- •Криптографічний захист інформації
- •1. Законодавча та нормативна база сертифікації засобів кзі
- •2. Основні поняття, терміни, їх визначення та скорочення мають такі значення:
- •3. Основні принципи, загальні правила та організаційна структура Української державної системи сертифікації продукції - Система сертифікації УкрСепро
- •4. Органи із сертифікації та випробувальні лабораторії засобів кзі
- •5. Порядок підготовки і проведення сертифікації засобів кзі
- •6. Перелік сертифікаційних лабораторій, що мають ліцензію на проведення оцінки криптозахисту систем
- •7. Сертифіковані засоби криптографічного захисту інформації:
- •8. Додатки, заявки, рішення
- •Заявка на проведення сертифікації засобів кз і в Системі сертифікації УкрСепро (Додаток 5)
- •Рішення за заявкою на проведення сертифікації засобів кзі (Додаток 6)
- •Орієнтовний перелік документів та матеріалів, необхідних для проведення сертифікації засобів криптографічного захисту інформації
- •9. Законодавча та нормативна база сертифікації засобів забезпечення тзі загального призначення
- •10. Терміни та визначення у сфері сертифікації засобів забезпечення тзі загального призначення
- •11. Основні принципи, загальні правила та організаційна структура Української державної систем и сертифікації продукції
- •12. Органи із сертифікації та випробувальні лабораторії засобів забезпечення тзі загального призначення
- •13.Порядок підготовки та проведення сертифікації засобів забезпечення тзі загального призначення
- •14. Перелік випробувальних лабораторій, що мають право на проведення випробувань з метою сертифікації
- •Засоби забезпечення тзі, на які одержано експертний висновок
- •16. Перелік засобів забезпечення технічного захисту інформації загального призначення, на які дстсзі сб України погоджено
- •Перелік
- •Засоби, на які дстсзі сб України погоджено технічні умови
- •Адреса)
- •II. Іноземного виробництва*
- •Адреса)
4. Органи із сертифікації та випробувальні лабораторії засобів кзі
Згідно з Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22.05.98 № 505/98, Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ) є державною установою України, яка організовує всі роботи, пов'язані із сертифікацією засобів КЗІ на відповідність до вимог із забезпечення безпеки інформації.
Орган із сертифікації засобів КЗІ (ОС КЗІ) утворено в структурі ДСТСЗІ згідно зі спільним наказом Служби безпеки України та Комітету України з питань стандартизації, метрології та сертифікації від 24.09 99 № 202/213. Згідно зі спільним наказом Служби безпеки України та Державного комітету стандартизації, метрології та сертифікації України від 6 грудня 2000 р. № 247/695 змінено назву ОС КЗІ на "Орган із сертифікації засобів захисту інформації ДСТСЗІ СБ України (далі - ОС ЗЗІ)".
ОС ЗЗІ акредитовано Національним агентством з акредитації України в Системі УкрСЕПРО -атестат акредитації № UA 4.001.112 від 27.12.02 р. дійсний до 26.12.05 р.
ОС ЗЗІ є незалежним від розробників, виробників, постачальників та споживачів засобів КЗІ у галузі акредитації, яка закріплена за ним, що сприяє неможливості чинення на його співробітників тиску, який спроможний вплинути на їх висновки чи результати робіт.
Галузь акредитації ОС ЗЗІ включає засоби криптографічного захисту інформації - криптографічні системи, апаратні, програмні, апаратно-програмні або інші засоби, що призначаються для реалізації КЗІ, у тому числі й ті, що використовуються для генерації, виготовлення і тестування криптографічних ключів.
Роботи із сертифікації проводяться на підставі договорів, укладених ОС ЗЗІ з організаціями і підприємствами.
ОС ЗЗІ на договірній основі проводить:
роботи із сертифікації засобів КЗІ;
роботи з обстеження та атестації виробництва засобів КЗІ, що сертифікуються;
технічний нагляд за виробництвом сертифікованих засобів; -
визнання сертифікатів відповідності.
4
Основні функції ОС ЗЗІ визначаються Положенням про Орган із сертифікації ЗЗІ.
За станом на січень 2003 року в Системі УкрСЕПРО акредитовано такі випробувальні лабораторії:
МП "Дина" ТОВ, атестат акредитації № UA 6.001 Т.594 від 30.03.2000 дійсний до 29.03.2003;
AT "Інститут інформаційних технологій", атестат акредитації № UA 6.001.Т.685 від 22.09.2000 дійсний до 21.09.2003;
Харьківский державний технічний університет радіоелектроніки, атестат акредитації № UA 6.001.Т.767 від 22.09.2000 дійсний до 21.09.2003;
ВЛ "Сайфер", атестат акредитації № UA 6.001.T784 від 15.02.2001 дійсний до 14.02.2004;
ТОВ "АЛЬТАІР-775" атестат акредитації № UA 6.001.Т. 142 від 05.06.2001 дійсний до 04.06.2004;
Випробувальний центр безпеки інформаційних систем та засобів криптографічного захисту інформації військової частини А1906, атестат акредитації № UA 6.001.T.348 від 02.08.2002 дійсний до 01.08.2005.
Випробувальні лабораторії (центри) засобів КЗІ в Системі УкрСЕПРО виконують такі функції:
за дорученням органу із сертифікації засобів ЗЗІ проводять випробування продукції та несуть відповідальність за повноту випробувань і достовірність результатів, готують та подають до ОС ЗЗІ протоколи випробувань;
за дорученням органу із сертифікації беруть участь у проведенні обстеження та атестації виробництва, технічного нагляду за виробництвом сертифікованих засобів КЗІ;
Сертифікаційні випробування засобів КЗІ проводяться випробувальними лабораторіями (ВЛ) на відповідність до вимог стандартів, що діють в Україні, і нормативних документів на засоби КЗІ за методиками, розробленими ВЛ і узгодженими ДСТСЗІ СБ України.
Заявники:
укладають договори на проведення робіт із сертифікації продукції з органом із сертифікації ЗЗІ та випробувальними лабораторіями; .
здійснюють підготовку виробництва та вживають заходи із забезпечення стабільності характеристик засобів КЗІ, які впливають на забезпечення вимог щодо безпеки інформації;
терміново повідомляють орган із сертифікації ЗЗІ про всі зміни в технології, конструкції (складі) засобів КЗІ, які можуть вплинути на характеристики сертифікованих засобів КЗІ та на їх стабільність;
здійснюють доопрацювання сертифікованих засобів КЗІ у разі виявлення їх невідповідності до вимог нормативних документів.