проведении работ по подтверждению соответствия. Причинами отказа могут быть:
представление документации, не соответствующей заявленным СЗИ и СВТ;
утрата силы нормативных или технических документов, содержащих требования к подтверждаемым показателям заявленного СЗИ или СВТ на момент подачи заявки;
отсутствие в нормативной или технической документации на заявленные СЗИ или СВТ методов испытаний, содержащих требования к показателям, подтверждаемым при проведении работ по подтверждению соответствия, или неполное их изложение;
несоответствие показателей, изложенных в нормативной или технической документации и подтверждаемых при проведении работ по подтверждению соответствия заявленного СЗИ или СВТ, требованиям нормативных документов.
В случае отказа в удовлетворении заявки орган по подтверждению соответствия вместе с решением в течение 10 дней официально направляет заявителю все представленные им документы. К решению прилагается мотивированный отказ в подтверждении соответствия заявленного СЗИ и СВТ требованиям информационной безопасности.
4. Проведение отбора и идентификации образцов СЗИ и СВТ
18. Отбор необходимого количества образцов (образца) заявленного СЗИ или СВТ, их идентификация и, если нормативными и техническими документами предусмотрены упаковка и маркировка, проверка их наличия и состояния осуществляются специалистом органа по подтверждению соответствия, работником испытательной лаборатории (центра) в присутствии представителя заявителя. По поручению органа по подтверждению соответствия отбор образцов может проводить компетентная комиссия из представителей незаинтересованных организаций, назначенная приказом заявителя.
Количество отбираемых образцов СЗИ или СВТ, методика их отбора, а также условия их транспортировки и хранения должны соответствовать требованиям нормативных документов по подтверждению соответствия на заявленные СЗИ или СВТ.
Отбор образцов СЗИ или СВТ оформляется актом в двух экземплярах. Результаты идентификации образцов СЗИ или СВТ заносятся в акт отбора.
При положительном результате отобранные образцы направляются в аккредитованную испытательную лабораторию (центр), определенную органом по подтверждению соответствия.
19. При отрицательном результате идентификации заявленные СЗИ или СВТ не подлежат подтверждению соответствия, о чем составляется акт в произвольной форме, который в течение 10 дней официально направляется заявителю. Образцы СЗИ или СВТ возвращаются заявителю.
5. Сертификационные испытания образцов СЗИ или СВТ
требованиям информационной безопасности
20. Сертификационные испытания требованиям информационной безопасности отобранных образцов заявленного СЗИ или СВТ согласно договору на выполнение работ по подтверждению соответствия производится аккредитованной в установленном порядке испытательной лабораторией (центром) согласно программе испытаний.
21. При подтверждении соответствия СЗИ или СВТ в форме проведения сертификации применяются следующие схемы сертификации:
схема N 2 - применяется при сертификации СЗИ или СВТ по заявке заявителя и предусматривает сертификационные испытания образцов, взятых у заявителя и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;
схема N 3 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает сертификационные испытания образцов, взятых у изготовителя, и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;
схема N 5 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает проведение сертификационных испытаний образцов, взятых у изготовителя, и контроль за возможностью изготовителя выпускать в течение срока действия сертификата соответствия СЗИ или СВТ, соответствующие установленным требованиям. Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется в течение всего срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 3 года;
схема N 7 - применяется для сертификации партии изготовленных СЗИ или СВТ по заявке изготовителя или заявителя и предусматривает сертификационные испытания образцов, взятых из этой партии. Сертификат соответствия выдается с указанием идентификационных признаков СЗИ или СВТ, входящих в представленную партию, и выдается сроком на 3 года.
Обязательное подтверждение соответствия в форме проведения сертификации СЗИ или СВТ должно осуществляться в течение 2 месяцев с даты заключения договора о проведении работ по подтверждению соответствия. При проведении подтверждения соответствия сложного оборудования СЗИ или СВТ срок может быть увеличен до 4 месяцев.
22. Сертификационные испытания проводятся аккредитованной в установленном порядке испытательной лабораторией (центром) с учетом вида СЗИ и СВТ на соответствие установленным в нормативной документации требованиям информационной безопасности.
23. По результатам испытаний образцов заявленного СЗИ или СВТ испытательной лабораторией (центром) составляется протокол по установленной в соответствии с законодательством Республики Казахстан о техническом регулировании форме, который подписывается всеми членами комиссии и официально направляется в орган по подтверждению соответствия.
Орган по подтверждению соответствия после получения документально оформленных результатов сертификационных испытаний в срок не более 10 дней принимает решение о выдаче или мотивированном отказе в выдаче сертификата соответствия.
6. Выдача документального удостоверения
24. При положительном решении орган по подтверждению соответствия оформляет документальное удостоверение и направляет копии установленного образца документального удостоверения в уполномоченный орган в области технического регулирования, уполномоченный государственный орган по защите государственных секретов и обеспечению информационной безопасности, уполномоченный орган в сфере информатизации и органы национальной безопасности.
25. После завершения процедур, предусмотренных выбранной схемой подтверждения соответствия требованиям информационной безопасности на конкретный тип СЗИ и СВТ органом по подтверждению соответствия выдается зарегистрированное документальное удостоверение на бланке, форма и порядок заполнения которого устанавливаются уполномоченным органом в области технического регулирования. В необходимых случаях копии документального удостоверения выдаются органом по подтверждению соответствия на бланке, форма и порядок заполнения которого устанавливаются уполномоченным органом.
Действие документального удостоверения начинается с даты его выдачи, указанной в реестре выданных документальных удостоверений.
26. Отказ в выдаче, приостановление или прекращение действия, отзыв или аннулирование документального удостоверения осуществляется в соответствии законодательством Республики Казахстан о техническом регулировании.
27. Держатель документального удостоверения указывает в паспорте и сопроводительной технической документации на СЗИ и СВТ сведения о зарегистрированных документальных удостоверениях, которые являются подтверждением того, что держатель документального удостоверения гарантирует соответствие СЗИ и СВТ установленным требованиям.
28. Приобретенное в период действия документального удостоверения СЗИ или СВТ может использоваться на всей территории Республики Казахстан в течение всего срока годности (службы) СЗИ или СВТ в соответствии с областью применения.
29. Держатель документального удостоверения:
обеспечивает соответствие установленным требованиям СЗИ или СВТ, на которые имеются зарегистрированные документальные удостоверения;
обеспечивает беспрепятственное выполнение своих полномочий представителями органа по подтверждению соответствия и лицами, выполняющими инспекционную проверку сертифицированных СЗИ или СВТ;
прекращает реализацию СЗИ или СВТ, если срок действия документального удостоверения истек, либо действие документального удостоверения прекращено или приостановлено.
30. Орган по подтверждению соответствия осуществляет инспекционную проверку сертифицированных СЗИ или СВТ, если это предусмотрено схемой сертификации.
Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется не реже одного раза в год.
Периодичность, сроки и объем инспекционной проверки определяются программой, согласованной органом по подтверждению соответствия и держателем документального удостоверения.
31. Орган по подтверждению соответствия оформляет по результатам инспекционной проверки заключение о соответствии или несоответствии СЗИ или СВТ установленным требованиям, о чем информирует держателя документального удостоверения.
Приложение
к Правилам обязательного подтверждения
соответствия информационных систем,
технических, программно-технических
и программных средств (изделий),
технических средств защиты информации
требованиям информационной безопасности
Рекомендуемый порядок
создания СЗИ и СВТ, подлежащих обязательному
подтверждению соответствия требованиям
информационной безопасности
1. Создание СЗИ и СВТ, подлежащих обязательному подтверждению соответствия требованиям информационной безопасности, включает следующие этапы:
разработка, согласование и утверждение технического задания на информационную систему;
разработка и утверждение проектно-сметной документации на информационную систему;
реализация согласованных проектных решений;
проведение конкурса на разработку информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
разработка информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
внедрение информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
приемка разработанной информационной системы администратором бюджетной программы в порядке, установленном законодательством Республики Казахстан о техническом регулировании;
проведение отраслевой оценки информационной системы уполномоченным органом в сфере информатизации и связи в соответствии с его нормативными документами.
2. Техническое задание и проектно-сметная документация на разработку СЗИ и СВТ требованиям информационной безопасности в обязательном порядке согласовывается с уполномоченным государственным органам по защите государственных секретов и обеспечению информационной безопасности, уполномоченным органом в сфере информатизации, органами национальной безопасности.