ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РЕСПУБЛИКИ БЕЛАРУСЬ

15 мая 2013 г. № 375

Об утверждении технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY)

В соответствии с абзацем шестым статьи 8 Закона Республики Беларусь от 5 января 2004 года «О техническом нормировании и стандартизации» Совет Министров Республики Беларусь ПОСТАНОВЛЯЕТ:

Утвердить прилагаемый технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) и ввести его в действие с 1 января 2014 г.

 

Премьер-министр Республики Беларусь

М.Мясникович

 

 

УТВЕРЖДЕНО

Постановление
Совета Министров
Республики Беларусь

15.05.2013 № 375

Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY)

Статья 1. Область применения

1. Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) распространяется на выпускаемые в обращение на территории Республики Беларусь средства защиты информации независимо от страны происхождения, за исключением средств шифрованной, других видов специальной связи и криптографических средств защиты государственных секретов.

2. Настоящим техническим регламентом устанавливаются требования к средствам защиты информации в целях защиты жизни и здоровья человека, имущества, а также предупреждения действий, вводящих в заблуждение потребителей (пользователей) относительно назначения, информационной безопасности и качества средств защиты информации.

3. До введения в действие настоящего технического регламента в отношении средств защиты информации, подлежащих согласно законодательству обязательному подтверждению соответствия, применяются правила, установленные Национальной системой подтверждения соответствия Республики Беларусь.

Статья 2. Термины и их определения

В настоящем техническом регламенте применяются следующие термины и их определения:

государственная информационная система – информационная система, создаваемая и (или) приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц;

защита информации – комплекс правовых, организационных и технических мер по обеспечению целостности, конфиденциальности, доступности и сохранности информации;

заявитель на подтверждение соответствия (далее – заявитель) – юридическое лицо Республики Беларусь, иностранное или международное юридическое лицо (организация, не являющаяся юридическим лицом), индивидуальный предприниматель, зарегистрированный в Республике Беларусь, иностранный гражданин или лицо без гражданства, обратившиеся с заявкой на получение сертификата соответствия, либо изготовитель (продавец), обратившийся с заявкой о регистрации принятой им декларации о соответствии;

изготовитель (продавец) – юридическое лицо Республики Беларусь или индивидуальный предприниматель, осуществляющие производство и (или) реализацию средств защиты информации либо представляющие на основании договора интересы иностранного или международного юридического лица (организации, не являющейся юридическим лицом), осуществляющего производство и (или) реализацию средств защиты информации, или интересы иностранного гражданина либо лица без гражданства, постоянно проживающих за пределами Республики Беларусь и осуществляющих производство и (или) реализацию продукции, в части обеспечения соответствия производимой и (или) реализуемой ими продукции требованиям технических нормативных правовых актов в области технического нормирования и стандартизации, либо открытое в установленном порядке на территории Республики Беларусь представительство иностранной организации, осуществляющей производство и (или) реализацию продукции;

импортер – резидент Республики Беларусь, который заключил с нерезидентом Республики Беларусь внешнеторговый договор на передачу средств защиты информации, осуществляет их реализацию и несет ответственность за их соответствие требованиям информационной безопасности;

испытательная лаборатория (центр) – юридическое лицо, аккредитованное для проведения испытаний продукции в определенной области аккредитации;

критические параметры – параметры, связанные с обеспечением безопасности, несанкционированное раскрытие или модификация которых снижает безопасность средства защиты информации или защищаемой им информации;

носитель информации – материальный объект, в котором информация находит свое отображение и (или) хранится;

обращение средств защиты информации на рынке – движение средств защиты информации от изготовителя к потребителю (пользователю), охватывающее все процессы, которые проходят средства защиты информации после завершения их производства;

объект информатизации – средства электронной вычислительной техники вместе с программным обеспечением, в том числе автоматизированные системы различного уровня и назначения, вычислительные сети и центры, автономные стационарные и персональные электронные вычислительные машины, используемые для обработки информации;

применение по назначению – использование средств защиты информации в соответствии с назначением, указанным в эксплуатационных документах;

средства защиты информации – технические, программные, программно-аппаратные средства, предназначенные для защиты информации, а также средства контроля эффективности ее защищенности;

уполномоченный представитель изготовителя – резидент Республики Беларусь, назначенный изготовителем на осуществление действий от его имени при подтверждении соответствия и размещении средств защиты информации на рынке.

Статья 3. Правила размещения на рынке или ввода в эксплуатацию средств защиты информации

Средства защиты информации выпускаются в обращение на рынке в установленном порядке при их соответствии настоящему техническому регламенту, а также другим техническим регламентам, действие которых на них распространяется.

Средства защиты информации, соответствие которых требованиям настоящего технического регламента не подтверждено, не должны быть маркированы знаком соответствия техническому регламенту согласно ТКП 5.1.08-2012 «Национальная система подтверждения соответствия Республики Беларусь. Знаки соответствия. Описание и порядок применения» (далее – ТКП 5.1.08-2012) и не допускаются к выпуску в обращение на рынке.

Статья 4. Требования информационной безопасности

1. Средства защиты информации должны быть разработаны и изготовлены таким образом, чтобы, применяя их по назначению и выполняя требования к эксплуатации и техническому обслуживанию, они обеспечивали:

выполнение функций в соответствии с эксплуатационными документами;

защиту от несанкционированного раскрытия и (или) модификации критических параметров;

контроль целостности конфигурации;

самотестирование;

контроль доступа к функциям управления и настройкам;

сохранение работоспособности при обработке некорректных данных.

2. Наименование и (или) обозначение средств защиты информации (тип, марка, модель), их параметры и характеристики, наименование и (или) товарный знак изготовителя, наименование страны-изготовителя должны быть нанесены непосредственно на средства защиты информации либо их носители, а также указаны в прилагаемых к ним эксплуатационных документах.

3. Если сведения, приведенные в пункте 2 настоящей статьи, невозможно нанести непосредственно на средства защиты информации или их носители, то они могут указываться только в эксплуатационных документах, прилагаемых к средствам защиты информации. При этом наименование изготовителя и (или) его товарный знак, наименование и обозначение средств защиты информации (тип, марка, модель) должны быть нанесены на упаковку.

4. Маркировка средств защиты информации должна быть разборчивой и нанесена на доступную для осмотра поверхность средств защиты информации или их носители.

5. Эксплуатационные документы средств защиты информации должны включать:

информацию, перечисленную в пункте 2 настоящей статьи;

информацию о назначении средств защиты информации;

основные потребительские свойства или характеристики;

правила и условия безопасной эксплуатации (использования);

правила и условия хранения, перевозки, реализации, монтажа и утилизации (при необходимости установления требований к ним);

информацию о мерах, которые следует предпринять при обнаружении неисправности;

местонахождение изготовителя, информацию для связи с ним;

наименование и местонахождение уполномоченного представителя изготовителя, импортера, информацию для связи с ним;

дату изготовления средств защиты информации;

обязательства изготовителя (уполномоченного представителя изготовителя) по установке, сопровождению и поддержке средств защиты информации.

6. Маркировка и эксплуатационные документы выполняются на государственных языках Республики Беларусь – белорусском и (или) русском.

Статья 5. Обеспечение соответствия требованиям информационной безопасности

1. Соответствие средств защиты информации настоящему техническому регламенту обеспечивается выполнением требований информационной безопасности технического регламента непосредственно либо выполнением требований взаимосвязанных государственных стандартов.

2. Перечень взаимосвязанных с настоящим техническим регламентом государственных стандартов (далее – перечень стандартов) определяет Оперативно-аналитический центр при Президенте Республики Беларусь.

3. Методы исследований (испытаний) средств защиты информации устанавливаются в государственных стандартах, включенных в перечень стандартов, содержащих правила и методы исследований (испытаний), в том числе правила отбора образцов, необходимые для применения и исполнения требований настоящего технического регламента и осуществления оценки (подтверждения) соответствия продукции.

Статья 6. Подтверждение соответствия требованиям информационной безопасности

1. Процедуры подтверждения соответствия средств защиты информации требованиям информационной безопасности выполняются согласно требованиям Национальной системы подтверждения соответствия Республики Беларусь.

2. Перед выпуском в обращение на рынке средства защиты информации должны быть подвергнуты процедуре подтверждения соответствия требованиям информационной безопасности настоящего технического регламента в форме сертификации или декларирования соответствия.

3. Подтверждению соответствия требованиям информационной безопасности настоящего технического регламента путем сертификации подлежат средства защиты информации, которые будут использоваться для:

технической защиты государственных секретов;

создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

создания систем безопасности критически важных объектов информатизации;

обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Требования информационной безопасности настоящего технического регламента, на соответствие которым осуществляется сертификация, определяются Оперативно-аналитическим центром при Президенте Республики Беларусь в зависимости от специфики средств защиты информации.

4. Подтверждение соответствия требованиям информационной безопасности настоящего технического регламента средств защиты информации, за исключением указанных в пункте 3 настоящей статьи, осуществляется изготовителем – юридическим лицом Республики Беларусь или уполномоченным представителем изготовителя, зарегистрированным в установленном порядке на территории Республики Беларусь, или импортером путем декларирования соответствия.

5. Сертификацию средств защиты информации, указанных в пункте 3 настоящей статьи, проводит аккредитованный орган по сертификации согласно схемам:

схема 1с – для серийно выпускаемой продукции;

схема 2с – для серийно выпускаемой продукции при наличии у изготовителя сертифицированных в Национальной системе подтверждения соответствия Республики Беларусь системы управления качеством и (или) системы управления безопасностью продукции;

схема 3с – для партии продукции;

схема 4с – для единичного изделия.

6. Средства защиты информации для подтверждения соответствия представляет заявитель.

7. При проведении аккредитованным органом по сертификации работ по подтверждению соответствия средств защиты информации, указанных в пункте 3 настоящей статьи:

7.1. аккредитованный орган по сертификации:

проводит анализ документов, представленных заявителем;

заключает договор на проведение работ по подтверждению соответствия;

проводит идентификацию средств защиты информации и отбор образцов для испытаний;

организует проведение испытаний образца (образцов) средств защиты информации в аккредитованной испытательной лаборатории на соответствие требованиям настоящего технического регламента и взаимосвязанных с настоящим техническим регламентом государственных стандартов (при сертификации на соответствие СТБ 34.101.1-2004 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (далее – СТБ 34.101.1-2004), СТБ 34.101.2-2004 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» (далее – СТБ 34.101.2-2004), СТБ 34.101.3-2004 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности» (далее – СТБ 34.101.3-2004) в качестве основы для оценки средств защиты информации используется задание по безопасности);

проводит анализ состояния производства (схема 1с) или рассмотрение документов, подтверждающих наличие сертифицированных в Национальной системе подтверждения соответствия Республики Беларусь системы управления качеством и (или) системы управления безопасностью продукции (схема 2с);

выдает сертификат соответствия настоящему техническому регламенту в рамках Национальной системы подтверждения соответствия Республики Беларусь;

заключает с заявителем соглашение по сертификации (схемы 1с, 2с);

осуществляет инспекционный контроль за сертифицированной продукцией (схемы 1с, 2с);

7.2. заявитель:

подает заявку на проведение работ по сертификации продукции с комплектом документов, который включает:

технические условия (при наличии);

задание по безопасности и протокол его оценки в испытательной лаборатории (при сертификации на соответствие требованиям СТБ 34.101.1-2004, СТБ 34.101.2-2004, СТБ 34.101.3-2004);

эксплуатационные документы;

перечень взаимосвязанных с настоящим техническим регламентом государственных стандартов, требованиям которых соответствует средство защиты информации (при их применении изготовителем);

протокол (протоколы) испытаний, проведенных в аккредитованных испытательных лабораториях;

копии сертификатов на систему управления качеством и (или) систему управления безопасностью продукции (при наличии);

заключает договор на проведение работ по сертификации продукции;

предоставляет продукцию для проведения идентификации (схемы 1с, 2с, 3с, 4с) и отбора образцов для испытаний (схемы 1с, 3с);

создает условия для проведения анализа состояния производства (схема 1с);

заключает с аккредитованным органом по сертификации соглашение по сертификации (схемы 1с, 2с);

создает условия для проведения инспекционного контроля за сертифицированной продукцией (схемы 1с, 2с);

7.3. аккредитованная испытательная лаборатория:

заключает договор на проведение испытаний;

проводит испытания продукции.

Аккредитованный орган по сертификации имеет право запросить дополнительную техническую (конструкторскую) документацию (тексты и описания программных средств, методики и программы испытаний, спецификации, сборочные чертежи, чертежи сборочных единиц и деталей, электрические схемы или иные документы, согласно которым изготавливается средство защиты информации), необходимую для подтверждения соответствия средства защиты информации требованиям информационной безопасности настоящего технического регламента.

8. Подтверждение соответствия средств защиты информации, указанных в пункте 4 настоящей статьи, проводится путем декларирования соответствия по одной из схем:

при принятии заявителем декларации о соответствии на основании собственных доказательств:

схема 1д – для серийно выпускаемой продукции;

схема 2д – для партии продукции (единичного изделия);

при принятии заявителем декларации о соответствии на основании собственных доказательств и доказательств, полученных с участием аккредитованного органа по сертификации и (или) аккредитованной испытательной лаборатории:

схема 3д – для серийно выпускаемой продукции;

схема 4д – для партии продукции (единичного изделия);

схема 6д – для серийно выпускаемой продукции при наличии у изготовителя сертифицированных в Национальной системе подтверждения соответствия Республики Беларусь системы управления качеством и (или) системы управления безопасностью продукции.

Применяя указанные схемы:

8.1. аккредитованный орган по сертификации:

заключает договор на проведение работ по подтверждению соответствия (регистрация декларации о соответствии);

проводит анализ представленной заявителем декларации о соответствии;

регистрирует декларацию о соответствии;

8.2. заявитель:

формирует документы, подтверждающие соответствие продукции установленным требованиям и правомочность принятия декларации о соответствии;

осуществляет контроль в процессе производства продукции (схемы 1д, 3д, 6д);

проводит испытания продукции (схемы 1д, 2д, 6д);

принимает декларацию о соответствии;

предоставляет продукцию для испытаний (схемы 3д, 4д, 6д);

подает заявление на регистрацию декларации о соответствии;

заключает договор на проведение работ по подтверждению соответствия (регистрация декларации о соответствии) (схемы 1д, 2д, 3д, 4д, 6д) и испытаний (схемы 3д, 4д, 6д);

8.3. аккредитованная испытательная лаборатория:

заключает договор на проведение испытаний (схемы 3д, 4д, 6д);

проводит испытания продукции (схемы 3д, 4д, 6д).

9. Изготовитель осуществляет производственный контроль и принимает все необходимые меры, для того чтобы процесс производства обеспечивал соответствие средств защиты информации требованиям настоящего технического регламента.

Требования к процессам производства и контроля, а также результаты их контроля должны быть оформлены документально.

10. На территории Республики Беларусь должен храниться комплект документов на:

средства защиты информации – у изготовителя (уполномоченного изготовителем лица) в течение не менее 10 лет со дня снятия с производства (прекращения производства) средств защиты информации;

партию средств защиты информации – у импортера в течение не менее 10 лет со дня реализации последнего изделия из партии.

Комплект документов должен предоставляться органам государственного надзора по их требованию согласно законодательству.

Статья 7. Маркировка знаком соответствия

1. Средства защиты информации, соответствующие требованиям информационной безопасности и прошедшие процедуру подтверждения соответствия согласно статье 6 настоящего технического регламента, должны маркироваться знаком соответствия техническому регламенту согласно ТКП 5.1.08-2012.

2. Маркировка средств защиты информации знаком соответствия техническому регламенту осуществляется перед их выпуском в обращение на рынке.

3. Знак соответствия техническому регламенту наносится любым способом, обеспечивающим четкое и ясное изображение в течение всего срока службы средств защиты информации, на:

каждую единицу технических и программно-аппаратных средств защиты информации;

каждый носитель информации программных средств защиты информации;

упаковку.

4. Маркировка средств защиты информации знаком соответствия техническому регламенту свидетельствует о соответствии данных средств требованиям всех технических регламентов, распространяющих на них свое действие и предусматривающих нанесение этого знака соответствия.

Статья 8. Государственный надзор за соблюдением настоящего технического регламента

Государственный надзор за соблюдением настоящего технического регламента осуществляется в порядке, установленном законодательством.