ПОЛОЖЕНИЕ
о сертификации средств защиты информации
(с изменениями на 21 апреля 2010 года)
1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации (абзац дополнен с 30 апреля 1999 года постановлением Правительства Российской Федерации от 29 марта 1999 года N 342; в редакции, введенной в действие с 31 декабря 2004 года постановлением Правительства Российской Федерации от 17 декабря 2004 года N 808, - см. предыдущую редакцию).
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются федеральные органы по сертификации) (абзац дополнен постановлением Правительства Российской Федерации от 23 апреля 1996 года N 509; в редакции, введенной в действие с 31 декабря 2004 года постановлением Правительства Российской Федерации от 17 декабря 2004 года N 808; в редакции, введенной в действие с 12 мая 2010 года постановлением Правительства Российской Федерации от 21 апреля 2010 года N 266, - см. предыдущую редакцию).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется - межведомственная комиссия).*
________________
* Функции Межведомственной комиссии по защите государственной тайны в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. N 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
2. Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители - продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты этими органами и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
3. Федеральный орган по сертификации в пределах своей компетенции:
создает системы сертификации;
осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
определяет центральный орган для каждой системы сертификации;
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;