- •Стандартизація. Ліцензування. Сертифікація. Експертиза стандартизація
- •Види стандартизації за рівнем
- •Об'єкти стандартизації
- •Суб'єкти стандартизації
- •Мета і завдання стандартизації
- •Системи стандартів
- •Види стандартів в Україні
- •Ліцензування діяльності у галузі тзі
- •Ліцензійні умови провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України) і. Загальні положення
- •4.3. Спеціалісти відповідно до своїх функціональних обов’язків повинні знати:
- •4.4. Спеціалісти відповідно до своїх функціональних обов’язків повинні вміти:
- •VIII. Особливості ліцензування у галузі тзі
- •Сертифікація засобів тзі
- •Державна експертиза у сфері тзі
- •Порядок проведення робіт з первинної експертизи засобів технічного захисту інформації від несанкціонованого доступу
- •Особливості проведення робіт з додаткової та контрольної експертизи засобів технічного захисту інформації від несанкціонованого доступу
- •7.1 Порядок проведення робіт з первинної експертизи комплексних систем захисту інформації
- •Особливості проведення робіт з додаткової та контрольної експертизи комплексних систем захисту інформації
VIII. Особливості ліцензування у галузі тзі
8.1. Суб'єкт господарювання, який має намір провадити господарську діяльність у галузі ТЗІ та відповідає вимогам цих Ліцензійних умов, подає до Адміністрації Держспецзв’язку заяву про видачу ліцензії, форма якої наведена у додатку 1 до цих Ліцензійних умов.
Система оцінювання продукції у сфері ТЗІ включає дві процедури – сертифікацію засобів ТЗІ та державну експертизу.
Сертифікація засобів тзі
Об’єктом сертифікації в галузі ТЗІ є окремі засоби ТЗІ, які можуть вироблятися як серійно, так і одиничні зразки, у тому числі сертифікації можуть підлягати і засоби імпортного виробництва. Процедура призначена надавати споживачу засобів ТЗІ гарантії відповідності цих засобів нормативним документам. Така гарантія може бути надана після проведення певних організаційно-технічних заходів. Результатом сертифікаційних робіт є спеціальний документ встановленого зразка - сертифікат відповідності.
Створення системи сертифікації засобів ТЗІ в Україні було розпочато ще в середині 90-х років і складність його полягала в тому, що раніше ні в СРСР, ні в Україні не проводилася сертифікація засобів ТЗІ, до того ж на той час бракувало необхідної для досягнення цієї мети нормативно-правової та матеріально-технічної бази.
З березня 1999 року система сертифікації засобів ТЗІ розпочала свою практичну діяльність.
Порядок та вимоги щодо проведення сертифікації засобів ТЗІ визначаються Правилами проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, який є обов’язковим як для акредитованих у системі органів з сертифікації засобів ТЗІ та випробувальних лабораторій, так і для підприємств, установ й організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби ТЗІ у державні і недержавні установи, де циркулює інформація, що підлягає захисту у відповідності до законодавства.
На цей час в нашій державі сертифікація засобів ТЗІ проводиться акредитованими в Українській державній системі сертифікації продукції (УкрСЕПРО) органами та випробувальними лабораторіями. Зараз функціонують 2 органи із сертифікації та 2 випробувальні лабораторії.
За період функціонування системи сертифікації видано 94 сертифікати відповідності на 93 види засобів ТЗІ.
ЗАТВЕРДЖЕНО Наказ Адміністрації Держспецзв'язку, Держспоживстандарту України 25.04.2007 N 75/91
Зареєстровано в Міністерстві юстиції України 14 травня 2007 р. за N 498/13765 ПРАВИЛА проведення робіт із сертифікації засобів захисту інформації
1. Загальні положення 1.2. Цей документ установлює правила проведення робіт із сертифікації засобів захисту інформації в державній системі сертифікації (далі - Система).
1.3. Правила призначені для:
органів із сертифікації (далі - ОС) та випробувальних лабораторій (далі - ВЛ);
органів державної влади, органів місцевого самоврядування, утворених відповідно до законів України військових формувань, підприємств, установ і організацій незалежно від форм власності, що здійснюють діяльність, пов'язану з інформацією, яка є власністю держави, або інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом, і використовують засоби захисту інформації;
підприємств, установ і організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби захисту інформації. 3. Сертифікаційна діяльність 3.1. Загальне керівництво сертифікаційною діяльністю у сфері захисту інформації, організація і координація робіт із сертифікації здійснюються національним органом із сертифікації - Міністерством економічного розвитку і торгівлі України та Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку).
3.2. Сертифікацію здійснюють виключно ОС, які призначені та/або повноважені в установленому порядку для виконання робіт із сертифікації в Системі і мають відповідну галузь акредитації.
Сертифікаційні випробування проводять виключно ВЛ, акредитовані в установленому порядку на незалежність та/або технічну компетентність відповідно до вимог ДСТУ 3412-96 або ДСТУ ISO/IEC 17025:2006
3.3. Об'єктом сертифікації в Системі є засоби захисту інформації.
3.4. Сертифікація проводиться на відповідність до вимог нормативних документів, які затверджені та зареєстровані в установленому порядку. 3.5. Порядок проведення робіт із сертифікації засобів захисту інформації в загальному випадку передбачає:
подання заявки на сертифікацію;
розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;
обстеження чи атестацію виробництва засобів захисту інформації, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;
відбір зразків засобів захисту інформації для випробувань;
ідентифікацію засобів захисту інформації;
приймання ВЛ зразків засобів захисту інформації;
випробування зразків засобів захисту інформації;
аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;
видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів захисту інформації до Реєстру Системи;
технічний нагляд за сертифікованими засобами захисту інформації під час їх виробництва;
інформування про результати робіт із сертифікації засобів захисту інформації.
4.11.2. За позитивними результатами розгляду протоколу випробувань та інших робіт, що передбачені в рішенні за заявкою, ОС приймає рішення про видачу сертифіката відповідності.
4.12. Видача сертифіката відповідності та занесення сертифікованих засобів захисту інформації до Реєстру Системи