Зарегистрировано в НРПА РБ 1 июня 2009 г. N 5/29837
В соответствии со статьей 28 Закона Беларуси от 10 ноября 2008 года "Об информации, информатизации и защите информации" Совет Министров Республики Беларусь ПОСТАНОВЛЯЕТ :
1. Утвердить прилагаемые:
Положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено;
Положение о порядке аттестации систем защиты информации;
Положение о порядке проведения государственной экспертизы средств защиты информации.
2. Настоящее постановление вступает в силу с 27 мая 2009 г.
Премьер-министр Республики Беларусь С.СИДОРСКИЙ
УТВЕРЖДЕНО
Постановление
Совета Министров
Республики Беларусь
26.05.2009 N 675
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМАХ, А ТАКЖЕ ИНФОРМАЦИОННЫХ СИСТЕМАХ,
СОДЕРЖАЩИХ ИНФОРМАЦИЮ, РАСПРОСТРАНЕНИЕ И (ИЛИ)
ПРЕДОСТАВЛЕНИЕ КОТОРОЙ ОГРАНИЧЕНО
Глава 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) (далее - Закон) и определяет порядок защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее - информационные системы).
2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом.
3. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации.
4. При создании систем защиты информации информационных систем должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.
5. При взаимодействии между информационными системами, обрабатывающими информацию, распространение и (или) предоставление которой ограничено, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.
6. Подключение информационных систем, обрабатывающих информацию, распространение и (или) предоставление которой ограничено, к сетям общего пользования, в том числе к глобальной сети Интернет, запрещается.
7. При подключении информационных систем, в которых обрабатывается общедоступная информация, к сетям общего пользования, в том числе к глобальной сети Интернет, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.
8. Ответственность за организацию работ по защите информации возлагается на руководителей организаций, которые владеют и (или) пользуются информационными ресурсами информационной системы.
9. Создание и эксплуатация системы защиты информации в информационных системах осуществляются подразделением технической защиты информации или назначенными должностными лицами, ответственными за реализацию технических мер по защите информации у собственника (владельца) информационной системы.
К работам по созданию систем защиты информации собственники (владельцы) информационных систем могут привлекать организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь (далее - специализированные организации).
Глава 2
СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
10. Комплекс мероприятий по созданию системы защиты информации в информационных системах включает:
классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;
анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;
присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
разработку или корректировку политики информационной безопасности;
разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
реализацию требований задания по безопасности в информационной системе;
оценку соответствия системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, путем проведения мероприятий по аттестации системы защиты информации;
ввод информационной системы в эксплуатацию.
11. Политика информационной безопасности - это совокупность документированных правил, процедур и требований в области защиты информации, действующих в организации и содержащих:
цели построения системы защиты информации;
перечень защищаемых сведений;
определение ответственности субъектов информационных отношений за обеспечение защиты информации;
определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям);
правила доступа к сетям общего пользования, в том числе глобальной сети Интернет;
порядок работы с электронной почтой и другими системами обмена, передачи сообщений;
порядок применения технических средств защиты и обработки информации;
организационные мероприятия по разграничению доступа к техническим средствам защиты и обработки информации;
порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и ликвидации их последствий;
инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля за целостностью защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.
12. Задание по безопасности разрабатывается в соответствии с требованиями технических нормативных правовых актов в области защиты информации, оценивается в установленном порядке в аккредитованной испытательной организации (организация, аккредитованная для проведения испытаний систем защиты информации в области защиты информации) и учитывается в Оперативно-аналитическом центре при Президенте Республики Беларусь.
13. Ремонтные, наладочные и профилактические работы в информационных системах должны проводиться под контролем представителя подразделения технической защиты информации или назначенного должностного лица, ответственного за реализацию технических мер по защите информации у собственника (владельца) информационной системы. Во время проведения указанных работ в информационной системе запрещается обработка информации, распространение и (или) предоставление которой ограничено.
В случае необходимости отправки технических средств для проведения ремонта в специализированные организации из них должны быть изъяты все носители информации, содержащие охраняемые сведения, или произведено гарантированное уничтожение информации сертифицированными средствами.
14. При внесении изменений, затрагивающих условия и технологию обработки защищаемой информации, собственником (владельцем) информационной системы проводятся мероприятия по доработке системы защиты информации с проведением повторной ее аттестации.
Глава 3
ПОРЯДОК КОНТРОЛЯ ЗА ЗАЩИЩЕННОСТЬЮ ИНФОРМАЦИИ
15. Контроль за соблюдением установленных в настоящем Положении требований по защите информации в процессе эксплуатации информационной системы осуществляют уполномоченные государственные органы в соответствии с их компетенцией.
16. Текущий контроль за соблюдением требований по защите информации осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы.
17. Нарушения требований по защите информации устанавливаются и фиксируются в соответствии с законодательством. Собственник (владелец) информационной системы принимает меры по своевременному устранению выявленных нарушений.
18. Запрещается обработка информации, распространение и (или) предоставление которой ограничено, в случае выявления нарушений требований по защите информации.
УТВЕРЖДЕНО
Постановление
Совета Министров
Республики Беларусь
26.05.2009 N 675
ПОЛОЖЕНИЕ
О ПОРЯДКЕ АТТЕСТАЦИИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) (далее - Закон) и определяет порядок аттестации систем защиты информации, используемых при обработке информации, распространение и (или) предоставление которой ограничено, а также информации, содержащейся в государственных информационных системах (далее - системы защиты информации).
2. Порядок аттестации систем защиты информации информационных систем, содержащих информацию, отнесенную к государственным секретам, определяется иными законодательными актами.
3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом, а также следующие термины и их определения:
аккредитованная испытательная лаборатория по требованиям безопасности информации - организация, аккредитованная для проведения испытаний продукции в области защиты информации;
аттестат соответствия - документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
аттестация - комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия;
заявитель - организация, обратившаяся с заявкой на проведение аттестации системы защиты информации;
система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, функционирующих по правилам, установленным соответствующими нормативными правовыми актами в области защиты информации, в том числе техническими нормативными правовыми актами.
4. Деятельность по аттестации систем защиты информации координирует Оперативно-аналитический центр при Президенте Республики Беларусь в пределах его полномочий.
5. Аттестацию систем защиты информации проводят организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь (далее - специализированные организации).
Владельцы государственных информационных систем, имеющие в своем составе подразделения по технической защите информации (далее - владельцы государственных информационных систем), вправе проводить аттестацию систем защиты информации, используемых при обработке информации, содержащейся в государственных информационных системах, владельцами которых они являются.
6. Аттестация систем защиты информации проводится до ввода информационной системы в эксплуатацию.
7. Наличие аттестата соответствия является основанием для использования системы защиты информации на период времени, установленный в аттестате соответствия.
8. Аттестация предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает проведение следующих мероприятий:
анализ исходных данных по аттестуемой системе защиты информации;
разработка программы аттестации;
предварительное ознакомление с информационной системой и системой защиты информации;
проведение обследования информационной системы и системы защиты информации;
анализ разработанной документации по защите информации в информационной системе на соответствие требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
проведение испытаний средств защиты информации и оценка системы защиты информации в реальных условиях эксплуатации информационной системы;
анализ результатов испытаний средств защиты информации, системы защиты информации и принятие решения о выдаче аттестата соответствия;
выдача аттестата соответствия.
9. Расходы по проведению аттестации оплачиваются заявителями в соответствии с договором на проведение аттестации, заключенным между заявителем и специализированной организацией.
10. Затраты по аттестации вновь создаваемых или модернизируемых систем защиты информации включаются в общую смету расходов на их разработку (модернизацию).
11. Оперативно-аналитический центр при Президенте Республики Беларусь:
участвует в разработке проектов нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
осуществляет контроль за выполнением требований нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
осуществляет контроль за выполнением мероприятий по защите информации, обрабатываемой с применением аттестованных систем защиты информации;
ведет информационную базу аттестованных систем защиты информации.
12. Владельцы государственных информационных систем и специализированные организации выполняют следующие функции:
проводят аттестацию системы защиты информации и выдают аттестаты соответствия;
привлекают для проведения испытаний аккредитованные испытательные лаборатории по требованиям безопасности информации;
информируют Оперативно-аналитический центр при Президенте Республики Беларусь о своей деятельности в области аттестации систем защиты информации.
13. Заявители:
проводят подготовку системы защиты информации для аттестации путем реализации организационных и технических мер по защите информации;
привлекают на договорной основе специализированные организации для проведения аттестации системы защиты информации;
представляют документы и обеспечивают условия, необходимые для проведения аттестации системы защиты информации;
осуществляют эксплуатацию системы защиты информации;
извещают специализированные организации, которые провели аттестацию, обо всех изменениях в информационных технологиях, составе и размещении средств защиты информации, условиях их эксплуатации, которые могут повлиять на эффективность принятых мер по защите информации;
представляют документы и условия для осуществления контроля за эксплуатацией системы защиты информации, прошедшей аттестацию.
14. Аттестация проводится на основании заявки, подаваемой заявителем в специализированную организацию по форме согласно приложению 1, и исходных данных согласно приложению 2.
В случае проведения аттестации владельцем государственной информационной системы заявка на проведение аттестации не оформляется. Работы по аттестации проводятся аттестационной комиссией, назначенной приказом руководителя организации - владельца государственной информационной системы.
15. Для проведения аттестации разрабатывается программа аттестации, которая должна содержать перечень работ и их продолжительность, методики испытаний, перечень используемой контрольной аппаратуры и тестовых средств, перечень привлекаемых аккредитованных испытательных лабораторий по требованиям безопасности информации.
16. Специализированная организация в 30-дневный срок рассматривает заявку на проведение аттестации и на основании анализа исходных данных разрабатывает программу аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации.
17. Специализированная организация представляет заявителю решение о проведении аттестации и после согласования программы аттестации высылает проект договора на аттестацию.
18. Оценка системы защиты информации включает:
анализ организационной структуры информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации, разработанной документации и ее соответствия требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
проверку правильности отнесения информационной системы к классу типовых объектов информатизации, выбора и применения средств защиты информации;
рассмотрение и анализ результатов испытаний средств защиты информации и системы защиты информации;
проверку уровня подготовки кадров и распределения ответственности персонала за организацию и обеспечение выполнения требований по защите информации;
оценку системы защиты информации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
оформление протоколов испытаний (оценки) и заключения по результатам проверок.
19. По результатам аттестации оформляется аттестат соответствия.
20. Аттестация проводится до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний. Если выявленные недостатки невозможно устранить в течение периода проведения аттестации, принимается решение об отказе в выдаче аттестата соответствия. Повторная аттестация специализированной организацией проводится после заключения отдельного договора на проведение работ по аттестации.
21. Аттестат соответствия подписывается руководителем организации - владельца государственной информационной системы либо руководителем специализированной организации, которая провела аттестацию, и заверяется печатью.
22. Аттестат соответствия на систему защиты информации, отвечающую требованиям по защите информации, выдается по форме согласно приложению 3.
23. Регистрация аттестатов соответствия осуществляется специализированной организацией в целях ведения информационной базы аттестованных систем защиты информации.
24. Сведения об аттестованных системах защиты информации представляются специализированной организацией (владельцем государственной информационной системы) в Оперативно-аналитический центр при Президенте Республики Беларусь не позднее 30 дней со дня выдачи аттестата соответствия.
Аттестат соответствия выдается на период, в течение которого должны обеспечиваться неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 5 лет.
Владелец аттестованной системы защиты информации несет ответственность за функционирование системы защиты информации в соответствии с законодательством.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных систем защиты информации обязаны пройти повторную аттестацию системы защиты информации.
Приложение 1
к Положению о порядке
аттестации систем
защиты информации
Форма
ЗАЯВКА
на проведение аттестации системы защиты информации
___________________________________________________________
(наименование заявителя, место нахождения)
просит провести аттестацию ________________________________________________
(наименование информационной системы)
на соответствие требованиям по защите информации:
__________________________________________________________________________.
(наименование документов, пункты)
Необходимые исходные данные по аттестуемой системе защиты информации
прилагаются.
Заявитель готов предоставить необходимые документы и условия для
проведения аттестации.
Заявитель согласен на договорной основе оплатить расходы по всем видам
работ и услуг по аттестации.
Приложение:
Руководитель организации _______________ _________________________
(подпись) (фамилия, инициалы)
__ ____________ 20__ г.
Главный бухгалтер _______________ _________________________
(подпись) (фамилия, инициалы)
М.П.
__ ____________ 20__ г.
Приложение 2
к Положению о порядке
аттестации систем
защиты информации
ПЕРЕЧЕНЬ ИСХОДНЫХ ДАННЫХ, ПРЕДСТАВЛЯЕМЫХ ЗАЯВИТЕЛЕМ
ПО АТТЕСТУЕМОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ
1. Полное и точное наименование информационной системы, ее назначение.
2. Перечень информации, распространение и (или) предоставление которой ограничено.
3. Организационная структура информационной системы.
4. Правила разграничения доступа в информационной системе.
5. Модель нарушителя правил разграничения доступа в информационной системе.
6. Состав комплекса технических средств, на которых обрабатывается защищаемая информация.
7. Структура используемого программного обеспечения, предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
8. Общая функциональная схема информационной системы, включая схему информационных потоков и режимы обработки защищаемой информации.
9. Наличие и характер взаимодействия с другими объектами.
10. Состав и структура системы защиты информации.
11. Сведения о разработчиках системы защиты информации.
12. Наличие сертификатов соответствия либо экспертных заключений на средства защиты информации.
13. Наличие и основные характеристики средств физической защиты информационной системы (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
14. Документы, устанавливающие отнесение информационной системы к классу типовых объектов информатизации согласно СТБ 34.101.30-2007.
15. Задание по безопасности на информационную систему.
16. Проектная и эксплуатационная документация на систему защиты информации, другие данные, влияющие на обеспечение защиты информации.
17. Организационно-распорядительные документы, регламентирующие вопросы обеспечения защиты информации в информационной системе (выписки из документов), включая:
документ, подтверждающий наличие в организации подразделения по технической защите информации или специально назначенного должностного лица, ответственного за осуществление мероприятий по технической защите информации;
инструкцию по обеспечению защиты информации в информационной системе;
инструкцию о порядке применения средств защиты информации в информационной системе.
18. Программа проведения приемочных испытаний системы защиты информации.
19. Акт и протоколы приемочных испытаний системы защиты информации.
20. Протоколы испытаний средств защиты информации.
21. Протокол оценки задания по безопасности.
Приложение 3
к Положению о порядке
аттестации систем
защиты информации
Форма
АТТЕСТАТ СООТВЕТСТВИЯ
ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ
N ________ от __ ________ 20__ г.
_______________________________________________________________
(наименование информационной системы)
Действителен до __ ________ 20__ г.
Настоящим аттестатом удостоверяется, что система защиты информации:
___________________________________________________________________________
(наименование информационной системы)
класса ____________________________________________________________________
(по СТБ 34.101.30-2007)
соответствует требованиям по защите информации:
__________________________________________________________________________.
(наименование документов)
Аттестация выполнена в соответствии с программой, утвержденной
__ ________ 20__ г. N ____.
Результаты испытаний (оценки) приведены в протоколе от __ ________
20__ г. N ____.
С учетом результатов испытаний в информационной системе разрешается
обработка информации: ____________________________________________________.
(перечень информации)
При эксплуатации информационной системы запрещается:
__________________________________________________________________________.
Аттестат соответствия действителен при обеспечении неизменности
условий функционирования системы защиты информации и технологии обработки
защищаемой информации.
Дополнительные сведения: ____________________________________________.
Руководитель организации
___________________________________ ____________ ______________________
(должность с указанием наименования (подпись) (фамилия, инициалы)
организации) М.П.
__ ____________ 20__ г.
УТВЕРЖДЕНО
Постановление
Совета Министров
Республики Беларусь
26.05.2009 N 675
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ПРОВЕДЕНИЯ ГОСУДАРСТВЕННОЙ ЭКСПЕРТИЗЫ СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ
Глава 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящим Положением, разработанным в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) (далее - Закон), определяется порядок проведения государственной экспертизы (далее - экспертиза) средств защиты информации (далее - продукция).
2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом, а также следующие термины и их определения:
заявитель - юридическое лицо, в том числе иностранное, или индивидуальный предприниматель, обратившиеся с заявкой на проведение экспертизы продукции;
идентификация продукции - процедура, посредством которой устанавливается соответствие представленной на экспертизу продукции требованиям, предъявляемым к данному виду (типу) продукции в технических нормативных правовых актах в области технического нормирования и стандартизации, технической документации, в информации о продукции;
объекты экспертизы - продукция, предназначенная для использования в государственных информационных системах, а также в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено;
образец продукции - единица конкретной продукции, представляющая этот вид (тип) продукции при исследовании, контроле и оценке;
продукция единичного производства - продукция, выпускаемая в единичных экземплярах или периодически отдельными единицами;
продукция - технические, программные, программно-аппаратные и другие средства, предназначенные и используемые для защиты информации, а также средства контроля за эффективностью их использования;
техническая документация - документация, содержащая сведения о характеристиках, назначении, области и условиях применения, составе и структуре образца продукции, а также описание принципов его функционирования;
типовые образцы продукции - образцы продукции, выбранные из номенклатуры однотипной продукции, изготовленные по однотипным принципиальным схемам и типовой технологии, одинакового конструктивного исполнения и соответствующие одним и тем же установленным требованиям безопасности;
экспертиза - комплекс мероприятий по анализу и оценке объектов экспертизы на основе представленной документации и протоколов испытаний в целях получения достоверного результата допустимости их использования для обеспечения технической защиты информации;
эксперт - квалифицированный специалист, обладающий специальными знаниями, применяемыми в процессе выполнения работ и услуг по экспертизе продукции.
3. Экспертиза продукции проводится Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - Центр) или другой уполномоченной Центром организацией (далее - орган государственной экспертизы) в целях обеспечения защиты информации, содержащейся в информационных системах, от неправомерного доступа, уничтожения, модификации (изменения) и блокирования правомерного доступа к ней. Основной задачей экспертизы является оценка качества продукции по технической защите информации.
Область применения экспертизы - подтверждение соответствия реализации функций защиты продукцией единичного производства либо продукцией, требования к которой техническими нормативными правовыми актами (далее - ТНПА) не установлены.
4. Экспертиза продукции проводится на соответствие ТНПА (только для продукции единичного производства) в области безопасности информации, а также на соответствие заявленным показателям (характеристикам) продукции по технической защите информации, содержащимся в документации изготовителя.
5. Экспертиза продукции проводится по инициативе заявителя. Для проведения экспертизы заявитель самостоятельно определяет ТНПА, на соответствие которым осуществляется экспертиза, и по согласованию с органом государственной экспертизы определяет номенклатуру показателей, проверяемых при экспертизе. В номенклатуру этих показателей в обязательном порядке включаются показатели по технической защите информации, если они установлены в ТНПА для данной продукции.
6. Для подтверждения соответствия показателей продукции заявленным требованиям проводятся испытания в органе государственной экспертизы или аккредитованной в установленном порядке испытательной лаборатории (далее, если в настоящем Положении не определено иное, - испытательные организации).
7. К продукции, представленной на экспертизу, должна прилагаться документация, содержащая следующую информацию на одном из государственных языков Республики Беларусь:
наименование продукции;
сведения об изготовителе продукции;
основные характеристики продукции;
принципы функционирования, порядок и правила эксплуатации продукции.
8. При проведении экспертизы продукции заявитель и орган государственной экспертизы несут ответственность за соблюдение конфиденциальности полученной информации в соответствии с законодательством.
9. Экспертиза продукции проводится на основании договора, который заключается между заявителем и органом государственной экспертизы. Оплата работ по проведению экспертизы продукции осуществляется заявителем с учетом типовых норм трудоемкости работ, утверждаемых Государственным комитетом по стандартизации.
10. Экспертиза продукции, произведенной в Республике Беларусь и ввезенной из-за ее пределов, проводится в порядке, установленном настоящим Положением.
11. Экспертиза продукции включает следующие этапы:
подача заявки на проведение экспертизы с приложением необходимой технической, программной и эксплуатационной документации изготовителя на продукцию, регистрация документов;
анализ заявки и прилагаемой к ней документации изготовителя на достаточность представленных материалов;
принятие решения по заявке;
заключение договора;
идентификация продукции и отбор образцов для проведения испытаний;
согласование аккредитованными испытательными лабораториями с органом государственной экспертизы методики испытаний;
испытание образцов продукции и представление протоколов испытаний в орган государственной экспертизы;
анализ результатов испытаний и принятие решения о возможности выдачи положительного экспертного заключения (далее - экспертное заключение);
оформление, регистрация и выдача экспертного заключения заявителю.
Каждый последующий этап экспертизы реализуется при положительных результатах предыдущего.
Глава 2
ПОДАЧА ЗАЯВКИ И ПРИНЯТИЕ РЕШЕНИЯ О ПРОВЕДЕНИИ ЭКСПЕРТИЗЫ
12. Для проведения экспертизы продукции заявитель направляет заявку в орган государственной экспертизы по форме согласно приложению 1.
13. Вместе с заявкой заявитель представляет имеющуюся техническую, программную и эксплуатационную документацию изготовителя на продукцию и другие документы, в том числе:
спецификацию на продукцию;
документ с описанием заявленных показателей (характеристик) продукции по технической защите информации;
программы и методики испытаний продукции;
формуляр (паспорт) на продукцию;
техническое описание и руководство по эксплуатации на продукцию;
текст программы (для программных, программно-аппаратных средств);
описание программы (для программных, программно-аппаратных средств);
документы, подтверждающие наличие в Республике Беларусь организации, обеспечивающей гарантийное и послегарантийное обслуживание и ремонт продукции, а именно: письмо от заявителя об обслуживании и ремонте продукции, поставляемой в соответствии с договором, либо копия договора заявителя с организацией, осуществляющей обслуживание и ремонт поставляемой продукции;
копии протоколов испытаний, экспертные заключения, сертификаты на используемые программные, программно-аппаратные, технические компоненты продукции (при их наличии);
копию товарно-сопроводительных документов для партии продукции (при необходимости);
копию таможенной декларации для партии продукции (при необходимости).
Прилагаемые к заявке документы, в том числе их копии, должны быть заверены печатью и подписью заявителя.
Документы представляются на языке оригинала вместе с их переводом на один из государственных языков Республики Беларусь.
14. В двухнедельный срок после регистрации заявки орган государственной экспертизы проводит анализ заявки и прилагаемых к заявке материалов (документов), в том числе проверку правильности заполнения заявки и достаточности представленных материалов (документов).
15. При выявлении замечаний по заявке или необходимости получения дополнительной информации орган государственной экспертизы извещает об этом заявителя.
16. Анализ материалов (документов), представленных с заявкой на экспертизу, проводится путем оценки документации и предусматривает:
определение соответствия материалов (документов) требованиям ТНПА, других документов, зарегистрированных в установленном порядке и устанавливающих требования к средствам защиты информации;
определение достаточности представленных материалов (документов) и полноты их содержания для принятия решения о проведении экспертизы;
сопоставительный анализ требований нормативных правовых актов Республики Беларусь и ТНПА с требованиями документов на заявленную продукцию;
определение достаточности приведенной номенклатуры показателей (характеристик), устанавливающих требования по технической безопасности информации к данной продукции;
определение достоверности и анализ документов, дающих полное представление о функциональных возможностях продукции.
17. В случае выявления несоответствия заявленных показателей (характеристик) обязательным требованиям нормативных правовых актов в сфере технической защиты информации рассмотрение заявки на проведение экспертизы продукции приостанавливается с извещением об этом заявителя. Рассмотрение заявки на проведение экспертизы продукции возобновляется только после устранения заявителем указанных недостатков.
18. При соответствии заявки установленной форме и достаточности представленных документов заявителю направляется решение о проведении экспертизы продукции, а также проект договора на проведение экспертизы.
19. Решение должно содержать все основные условия проведения экспертизы продукции, в том числе:
указания по отбору образцов продукции;
перечень документов, на соответствие требованиям которых проводится экспертиза;
наименование испытательной организации и ее местонахождение;
перечень дополнительных документов для представления заявителем (при необходимости);
условия оплаты работ по проведению экспертизы продукции.
Глава 3
ОТБОР ОБРАЗЦОВ И ПРОВЕДЕНИЕ ИСПЫТАНИЙ ПРОДУКЦИИ
20. Отбор образцов продукции для испытаний и документирование процедуры отбора образцов продукции осуществляет в соответствии с решением органа государственной экспертизы его уполномоченный представитель (эксперт). Отбор образцов продукции осуществляется в присутствии заявителя или его уполномоченного представителя.
21. Одновременно с отбором образцов продукции проводится идентификация продукции.
Идентификация продукции предусматривает проверку соответствия представленной на экспертизу продукции требованиям, предъявляемым к данному виду (типу) продукции:
наименование и местонахождение изготовителя;
наименование продукции;
серийный номер - для технической продукции, хэш-значение - для программной продукции;
объем представленной партии;
срок хранения;
вид упаковки, тары;
иная информация, указанная в товаросопроводительных документах.
Методы и средства, используемые для идентификации продукции, согласовываются с заявителем.
22. Результаты отбора и идентификации образцов продукции отражаются в акте отбора образцов по форме согласно приложению 2.
Акт отбора образцов оформляется в трех экземплярах - по одному для органа государственной экспертизы, заявителя и испытательной организации.
23. Доставку образцов продукции в испытательные организации осуществляет заявитель.
24. При испытаниях продукции используются методы, приведенные в ТНПА на продукцию или программы и методики испытаний. Программы и методики испытаний, сроки проведения отдельных этапов испытаний согласовываются в установленном порядке с органом государственной экспертизы. Типовые образцы продукции должны проходить экспертизу по одним и тем же методикам испытаний.
Для проведения испытаний органом государственной экспертизы могут быть привлечены несколько аккредитованных испытательных лабораторий.
25. Испытания продукции проводятся на основании договоров.
Договор с испытательной организацией на проведение испытаний заключает заявитель или орган государственной экспертизы.
26. Проведение испытаний в испытательной организации может осуществляться в присутствии эксперта органа государственной экспертизы.
27. Заявитель представляет в испытательную организацию отобранные в установленном порядке образцы (образец) продукции, техническую документацию на нее (при необходимости) и акт отбора образцов.
28. Протоколы испытаний оформляются в количестве экземпляров, равном количеству заинтересованных сторон, и направляются в орган государственной экспертизы и заявителю независимо от результатов испытаний.
29. Образцы продукции после проведения испытаний подлежат возврату заявителю. Сведения о возврате заявителю образцов продукции указываются в акте сдачи-приемки работ.
Глава 4
АНАЛИЗ РЕЗУЛЬТАТОВ ИСПЫТАНИЙ И ВЫДАЧА
ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ
30. По результатам анализа представленной документации и протоколов испытаний орган государственной экспертизы принимает решение о выдаче либо об отказе в выдаче экспертного заключения.
31. При положительных результатах испытаний орган государственной экспертизы в двухнедельный срок со дня выдачи протокола испытаний оформляет и выдает заявителю экспертное заключение.
Если испытания продукции по отдельным показателям проводились в разных испытательных организациях, экспертное заключение выдается при наличии всех необходимых протоколов с положительными результатами испытаний.
32. В экспертном заключении отражаются результаты проведения экспертизы продукции, в том числе:
основание и предмет проведения экспертизы;
наименование и место нахождения заявителя;
перечень ТНПА, заявленных показателей (характеристик) по технической защите информации, на соответствие которым проводилась экспертиза продукции;
перечень продукции, представленной на экспертизу (в соответствии с актом отбора образцов);
результаты экспертизы продукции;
выводы по результатам экспертизы продукции;
требования, обязательные для выполнения заявителем;
дата выдачи, срок действия экспертного заключения.
33. Экспертное заключение может иметь приложение, содержащее информацию для заявителя (требования, обязательные для выполнения заявителем, рекомендации, предложения и другую информацию о порядке эксплуатации и дополнительных мерах по защите информации).
34. Экспертное заключение подписывается уполномоченным представителем органа государственной экспертизы, утверждается руководителем органа государственной экспертизы или его уполномоченным заместителем и заверяется гербовой печатью.
35. При завершении этапов экспертизы орган государственной экспертизы направляет заявителю экспертное заключение с актом сдачи-приемки работ.
36. Срок проведения экспертизы, включая проведение испытаний в испытательных организациях, должен составлять не более 90 рабочих дней в зависимости от сложности представленной на экспертизу продукции.
В случае выявления в процессе экспертизы несоответствия продукции заявленным показателям (характеристикам) по технической защите информации, требованиям ТНПА по согласованию с заявителем срок проведения экспертизы может быть продлен для устранения выявленных недостатков.
37. При неустранении заявителем в установленный срок выявленных недостатков орган государственной экспертизы принимает решение об отказе в выдаче экспертного заключения, о чем в пятидневный срок письменно информирует заявителя с указанием причин отказа.
Глава 5
ИНФОРМАЦИЯ О РЕЗУЛЬТАТАХ ЭКСПЕРТИЗЫ
38. Срок действия экспертного заключения в обязательном порядке указывается на первой странице заключения после реквизита "Гриф утверждения".
39. Экспертные заключения на продукцию выдаются органом государственной экспертизы на два года.
40. Документы и материалы, подтверждающие результаты экспертизы, хранятся в органе государственной экспертизы, выдавшем экспертное заключение.
41. Орган государственной экспертизы формирует и ведет учет выданных экспертных заключений в реестре продукции, прошедшей экспертизу и имеющей экспертное заключение. При необходимости орган государственной экспертизы вправе представлять заинтересованным организациям информацию о продукции из реестра.
42. Срок хранения документов, подтверждающих результаты экспертизы, составляет пять лет после окончания срока действия экспертного заключения.
Глава 6
ПРИОСТАНОВЛЕНИЕ ИЛИ ОТМЕНА ДЕЙСТВИЯ ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ
43. Решение о приостановлении или об отмене действия экспертного заключения принимается органом государственной экспертизы в случае:
изменения ТНПА, технических документов на данные средства защиты информации, технологического процесса изготовления средств защиты информации, которые могут вызвать несоответствие требованиям, подтвержденным при экспертизе;
невыполнения заявителем, получившим экспертное заключение, требований, предъявляемых по результатам проведения экспертизы и отражаемых в экспертном заключении и приложении к нему;
предъявления потребителем обоснованных претензий на качество продукции.
При этом орган государственной экспертизы в пятидневный срок направляет заявителю письмо о выявленных недостатках и возможном приостановлении или отмене действия экспертного заключения.
Решение о приостановлении действия экспертного заключения принимается в том случае, если путем выполнения мероприятий по устранению выявленных несоответствий, согласованных с органом государственной экспертизы, заявитель может устранить обнаруженные причины несоответствия и подтвердить без повторных испытаний в испытательной организации соответствие продукции заявленным показателям (характеристикам) по технической защите информации или требованиям ТНПА. Действие экспертного заключения возобновляется по решению органа государственной экспертизы после устранения заявителем выявленных недостатков.
Решение об отмене действия экспертного заключения принимается в случае несоответствия продукции, прошедшей экспертизу, заявленным показателям (характеристикам) по технической защите информации или требованиям ТНПА, на соответствие которым проводилась экспертиза, а также при невыполнении заявителем мероприятий по устранению выявленных несоответствий в установленный органом государственной экспертизы срок.
44. Решение о приостановлении или отмене действия экспертного заключения вступает в силу со дня его принятия органом государственной экспертизы, о чем в пятидневный срок в письменной форме информируется владелец экспертного заключения.
Глава 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
45. При внесении изменений в состав продукции или технологию ее производства, которые могут вызвать несоответствие показателям, оцененным при проведении экспертизы, заявитель обязан в месячный срок известить об этом орган государственной экспертизы, который принимает решение о необходимости проведения дополнительных испытаний.
46. При наличии спорных вопросов по результатам испытаний продукции в аккредитованной испытательной лаборатории заявитель подает жалобу в орган государственной экспертизы. В десятидневный срок со дня получения жалобы орган государственной экспертизы рассматривает ее и при необходимости принимает решение о проведении повторных испытаний продукции, к которым могут быть привлечены несколько аккредитованных испытательных лабораторий.
47. Действия органа государственной экспертизы, связанные с проведением экспертизы продукции, могут быть обжалованы в судебном порядке.
Приложение 1
к Положению о порядке проведения
государственной экспертизы
средств защиты информации
Форма
ЗАЯВКА
на проведение государственной экспертизы продукции
_________________________________________________________
(наименование заявителя)
___________________________________________________________________________
местонахождение ___________________________________________________________
____________________, УНП ___________________ р/с ________________________,
телефон _______________________, факс ____________________________________,
в лице ____________________________________________________________________
(должность, фамилия, имя, отчество руководителя)
заявляет, что ____________________________________________________________,
(наименование вида продукции, код ОКП, код ТН ВЭД)
изготовленная _____________________________________________________________
(наименование изготовителя)
___________________________________________________________________________
(выпускается серийно, партия, единичное изделие)
__________________________________________________________________________,
(товаросопроводительный документ и объем партии)
выпускаемая по ____________________________________________________________
(обозначение и наименование документации изготовителя
(ТУ, стандарт и т.п.)
________________________________________________, соответствует требованиям
__________________________________________________________________________,
(обозначение и наименование документов)
и просит провести экспертизу данной продукции на соответствие требованиям
указанных документов.
Заявитель обязуется:
выполнять все условия договора на проведение экспертизы;
оплатить все расходы по проведению экспертизы;
обеспечивать стабильность показателей (характеристик) продукции при
проведении экспертизы.
Приложение:
Директор _______________ _________________________
(подпись) (фамилия, инициалы)
__ ______________ 20__ г.
Главный бухгалтер _______________ _________________________
(подпись) (фамилия, инициалы)
М.П. __ ______________ 20__ г.
Приложение 2
к Положению о порядке проведения
государственной экспертизы
средств защиты информации
Форма
___________________________________________________________________
(наименование уполномоченного государственного органа по проведению
экспертизы)
АКТ ОТБОРА ОБРАЗЦОВ N ______
от __ _______________ 20__ г.
На ________________________________________________________________________
(местонахождение груза, наименование организации-заявителя)
мною, ____________________________________________________________________,
(фамилия, инициалы представителя исполнителя)
в присутствии _____________________________________________________________
(фамилия, инициалы представителя заявителя)
отобраны образцы _________________________________________________________,
(наименование продукции, код ОКП)
изготовленной (поставленной) _____________________________________________,
(наименование изготовителя (поставщика)
для контроля на соответствие требованиям _________________________________.
(наименование и обозначение
документов)
Отбор образцов произведен в соответствии с требованиями ___________________
__________________________________________________________________________.
(наименование и обозначение ТНПА)
---+-------------------------+---------+------+-----------------+----------
¦ Наименование образцов ¦ ¦ ¦ ¦
¦проверяемой продукции, ее¦ ¦ ¦Дата изготовления¦Количество
N ¦реквизиты (изготовитель, ¦ Единица ¦Размер¦ (конечный срок ¦отобранных
п/п¦ штриховой код, ¦измерения¦партии¦реализации, номер¦ образцов
¦ хэш-значение и др.) ¦ ¦ ¦ изделия и т.п.) ¦
---+-------------------------+---------+------+-----------------+----------
¦ ¦ ¦ ¦ ¦
Результаты внешнего осмотра ______________________________________________.
Информация об идентификации продукции ____________________________________.
Упаковка _________________________________________________________________.
Условия и место хранения _________________________________________________.
Отобранные образцы опечатаны _____________________________________________.
Эксперт _______________ _________________________
(подпись) (фамилия, имя, отчество)
Заявитель _______________ _________________________
(подпись) (фамилия, имя, отчество)
|