6 Органы по сертификации и испытательные лаборатории средств

В соответствии с Положением о порядке осуществления криптографической защиты информации в Украине, утвержденным Указом Президента Украины, Департамент специальных телекоммуникационных систем и защиты информации Службы безопасности Украины (далее по тексту ДСТСЗИ) является государственным органом Украины, который организовывает все работы, связанные с сертификацией средств КЗИ на соответствие требованиям к обеспечению безопасности информации.

Орган по сертификации средств КЗИ (ОС КЗИ) создан в структуре ДСТСЗИ в соответствии с совместным приказом Службы безопасности Украины и Комитета Украины по вопросам стандартизации, метрологии и сертификации.

В соответствии с совместным приказом Службы безопасности Украины и Государственного комитета стандартизации, метрологии и сертификации Украины изменено наименование ОС КЗИ на “Орган по сертификации средств защиты информации ДСТСЗИ СБ Украины (далее по тексту ОС СЗИ)”. ОС СЗИ аккредитован Национальным агентством по аккредитации Украины в Системе УкрСЕПРО.

ОС СЗИ является независимым от разработчиков, производителей, поставщиков и потребителей средств КЗИ в области закрепленной за ним аккредитации, что делает невозможным оказание на его сотрудников давления, способного повлиять на их выводы или результаты работ.

Область аккредитации ОС СЗИ включает средства криптографической защиты информации – криптографические системы, аппаратные, программные, аппаратно-программные или другие средства, предназначенные для реализации КЗИ, в том числе и используемые для генерации, изготовления и тестирования криптографических ключей. Работы по сертификации проводятся на основании договоров, заключенных ОС СЗИ с организациями и предприятиями. ОС СЗИ на договорной основе проводит:

  работы по сертификации средств КЗИ;

  работы по обследованию и аттестации производства сертифицируемых средств КЗИ;

  технический надзор за производством сертифицированных средств;

  признание сертификатов соответствия.

Стоимость работ определяется в соответствии с Правилами определения стоимости работ по сертификации продукции и услуг Основные функции ОС СЗИ определяются Положением об Органе по сертификации СЗИ.

В Системе УкрСЕПРО Функционируют такие испытательные лаборатории: 

  ИЛ “АЛЬТАИР” ООО “АЛЬТАИР-775” 

  ИЛ АТ “Институт информационных технологий”, 

  ИЛ безопасности информационно-телекоммуникационных систем и средств криптографической защиты информации воинской части…… 

  ИЛ “Дина” МП “Дина” ООО, 

Испытательные лаборатории (центры) средств КЗИ в Системе УкрСЕПРО выполняют такие функции:

  по поручению органа по сертификации средств КЗИ проводят испытания продукции и несут ответственность за полноту испытаний и достоверность результатов, готовят и предъявляют в ОС СЗИ протоколы испытания;

  по поручению органа по сертификации принимают участие в проведении обследования и аттестации производства, технического надзора за производством сертифицированных средств КЗИ.

Сертификационные испытания средств КЗИ проводятся испытательными лабораториями (ИЛ) на соответствие требованиям действующим в Украине стандартов и нормативных документов на средства КЗИ по методикам, разработанным ИЛ и согласованным ДСТСЗИ СБ Украины. Заявители:

  заключают договора на проведение работ по сертификации продукции с органом по сертификации СЗИ и испытательными лабораториями;

  осуществляют подготовку производства и принимают меры по обеспечению стабильности характеристик средств КЗИ, которые влияют на обеспечение требований к безопасности информации;

  немедленно сообщают в орган по сертификации СЗИ обо всех изменениях в технологии, конструкции (составе) средств КЗИ, которые могут повлиять на характеристики сертифицированных средств КЗИ и на их стабильность;

 осуществляют доработку сертифицированных средств КЗИ при выявлении их несоответствия требованиям нормативных документов.

Орган по сертификации средств защиты информации Государственного научно-исследовательского института специальной связи и защиты информации при Администрации Государственной службы специальной связи и защиты информации Украины назначеный и уполномоченый Госпотребстандартом Украины (приказ от 03 июля 2008 года № 208) на выполнение работ по сертификации продукции и услуг в государственной Системе сертификации УкрСЕПРО.

     Объектами сертификации являются средства криптографической и технической защиты информации, которые изготовлены в Украине, а также, которые ввозятся на ее таможенную территорию

7 Порядок подготовки и проведения сертификации средств

криптографической защиты информации КЗИ.

Сертифицированные средства криптографической

защиты информации.

Порядок подготовки и проведения сертификации средств КЗИ включает:

• Предъявление предприятиями, организациями и учреждениями заявки на сертификацию средств КЗИ;

• Рассмотрение заявки в ОС СЗИ (анализ предъявленной документации;

• принятие решения с определением схемы (модели) сертификации средств КЗИ и ИЛ);

• Испытания в аккредитованных ИЛ средств КЗИ, которые сертифицируются;

• Анализ полученных результатов и принятие решения о возможности выдачи сертификата соответствия;

• Выдача сертификата соответствия и занесение сертифицированных средств КЗИ в Реестр Системы;

• Технический надзор за сертифицированными средствами КЗИ во время их производства;

• Информирование о результатах работ по сертификации средств КЗИ.

Заявитель для получения сертификата соответствия предъявляет в ОС СЗИ заявку на проведение сертификации с указанием схемы проведения сертификации и названий стандартов и других нормативных документов, в соответствии с которыми должна проводиться сертификация.

Заявки на проведение сертификации принимаются только от заявителей, которые имеют лицензии на производство средств КЗИ.

Заявки на проведение сертификации средств КЗИ принимаются при условии, что в этих средствах реализованы криптографические алгоритмы, которые являются государственными стандартами или рекомендованы ДСТСЗИ. То есть, средства КЗИ, в которых реализованы собственные оригинальные алгоритмы, не имеющие рекомендации ДСТСЗИ, на сертификацию не принимаются.

На сертификацию предъявляются только готовые изделия в целом, а не их составные части или отдельные компоненты.

Документация, которая предоставляется вместе с заявкой, должна отвечать требованиям Положения о порядке разработки, изготовления и эксплуатации средств криптографической защиты конфиденциальной информации, утвержденного приказом ДСТСЗИ СБ Украины от 30.11. 99 № 53 и зарегистрированного Министерством юстиции Украины 15.12. 99 за № 868/4161.

Орган по сертификации в месячный срок после получения заявки присылает заявителю решения. Решение включает основные условия сертификации и схемы (модели) проведения сертификации.

По результатам анализа предоставленной заявителем документации ОС СЗИ может дополнительно требовать необходимые для принятия решения документы.

В нормативном документе ОС СЗИ "Порядок проведения сертификации средств КЗИ" установлены схемы (модели), которые используются во время проведения сертификации средств КЗИ.

Количество образцов для испытаний и правила отбора, а также состав технической документации, устанавливаются ОС СЗИ.

Отбор образцов проводится ответственным исполнителем ОС СЗИ в присутствие представителя заявителя и оформляется актом отбора образцов.

Отобранные образцы, укомплектованные надлежащим образом, опломбированные и запакованные, доставляются в ОС СЗИ заявителем.

После поступления образцов обеспечивается проведение их идентификации и составляется акт идентификации.

Образцы продукции, которые не прошли идентификации, на испытания с целью сертификации, не принимаются.

Испытания образцов средств КЗИ с целью сертификации проводятся испытательными лабораториями, которые определены ОС СЗИ в решении по заявке. Образцы средств КЗИ испытываются на соответствие требованиям нормативных документов, определенных в решении. Сертификационные испытания осуществляются по методикам, согласованным с ОС СЗИ.

Образцы средств КЗИ, которые прошли испытания с целью сертификации, остаются собственностью заявителя.

ОС СЗИ по согласованию с заявителем может оставить у себя или передать на ответственное хранение заявителю опечатанные образцы средств КЗИ – "образцы-свидетели”. Место и срок сохранения "образцов-свидетелей” определяются в соглашении (договоре).

Испытательная лаборатория предоставляет протоколы сертификационных испытаний только в ОС СЗИ.

В случае получения негативных результатов хотя бы по одному из показателей, испытания с целью сертификации прекращаются, информация о негативных результатах предоставляется заявителю и ОС СЗИ. Повторные испытания могут быть проведены только после подачи новой заявки и предоставления ОС СЗИ весомых доказательств проведения заявителем корректирующих мероприятий по устранению причин, вызвавших несоответствие.

ОС СЗИ осуществляет оценку соответствия средств КЗИ установленным требованиям, оформляет сертификат соответствия, регистрирует его в Реестре Системы в соответствии с ГСТУ 3415-96 и выдает заявителю.

В распоряжении ОС СЗИ остаются предоставленые заявителем документы, необходимые для формирования дела о сертификации средства КЗИ.

Сертификат соответствия на средства КЗИ выдается только ОС СЗИ.

Сертификат соответствия выдается на одно изделие, на партию средств КЗИ или на средства КЗИ, которые выпускаются серийно в течение срока, установленного соглашением в соответствии с ГСТУ 3413-96.

Сертификат соответствия заверяется подписью руководителя Органа по сертификации средств КЗИ или его заместителя и гербовой печатью Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины.

Подтверждение факта сертификации средств КЗИ заявитель может осуществлять одним из приведенных ниже способов:

• Оригиналом сертификата соответствия;

• Знаком соответствия согласно требованиям ГСТУ 2296-93;

• Копией сертификата соответствия, заверенной ОС СЗИ;

• Информацией в документации, которая прилагается к средствам КЗИ с указанием номера сертификата, срока его действия и ОС СЗИ, который выдал сертификат соответствия.

Маркирование средств КЗИ знаком соответствия осуществляет заявитель.

Право маркирования средств КЗИ знаком соответствия дается заявителю на основании соглашения (ГСТУ 3413-96) с ОС СЗИ.

Срок Действия сертификата на средства КЗИ, которые выпускаются предприятием серийно в течении срока, установленного соглашением (ГСТУ 3413-96), определяет ОС СЗИ с учетом срока действия нормативных документов на средства КЗИ, срока, на который сертифицирована система качества или аттестовано производство, гарантийного срока годности средств КЗИ в момент реализации или срок хранения средств КЗИ, но не большее чем на два года, если аттестовано производство, и на три года, если сертифицирована системa качества. При условии проведения сертификации средств КЗИ, которые выпускаются серийно или партией, по схеме с обследованием производства срок действия сертификата соответствия не должен превышать двух лет.

В случаи внесения изменений в конструкцию (состав) средств КЗИ или технологию изготовления, которые могут повлиять на показатели, подтвержденные во время сертификации, заявитель обязан предварительно оповестить об этом ОС СЗИ. ОС СЗИ принимает решение о необходимости проведения новых испытаний или оценки состояния производства средств КЗИ.

В случае, если требования, установленные нормативными документами к показателям, подтвержденным во время сертификации, изменены на более жесткие, вопросы о прекращении действия сертификата соответствия решает ОС СЗИ по согласованию с Национальным ОС - Госпотребстандартом Украины.

За сертифицированными средствами КЗИ в процессе их производства в течение срока действия сертификата соответствия, с учетом схемы сертификации, Органом по сертификации КЗИ осуществляется технический надзор.

Объем, порядок и периодичность технического надзора устанавливаются ОС СЗИ во время проведения сертификации и регламентируются программой технического надзора, которая разрабатывается ОС СЗИ.

По результатам надзора ОС СЗИ может приостановить или отменить действие соглашения или сертификата соответствия в случаях:

• нарушения требований, которые предъявляются к средствам КЗИ во время сертификации;

• нарушения требований и технологии изготовления, правил приемки, методов контроля и испытания, обозначения средств КЗИ, согласованных ОС СЗИ во время проведения сертификации средств КЗИ;

• изменения нормативных документов на средства КЗИ или на методы испытаний без предварительного согласования с ОС СЗИ;

• изменения конструкции (составляющих), комплектности или технологии изготовления средств КЗИ без предварительного согласования с ОС СЗИ.

Решение о приостановке действия сертификата соответствия, принимаемое в случае, если путем корректирующих мероприятий, согласованных с ОС СЗИ, заявитель не может устранить выявленные причины несоответствия и без проведения повторных испытаний аккредитованной испытательной лабораторией подтвердить соответствие способов КЗИ требованиям нормативных документов. В случае невозможности устранения причин несоответствия сертификат соответствия аннулируется.

Информация о приостановке или аннулировании действия сертификата соответствия в письменной форме направляется ОС СЗИ заявителю, потребителям и в Национальный ОС.

В случае приостановке действия сертификата соответствия осуществляются такие корректирующие мероприятия. Орган по сертификации СЗИ:

• определяет срок выполнения корректирующих мероприятий;

• контролирует выполнение заявителем корректирующих мероприятий.

• Заявитель:

• определяет объем изготовленных средств КЗИ, которые не отвечают нормативным документам;

• осуществляет мероприятия по устранению причин несоответствия средств КЗИ.

В случае аннулирования сертификата соответствия заявитель обязан возвратить оригиналы сертификатов соответствия и все копии в ОС СЗИ, который уничтожает их за актом. Информация о результатах сертификации средств КЗИ передается ОС СЗИ в Реестр Системы УкрСЕПРО. Национальный ОС - Госпотребстандарт Украины на основании Реестра Системы выдает справочники, которые содержат информацию о сертифицированной продукции, в т. ч. средств КЗИ.

Сертифицированы средства криптографической защиты информации:

1         Программное изделие «NovaLib»

2         Программное изделие «Шифр»

3         Изделие программное «Шифр+»

4         Программное обеспечение аппаратно-программных средств электронной цифровой подписи «Основа»

5         Средство аппаратно-программное криптографической защиты информации «Старт»