ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ

26 августа 2013 г. № 60

Об утверждении Положения о порядке проведения государственной экспертизы средств технической и криптографической защиты информации

В соответствии с Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации.

2. Настоящий приказ вступает в силу с 19 октября 2013 г.

 

Первый заместитель начальника

В.А.Рябоволов

 

 

УТВЕРЖДЕНО

Приказ
Оперативно-аналитического
центра при Президенте
Республики Беларусь

26.08.2013 № 60

ПОЛОЖЕНИЕ
о порядке проведения государственной экспертизы средств технической и криптографической защиты информации

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящим Положением, разработанным в соответствии с Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) и Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» (Национальный правовой Интернет-портал Республики Беларусь, 18.04.2013, 1/14225), определяется порядок проведения государственной экспертизы средств технической и криптографической защиты информации, за исключением криптографических средств защиты государственных секретов.

2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом Республики Беларусь «Об информации, информатизации и защите информации» и Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196, а также следующие термины и их определения:

государственная экспертиза (далее – экспертиза) средств технической и криптографической защиты информации (далее, если не установлено иное, – продукция) – оценка соответствия продукции требованиям по технической и криптографической защите информации, которые техническими нормативными правовыми актами Республики Беларусь (далее – ТНПА) не установлены, в целях подготовки экспертного заключения по использованию (применению) данной продукции;

заявитель – юридическое лицо, в том числе иностранное, или индивидуальный предприниматель, обратившиеся с заявкой на проведение экспертизы продукции;

объекты экспертизы – продукция, предназначенная для использования в целях технической и криптографической защиты информации, за исключением криптографических средств защиты государственных секретов;

образец продукции – единица конкретной продукции, используемая при проведении экспертизы;

типовые образцы продукции – образцы однотипной продукции (продукции одного модельного ряда), изготовленные по однотипным принципиальным схемам и типовой технологии, одинакового конструктивного исполнения и соответствующие одним и тем же требованиям по технической и криптографической защите информации;

эксперт – квалифицированный специалист, обладающий специальными знаниями, применяемыми в процессе проведения экспертизы продукции.

3. Экспертиза продукции проводится Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – орган государственной экспертизы).

4. Экспертиза средств криптографической защиты информации проводится на соответствие требованиям по криптографической защите информации, содержащимся в документации изготовителя и (или) определяемым органом государственной экспертизы.

Экспертиза средств технической защиты информации проводится на соответствие всем требованиям по технической защите информации, содержащимся в документации изготовителя и (или) определяемым органом государственной экспертизы.

5. Экспертиза продукции проводится по инициативе заявителя. Для проведения экспертизы средств криптографической защиты информации заявитель по согласованию с органом государственной экспертизы определяет требования, на соответствие которым проводится экспертиза.

6. Для оценки продукции заявленным требованиям проводятся испытания в органе государственной экспертизы или в испытательной лаборатории (центре), определяемой органом государственной экспертизы (далее, если не установлено иное, – испытательная организация).

7. При проведении экспертизы продукции заявитель и орган государственной экспертизы несут ответственность за соблюдение конфиденциальности полученной информации в соответствии с законодательством.

8. Экспертиза продукции проводится на основании договора, который заключается между заявителем и органом государственной экспертизы. Оплата работ по проведению экспертизы продукции осуществляется заявителем с учетом типовых норм трудоемкости работ по экспертизе, утверждаемых органом государственной экспертизы.

9. Экспертиза продукции отечественного и иностранного производства проводится в порядке, установленном настоящим Положением.

10. Экспертиза продукции включает следующие этапы:

подача заявителем заявки на проведение экспертизы с прилагаемыми документами;

анализ органом государственной экспертизы заявки и прилагаемых к ней документов;

принятие органом государственной экспертизы решения по заявке;

заключение договора между органом государственной экспертизы и заявителем на проведение экспертизы;

проведение органом государственной экспертизы идентификации продукции и отбора образцов для испытаний;

согласование испытательной лабораторией (центром) методики проведения испытаний продукции с органом государственной экспертизы;

проведение испытательной организацией испытаний образцов продукции;

принятие органом государственной экспертизы решения о выдаче экспертного заключения;

выдача заявителю экспертного заключения.

Каждый последующий этап экспертизы реализуется при положительных результатах предыдущего.

ГЛАВА 2
ПОДАЧА ЗАЯВКИ И ПРИНЯТИЕ РЕШЕНИЯ О ПРОВЕДЕНИИ ЭКСПЕРТИЗЫ

11. Для проведения экспертизы продукции заявитель направляет заявку в орган государственной экспертизы по форме согласно приложению 1 к настоящему Положению.

12. К заявке прилагаются:

конструкторская, технологическая и программная документация изготовителя на продукцию, в том числе документация, содержащая описание всех функций по технической и криптографической защите информации, реализованных в продукции, и описание структуры используемых файлов, включенных в состав продукции (при ее наличии);

документ с описанием требований по технической и криптографической защите информации;

документы, подтверждающие наличие в Республике Беларусь организации или индивидуального предпринимателя, обеспечивающих гарантийное и послегарантийное обслуживание и ремонт продукции, поставляемой в соответствии с договором, либо копия договора заявителя с такой организацией или с индивидуальным предпринимателем;

копии протоколов испытаний, экспертные заключения, сертификаты соответствия на используемые программные, программно-аппаратные, технические компоненты продукции (при их наличии);

копии товаросопроводительных документов на продукцию.

Прилагаемые к заявке документы, в том числе копии, должны быть заверены подписью и печатью заявителя.

Указанные в части первой настоящего пункта документы представляются на языке оригинала вместе с их переводом на один из государственных языков Республики Беларусь.

13. В течение четырнадцати рабочих дней после регистрации заявки орган государственной экспертизы проводит анализ заявки и прилагаемых к ней документов, в том числе проверку правильности заполнения заявки и достаточности представленных документов.

14. Анализ документов, представленных с заявкой на экспертизу, проводится путем оценки документации и предусматривает:

определение соответствия представленных документов требованиям ТНПА и других документов, устанавливающих требования к продукции;

определение достаточности представленных документов и полноты их содержания для принятия решения о проведении экспертизы;

определение достаточности и обоснованности требований по технической и криптографической защите информации, на соответствие которым будет проводиться экспертиза продукции;

определение достоверности документов, дающих полное представление о функциональных возможностях продукции.

15. При отрицательных результатах анализа заявки заявителю сообщается о необходимости представления дополнительной информации или об отказе в принятии заявки.

Отказ в принятии заявки не препятствует повторному обращению с ней после устранения недостатков, явившихся причиной отказа.

16. При соответствии заявки установленной форме и достаточности представленных документов заявителю направляется решение о проведении экспертизы продукции, а также проект договора на проведение экспертизы.

17. Решение должно содержать все основные условия проведения экспертизы продукции, в том числе:

указания по отбору образцов продукции;

перечень документов, на соответствие требованиям которых проводится экспертиза;

наименование испытательной организации и ее местонахождение;

перечень дополнительных документов для представления заявителем (при необходимости);

условия оплаты работ по проведению экспертизы продукции.

ГЛАВА 3
ИДЕНТИФИКАЦИЯ, ОТБОР ОБРАЗЦОВ И ПРОВЕДЕНИЕ ИСПЫТАНИЙ ПРОДУКЦИИ

18. Отбор образцов продукции для испытаний осуществляется уполномоченным экспертом органа государственной экспертизы. Отбор образцов продукции осуществляется в присутствии заявителя или его уполномоченного представителя.

19. Одновременно с отбором образцов продукции проводится идентификация продукции.

Идентификация продукции предусматривает проверку соответствия представленной на экспертизу продукции требованиям, предъявляемым к данному виду (типу) продукции:

наименование продукции;

наименование и местонахождение изготовителя;

серийный номер (при наличии);

контрольная характеристика (хэш-значение) (при возможности вычисления);

объем представленной партии;

срок хранения;

вид упаковки (тары);

иная информация, указанная в товаросопроводительных документах.

Методы и средства, используемые для идентификации продукции, определяются органом государственной экспертизы.

20. Результаты отбора и идентификации образцов продукции отражаются в акте отбора образцов по форме согласно приложению 2 к настоящему Положению.

Акт отбора образцов оформляется в трех экземплярах: по одному для органа государственной экспертизы, заявителя и испытательной организации.

21. При испытаниях продукции используются программы и методики испытаний, согласованные с органом государственной экспертизы. Типовые образцы продукции могут проходить экспертизу по одним и тем же методикам испытаний по согласованию с органом государственной экспертизы.

Для проведения испытаний органом государственной экспертизы может быть привлечено несколько испытательных организаций.

22. Испытания продукции проводятся на основании договоров.

Договор с испытательной организацией на проведение испытаний заключается заявителем или органом государственной экспертизы.

23. Проведение испытаний в испытательной лаборатории (центре) заявителя осуществляется в присутствии эксперта органа государственной экспертизы.

24. Заявитель представляет в испытательную организацию отобранные в установленном порядке образцы (образец) продукции, документацию на нее (при необходимости) и акт отбора образцов.

25. Протоколы испытаний оформляются в количестве экземпляров, равном количеству заинтересованных сторон, и направляются в орган государственной экспертизы и заявителю независимо от результатов испытаний.

26. Образцы продукции после проведения испытаний подлежат возврату заявителю.

ГЛАВА 4
ПРИНЯТИЕ РЕШЕНИЯ О ВЫДАЧЕ ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ

27. По результатам проведенных работ орган государственной экспертизы принимает решение о выдаче либо об отказе в выдаче экспертного заключения.

При отрицательных результатах испытаний экспертиза продукции прекращается (в случае, если проведение корректирующих мероприятий по устранению несоответствий, вызвавших отрицательные результаты испытаний, невозможно) либо приостанавливается (в случае, если проведение таких корректирующих мероприятий возможно). Заявителю направляется решение с обоснованием отказа от дальнейшего проведения экспертизы. Возможность возобновления работ и их объем определяются органом государственной экспертизы в каждом конкретном случае.

Если заявитель в установленные сроки не может устранить выявленные недостатки, орган государственной экспертизы принимает решение об отказе в выдаче экспертного заключения, о чем в пятидневный срок письменно информирует заявителя с указанием причин отказа.

28. При положительных результатах испытаний орган государственной экспертизы в течение четырнадцати рабочих дней со дня получения протокола испытаний оформляет и выдает заявителю экспертное заключение.

Если испытания продукции по отдельным требованиям проводились в разных испытательных организациях, экспертное заключение выдается при наличии всех необходимых протоколов с положительными результатами испытаний.

Протоколы испытаний продукции могут учитываться органом государственной экспертизы при проведении экспертизы типовых образцов продукции, изготовленных одним и тем же производителем, при отсутствии изменений требований, ранее оцененных в ходе экспертизы. Протоколы испытаний продукции могут применяться в течение двух лет при проведении экспертизы той же продукции данного изготовителя при отсутствии изменений в составе и (или) технологии производства продукции, влияющих на ее соответствие требованиям по технической и криптографической защите информации, предъявленным при проведении экспертизы.

29. В экспертном заключении отражаются результаты проведения экспертизы продукции, в том числе:

основание и предмет проведения экспертизы;

перечень требований по технической и криптографической защите информации, на соответствие которым проводилась экспертиза продукции;

перечень продукции, представленной на экспертизу (в соответствии с актом отбора образцов);

результаты экспертизы продукции;

выводы по результатам экспертизы продукции;

требования, обязательные для выполнения при использовании (применении) продукции;

регистрационный номер, дата выдачи, срок действия экспертного заключения.

30. Экспертное заключение может иметь приложение, содержащее информацию по использованию (применению) продукции (требования, обязательные для выполнения, рекомендации, предложения и другую информацию о порядке использования (применения) и дополнительных мерах по защите информации).

31. Экспертное заключение подписывается уполномоченным представителем органа государственной экспертизы, утверждается руководителем органа государственной экспертизы или его уполномоченным заместителем и заверяется гербовой печатью.

32. Срок действия экспертного заключения на продукцию составляет:

для средств криптографической защиты информации – пять лет;

для средств технической защиты информации – два года.

33. Документы, подтверждающие результаты экспертизы, хранятся в органе государственной экспертизы, выдавшем экспертное заключение, в течение пяти лет после окончания срока действия такого заключения.

34. Орган государственной экспертизы ведет реестр продукции, прошедшей экспертизу и имеющей экспертное заключение (далее – реестр).

Содержащиеся в реестре сведения о заявителях (наименование и место нахождения юридического лица, иностранной организации; фамилия, собственное имя, отчество индивидуального предпринимателя), а также о выданных им экспертных заключениях (регистрационный номер; дата внесения в реестр; срок действия; наименование продукции; наименование документа, на соответствие требованиям которого проводилась экспертиза продукции) размещаются органом государственной экспертизы в глобальной компьютерной сети Интернет на официальном сайте этого органа.

ГЛАВА 5
ПРИОСТАНОВЛЕНИЕ ИЛИ ОТМЕНА ДЕЙСТВИЯ ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ

35. Решение о приостановлении или об отмене действия экспертного заключения принимается органом государственной экспертизы в случае:

изменений продукции, конструкторской, технологической или программной документации на продукцию, технологического процесса изготовления продукции, которые могут вызвать несоответствие требованиям по технической и криптографической защите информации, предъявленным при экспертизе;

недоведения владельцем экспертного заключения требований по использованию (применению) продукции, отраженных в экспертном заключении и (или) приложении к нему, до пользователей продукции;

обнаружения уязвимостей в продукции, не позволяющих обеспечивать требования по технической и криптографической защите информации, предъявленные при экспертизе продукции;

предъявления потребителем обоснованных претензий к качеству продукции.

При этом орган государственной экспертизы информирует владельца экспертного заключения о выявленных недостатках и приостановлении или об отмене действия экспертного заключения.

36. Решение о приостановлении действия экспертного заключения принимается в том случае, если путем выполнения мероприятий по устранению выявленных несоответствий, согласованных с органом государственной экспертизы, владелец экспертного заключения может устранить обнаруженные причины несоответствия и подтвердить без повторных испытаний в испытательной организации соответствие продукции требованиям по технической и криптографической защите информации. Действие экспертного заключения возобновляется по решению органа государственной экспертизы после устранения владельцем экспертного заключения выявленных недостатков.

37. Решение об отмене действия экспертного заключения принимается в случае несоответствия продукции, прошедшей экспертизу, требованиям по технической и криптографической защите информации, на соответствие которым проводилась экспертиза, а также при невыполнении владельцем экспертного заключения мероприятий по устранению выявленных несоответствий в установленный органом государственной экспертизы срок.

ГЛАВА 6
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

38. При реализации продукции, прошедшей экспертизу, владелец экспертного заключения обязан информировать пользователя продукции о требованиях по использованию (применению) данной продукции, отраженных в экспертном заключении и (или) приложении к нему.

39. При внесении изменений в состав и (или) технологию производства продукции, которые могут повлиять на ее соответствие требованиям по технической и криптографической защите информации, предъявленным при проведении экспертизы, владелец экспертного заключения обязан в течение десяти рабочих дней известить об этом орган государственной экспертизы. При необходимости данный орган в течение четырнадцати рабочих дней принимает решение об отмене действия экспертного заключения и информирует об этом владельца данного заключения.

40. При наличии спорных вопросов по результатам испытаний продукции в испытательной лаборатории (центре) заявитель подает жалобу в орган государственной экспертизы. В течение десяти рабочих дней со дня получения жалобы орган государственной экспертизы рассматривает ее и при необходимости принимает решение о проведении повторных испытаний продукции, к которым может быть привлечено несколько испытательных лабораторий (центров).

41. Действия органа государственной экспертизы, связанные с проведением экспертизы продукции, могут быть обжалованы в судебном порядке.

 


 

 

Приложение 1

к Положению о порядке
проведения государственной
экспертизы средств технической
и криптографической защиты информации

 

Форма

ЗАЯВКА
на проведение государственной экспертизы продукции

1. ____________________________________________________________________________

(наименование заявителя)

юридический адрес ____________________________________________________________

банковские реквизиты __________________________________________________________

код УНП _______________, телефон _________________, факс _______________________

в лице _______________________________________________________________________

(должность, ФИО руководителя организации-заявителя)

заявляет, что __________________________________________________________________

(наименование продукции, код ОКП РБ, код ТН ВЭД)

изготовленная _________________________________________________________________

(наименование, адрес изготовителя)

товаросопроводительный документ _______________________________________________

(товаросопроводительный документ и объем партии)

по ___________________________________________________________________________

(обозначение и наименование документации изготовителя (ТУ, стандарт и т.п.)

соответствует требованиям ______________________________________________________

(обозначение и наименование документов)

и просит провести государственную экспертизу данной продукции на соответствие требованиям указанных документов.

2. Обязуюсь:

выполнять все условия проведения государственной экспертизы;

оплатить все расходы по проведению государственной экспертизы;

обеспечивать соответствие продукции, прошедшей государственную экспертизу, требованиям по технической и криптографической защите информации, указанным в экспертном заключении.

 

Приложение:

 

Руководитель организации

____________

_________________________

 

(подпись)

(фамилия, инициалы)

Главный бухгалтер

____________

_________________________

 

(подпись)

(фамилия, инициалы)

__. __.20__

М.П.

 

 

 

 

Приложение 2

к Положению о порядке
проведения государственной
экспертизы средств технической
и криптографической защиты информации

 

Форма

 

______________________________________________________________________________

(наименование органа государственной экспертизы)

АКТ
отбора образцов продукции

от __ _______________ 20__ г.

На ___________________________________________________________________________

(местонахождение груза, наименование организации-заявителя)

мною, ________________________________________________________________________

(фамилия, инициалы эксперта органа государственной экспертизы)

в присутствии _________________________________________________________________

(фамилия, инициалы представителя заявителя)

отобраны образцы _____________________________________________________________

(наименование продукции, код ОКП РБ)

изготовленной (поставленной) ___________________________________________________

(наименование изготовителя (поставщика)

для оценки соответствия требованиям ____________________________________________

(наименование и обозначение документов)

Отбор образцов произведен в соответствии с требованиями __________________________

______________________________________________________________________________

(наименование и обозначение ТНПА)

 


п/п

Наименование образцов проверяемой продукции, ее реквизиты (изготовитель, штриховой код, хэш-значение и др.)

Единица измерения

Размер партии

Дата изготовления (конечный срок реализации, номер изделия и т.п.)

Количество отобранных образцов

 

 

 

 

 

 

 

Результаты внешнего осмотра ___________________________________________________

Информация об идентификации продукции ________________________________________

Упаковка _____________________________________________________________________

Условия и место хранения ______________________________________________________

 

Эксперт

___________

_______________________________

 

(подпись)

(фамилия, имя, отчество)

Представитель заявителя

___________

_______________________________

 

(подпись)

(фамилия, имя, отчество)