- •Міністерство освіти і науки України Запорізький національний технічний університет
- •Информационное право и информационные отношения
- •1.1 Информационное право
- •1.2 Основные субъекты информационного права
- •1.3 Особенности и юридические свойства информации
- •1.4 Основные принципы информационного права
- •1.5 Понятие законодательного уровня информационной безопасности
- •1.6 Нормативная правовая база в области обеспечения информационной безопасности
- •1.7 Правоприменительная деятельность в сфере обеспечения информационной безопасности
- •2. Правовая защита информационных ресурсов
- •2.1 Виды и свойства информационных ресурсов
- •2.2 Права на доступ к информации из информационных ресурсов
- •2.3 Конфіденційна інформація, що є власністю держави
- •2.4 Конфіденційна інформація про особу
- •2.5 Правовая охрана государственных секретов
- •2.5.1 Правовые основы защиты государственной тайны в Украине
- •2.5.2 Отнесение информации к государственной тайне
- •2.5.3 Порядок засекречивания и рассекречивания сведений и их носителей
- •2.5.4 Охрана государственной тайны
- •2.5.5 Ответственность за совершение правонарушений в сфере деятельности, связанной с государственной тайной
- •2.6 Правовая защита коммерческой и банковской тайны
- •2.7 Правовое регулирование защиты информационных ресурсов информационно-телекоммуникационных систем (итс)
- •2.8 Ответственность за правонарушения в сфере использования компьютерных технологий
- •2.9 Анализ раздела XVI ук Украины "Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи"
- •2.10 Правовое регулирование электронного документооборота
- •2.11 Правовые основы использования электронной цифровой подписи (эцп)
- •3. Лицензирование хозяйственной деятельности в сфере защиты информации
- •3.1 Законодательство Украины о лицензировании хозяйственной деятельности
- •3.2 Особенности лицензирования деятельности в области технической защиты информации
- •3.3 Особенности лицензирования деятельности в области криптографической защиты информации
- •4. Правовые основы Сертификации средств технической и криптографической защиты информации в Украине
- •4.1 Основные принципы и правила системы сертификации средств защиты информации
- •4.2 Организационно-правовая основа стандартизация и сертификация средств технической и криптографической защиты информации
- •4.3 Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення
- •5. Гражданско-правовое регулирование отношений, связанных с творческой деятельностью
- •5.1 Творческая деятельность и роль гражданского права в ее организации. Понятие и значение творческой деятельности
- •5.2 Специальные институты гражданского права, опосредующие творческую деятельность
- •5.3 Авторское право
- •5.4 Патентное право
- •Основна література
- •Додаткова література
4.3 Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення
Порядок проведення робіт із сертифікації ЗЗ ТЗІ в загальному випадку передбачає:
подання заявки на сертифікацію;
розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;
обстеження чи атестацію виробництва ЗЗ ТЗІ, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;
відбір зразків для випробувань;
ідентифікацію ЗЗ ТЗІ;
приймання ВЛ зразків ЗЗ ТЗІ;
випробування зразків ЗЗ ТЗІ;
аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;
видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих ЗЗ ТЗІ до Реєстру Системи;
визнання результатів сертифікації, які підтверджують відповідність імпортних ЗЗ ТЗІ вимогам чинних в Україні нормативних документів і які видані на цю продукцію за кордоном;
технічний нагляд за сертифікованими ЗЗ ТЗІ під час їх виробництва;
інформування про результати робіт з сертифікації ЗЗ ТЗІ.
Заявником робіт із сертифікації ЗЗ ТЗІ можуть бути:
підприємство-виробник ЗЗ ТЗІ;
продавець ЗЗ ТЗІ, який має договірні відносини з виробником;
інші юридичні і фізичні особи, які діють за офіційним дорученням виробника (безпосередньо або через продавця);
замовник (наприклад, підрозділ державного органу виконавчої влади або недержавної установи, на який покладається забезпечення технічного захисту інформації).
До заявки додаються:
копія нормативного документа виробника на продукцію;
технічний опис;
комплект експлуатаційної документації;
копія протоколів випробувань;
завірена копія контракту (договору) або інший документ, який підтверджує походження ЗЗ ТЗІ.
Технічні умови на ЗЗ ТЗІ повинні бути узгоджені з Департаментом у встановленому порядку.
Заявником додатково можуть бути передані до ОС сертифікати, протоколи випробувань, видані іншими ОС або ВЛ (у тому числі іноземними), інша документація, яка дає змогу уточнити особливості ЗЗ ТЗІ і прискорити процедуру сертифікації.
Розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації здійснюється у такому порядку:
ОС під час розгляду заявки виконує такі процедури:
реєструє заявку в журналі обліку і заводить окрему справу про сертифікацію ЗЗ ТЗІ, у якій надалі зберігаються все листування і документація щодо цього заявника;
перевіряє правильність заповнення реквізитів заявки;
проводить аналіз наданої документації;
визначає та узгоджує з Департаментом необхідність розроблення програми і методики випробувань окремих ЗЗ ТЗІ;
визначає схему сертифікації за поданою заявкою;
визначає, з урахуванням побажання заявника, акредитовані в Системі ВЛ, які проводитимуть випробування зразків;
визначає кількість зразків для випробувань, правила їх відбору;
узгоджує із заявником терміни проведення робіт із сертифікації та їх вартість;
готує документи за встановленою формою для укладання договору із заявником на проведення робіт із сертифікації;
готує рішення за поданою заявкою.
ОС розглядає заявку і не пізніше одного місяця від дня її реєстрації надсилає заявнику своє рішення, яке повинно вміщати основні умови сертифікації. У разі позитивного рішення за заявкою ОС одночасно надсилає заявнику проект договору на проведення робіт із сертифікації. Копія рішення за заявкою направляється до:
органу із сертифікації систем якості (у разі потреби);
ВЛ (або кільком ВЛ), що проводитиме випробування;
ОС або територіальному центру стандартизації, метрології та сертифіка-ції за місцем розташування заявника, що здійснюватиме технічний нагляд (якщо це передбачено схемою сертифікації).
Якщо за результатами розгляду заявки і наданої документації виявиться неможливість проведення подальших робіт із сертифікації, то не пізніше одного тижня заявнику надсилається обгрунтоване рішення і заявка анулюється.
Заявка анулюється також, якщо протягом місяця після надсилання заявнику органом із сертифікації проекту договору на проведення робіт із сертифікації (або випробувальною лабораторією проекту договору на проведення сертифікаційних випробувань) означений договір заявником не було укладено.
Схема (модель) сертифікації визначається ОС під час розгляду заявки з урахуванням особливості виробництва, випробувань, поставки і використання конкретного ЗЗ ТЗІ.
Обстеження виробництва проводиться з метою встановлення відповідності фактичного стану виробництва вимогам документації, підтвердження можливості підприємства виготовлювати продукцію відповідно до вимог нормативних документів, чинних в Україні, видачі рекомендацій щодо періодичності та форм проведення технічного нагляду за виробництвом сертифікованих ЗЗ ТЗІ. Порядок обстеження виробництва встановлюється ОС з урахуванням вимог ДСТУ 3957 та особливостей виробництва конкретних ЗЗ ТЗІ.
Атестація виробництва проводиться з метою оцінки технічних можливостей підприємства-виробника щодо забезпечення стабільної якості ЗЗ ТЗІ. Атестація виробництва проводиться за ініціативою заявника або за рішенням ОС і здійснюється ОС. Порядок виконання робіт з атестації виробництва встановлюється ОС з урахуванням особливостей виробництва конкретних ЗЗ ТЗІ та вимог ДСТУ 3414.
Сертифікація (оцінка) системи якості проводиться органами, що акредитовані в Системі на право проведення цих робіт. Порядок проведення робіт визначено ДСТУ 3419. Сертифікація (оцінка) системи якості виконується за ініціативою заявника або за рішенням ОС, якщо це передбачено схемою сертифікації.
Вiдбiр зразкiв для випробувань проводиться ОС або, за його письмовим дорученням, уповноваженим представником. Зразки відбираються з тих виробiв, що пройшли приймальний контроль виробника та готові до реалiзації. Кількiсть зразкiв для випробувань має відповiдати кількостi, зазначенiй в рiшенні за заявкою. Вiдбiр зразків проводиться у присутностi представника заявника і оформляється актом відбору зразків в трьох примірниках. Один примірник залишається у заявника, другий - надсилається до ОС для зберігання, третій - до ВЛ, яка зазначена у рішенні за заявкою. Відібрані зразки мають бути повністю укомплектовані, опломбовані (опечатані) та упаковані.
Ідентифiкацiя ЗЗ ТЗІ проводиться ОС або, за його дорученням, акредитованою ВЛ. Якщо ВЛ акредитована тiльки на технiчну компетентнiсть, то ідентифікація проводиться за участю уповноваженого представника ОС. В обох випадках ідентифiкація проводиться в присутностi заявника. Ідентифiкацiя включає в себе звiряння складу поданого для випробувань зразка та його технiчного стану зі змiстом нормативних документiв на цю продукцію. Зразки, що не пройшли ідентифiкацiю, на випробування з метою сертифiкації не приймаються. За результатами ідентифiкації складається акт ідентифікації згідно з додатком 5.
Випробування зразкiв ЗЗ ТЗІ з метою сертифікації проводяться ВЛ, що акредитовані в Системі і визначенi в рiшенні за заявкою. Самостiйне прийняття ВЛ рішення щодо проведення випробувань зразкiв з метою сертифікації не допускається. Зразки ЗЗ ТЗІ випробовуються на вiдповіднiсть вимогам нормативних документiв, зазначених у рiшеннi за заявкою. Програма та методика випробувань окремих ЗЗ ТЗІ, що визначаються ОС, розробляються ВЛ і погоджуються Департаментом.
За результатами випробувань ВЛ подає протокол випробувань продукції до ОС, копію - заявнику. Протокол випробувань повинен бути пiдписаний виконавцями робiт і затверджений керівником ВЛ. Якщо випробування проводились у ВЛ, що акредитована в Системi тiльки на технічну компетентність, то протокол випробувань підписується представником ОС, пiд контролем якого проводились цi випробування, та затверджується керівником ОС.
У разі отримання негативних результатiв хоча б за одним з показників випробування з метою сертифікації припиняються. Про негативні результати випробувань ВЛ у термін не пізніше двох тижнів повідомляє заявника та ОС, який приймає рішення щодо припинення або продовження робіт із сертифікації. Повторні випробування, у разі їх припинення, можуть бути проведені тільки після подання заявником нової заявки та надання ОС переконливих доказів щодо проведення виробником коригувальних заходiв щодо усунення причин, що викликали невiдповiдність установленим вимогам.
ОС проводить аналіз одержаних результатів випробувань, проведених у відповідності до діючого порядку. При аналізі результатів випробувань оцінюється їх повнота, об’єктивність, достовірність, показники точності та інші характеристики. За позитивними результатами розгляду протоколу та інших робiт, що передбаченi в рішеннi за заявкою, ОС приймає рішення про видачу сертифiката вiдповiдностi.
Сертифiкат вiдповідностi видається ОС на одиничний виріб, партію із зазначенням ії кількостi або на ЗЗ ТЗІ, що випускаються пiдприємством серiйно протягом термiну, установленого ліцензійною угодою, з правом маркування знаком вiдповiдності кожної одиницi випущеної продукції.
Технічний нагляд за стабільністю показників, що підтверджені сертифікатом відповідності, під час виробництва ЗЗ ТЗІ здійснює ОС, який видав сертифікат. На пропозицію ОС нагляд може проводитися органами із сертифікації систем якості або територіальними центрами стандартизації, метрології та сертифікації. Обсяг, порядок і періодичність нагляду встановлюється ОС під час проведення сертифікації і регламентуються програмою технічного нагляду, яка розроблюється ОС і затверджується його керівником.
За результатом нагляду ОС може призупинити або скасувати дію ліцензійної угоди чи сертифіката відповідності в разі:
порушення вимог з технології виготовлення, правил приймання, методiв контролю та випробувань, позначення виробів, що узгоджені з ОС під час проведення сертифікації;
змiни нормативних документiв на ЗЗ ТЗІ або на методи їх випробувань без попереднього погодження з ОС;
зміни конструкції (складу), комплектності або технології виготовлення ЗЗ ТЗІ без попереднього погодження з ОС.
Рішення про призупинення дії ліцензійної угоди і (або) сертифіката відповідності приймається у випадку, якщо вжиттям коригувальних заходів, погоджених з ОС, підприємство може усунути виявлені причини невідпо-відності та без проведення повторних випробувань ВЛ підтвердити відповідність ЗЗ ТЗІ вимогам нормативних документів. У протилежному разі ліцензійна угода або сертифікат скасовуються.
Сертифікація імпортованих ЗЗ ТЗІ, які виробляються серійно, за схемами сертифікації з обстеженням та атестацією виробництва, сертифікацією системи якості та технічним наглядом за стабільністю показників сертифікованих ЗЗ ТЗІ під час їх виробництва не проводиться.
Визнання результатів сертифікації ЗЗ ТЗІ, що імпортуються, стосується:
визнання сертифіката (знаку) відповідності;
визнання результатів випробування випробувальної лабораторії.
Рішення про визнання результатів сертифікації приймає ОС на підставі підтвердження відповідності продукції вимогам нормативних документів, чинних в Україні, а також аналогічним вимогам нормативних документів інших країн.
Сертифікати відповідності та протоколи випробувань, видані уповноваженими органами інших країн, підлягають визнанню в Системi за умови дотримання сукупностi таких правил:
Національним органом із сертифікації за участю Департаменту укладено двосторонню угоду про взаємне визнання результатiв робiт із сертифікацiї з нацiональним органом із сертифiкації тієї країни, з якої походять ЗЗ ТЗІ, що ввозяться в Україну;
ЗЗ ТЗІ, що ввозяться в Україну, можуть бути ідентифiковані за супровiдною документацiєю (маркування, етикетка) як такі, що виготовлені за міждержавними або іншими нормативними документами, що є чинними в Українi;
зазначені в іноземному сертифікаті відповідності номенклатура вимог до ЗЗ ТЗІ і норми цих вимог повнiстю відповідають номенклатурі вимог до цієї продукції і нормам, чинним в Українi.
За умови виконання сукупностi ціх правил ОС видає на іноземний сертифiкат свiдоцтво про його визнання. У разi невиконання принаймнi однiєї умови сертифiкація ЗЗ ТЗІ іноземного виробництва здiйснюється згідно з вимогами діючих нормативних документів.
Документом про визнання іноземних сертифiкатів відповідності є свідоцтво про визнання (у разi повного визнання) або сертифiкат вiдповiдностi (у разi часткового визнання), що виданi в Системi. Результати сертифiкації можуть бути визнанi:
без додаткових процедур сертифiкації;
з упровадженням додаткових процедур сертифікації;
за позитивними результатами сертифiкації в Системi.
Процедура визнання результатiв сертифiкації ЗЗ ТЗІ, що імпортуються, відповідає ДСТУ 3417.