Reglamento sobre certificación de medios de seguridad de la información requisitos de seguridad de la información..
Promulgado por orden
del Presidente de la Comisión Técnica Estatal de Rusia
de fecha 27 de octubre de 1995 No. 199
Registrado por Gosstandart de Rusia
en el Registro Estatal el 20 de marzo de 1995
(Certificado No. Р0СС RU. 0001. 01БИ00)
REGLAMENTO
sobre certificación de herramientas de seguridad de la información
según los requisitos de seguridad de la información
(con adiciones de acuerdo con el Gobierno Decreto
de la Federación de Rusia de 26 de junio de 1995 No. 608 «Sobre la certificación
de medios de seguridad de la información»)
Contenidos
- Disposiciones generales
- Estructura organizativa del sistema de certificación
herramientas de protección de la información según requisitos de seguridad
información - Procedimiento de certificación y control
- Requisitos de los documentos reglamentarios y metodológicos para
certificación de medios de seguridad de la información - Apéndice 1
- Apéndice 2
- Apéndice 3
- Apéndice 4
- Apéndice 5
1. DISPOSICIONES GENERALES
1.1. Este Reglamento establece los principios básicos, la estructura organizativa del sistema de certificación obligatoria de los medios de seguridad de la información, el procedimiento para la certificación de estos medios de protección de acuerdo con los requisitos de seguridad de la información, así como el control y supervisión estatal de la certificación y los medios de seguridad de la información certificados.
Por medios de seguridad de la información se entienden los medios técnicos, criptográficos, de software y otros diseñados para proteger la información que constituye un secreto de estado, los medios mediante los cuales se implementan, así como los medios para monitorear la efectividad de la protección de la información.
La certificación de herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información (en adelante, certificación) se refiere a actividades destinadas a confirmar su cumplimiento con los requisitos de las normas estatales u otros documentos reglamentarios sobre seguridad de la información aprobados por la Comisión Técnica Estatal del Presidente de la Federación de Rusia. Federación (Comisión Técnica Estatal de Rusia).
1.2. El Reglamento se desarrolló de conformidad con las Leyes de la Federación de Rusia «sobre certificación de productos y servicios» y «Sobre los secretos de Estado», Decreto del Gobierno de la Federación de Rusia de 26 de junio de 1995 No. 608 «Sobre la certificación de herramientas de seguridad de la información», «Reglamentos sobre el Estado El Sistema de Protección de la Información en la Federación de Rusia contra la inteligencia técnica extranjera y contra su filtración a través de canales técnicos», basado en el «Sistema de Certificación GOST R» y «Reglas para la certificación en la Federación de Rusia».
1.3. El sistema de certificación de medios de seguridad de la información según los requisitos de seguridad de la información incluye la certificación de los objetos de informatización según los requisitos de seguridad de la información y está sujeto a registro estatal en la forma prescrita por la Norma Estatal de Rusia.
Por objetos de informatización certificados según los requisitos de seguridad de la información se entienden sistemas automatizados (SA) de diversos niveles y finalidades, sistemas de comunicación, visualización y reproducción de documentos, junto con los locales en los que están instalados, diseñados para procesar y transmitir información sujeta a protección, así como así como los locales destinados a negociaciones confidenciales.
Los principios básicos, la estructura organizativa del sistema de certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información, las reglas de conducta, así como otras cuestiones de certificación, están determinados por el «Reglamento sobre la certificación de objetos de informatización de acuerdo con la seguridad de la información». requisitos».
Actividades del sistema de certificación organizado por la Comisión Técnica Estatal de Rusia dentro de su competencia determinada por los actos legislativos y otros actos reglamentarios de la Federación de Rusia.
1.4. Los objetivos de la creación de un sistema de certificación son:
- asegurar la implementación de los requisitos del sistema estatal de seguridad de la información;
- crear condiciones para el suministro eficaz y de alta calidad a los consumidores de herramientas certificadas de seguridad de la información;
- garantizar la seguridad nacional en el ámbito de la información;
- promover la formación de un mercado para tecnologías de la información seguras y los medios para respaldarlas;
- formación e implementación de una política científica, técnica e industrial unificada en el campo de la informatización, teniendo en cuenta los requisitos modernos para la protección de la información;
- apoyo a proyectos y programas de informatización.
1.5. Los equipos, incluidos los de fabricación extranjera, destinados a proteger información que constituye un secreto de estado y otra información de acceso limitado, así como los equipos utilizados en la gestión de instalaciones ambientalmente peligrosas, están sujetos a certificación obligatoria. La lista de medios de seguridad de la información sujetos a certificación obligatoria la elabora la Comisión Técnica Estatal de Rusia y la acuerda con la Comisión Interdepartamental para la Protección de los Secretos de Estado. En otros casos, la certificación es de carácter voluntario (certificación voluntaria) y se realiza por iniciativa del desarrollador, fabricante o consumidor del producto de seguridad de la información.
1.6. Los principales esquemas de certificación para herramientas de seguridad de la información son:
- para muestras individuales de herramientas de seguridad de la información — probar la muestra para comprobar que cumple con los requisitos de seguridad de la información;
- para la producción en serie de medios de seguridad de la información: realización de pruebas de tipo de muestras de productos para verificar el cumplimiento de los requisitos de seguridad de la información y el posterior control de inspección sobre la estabilidad de las características de los productos certificados, asegurando (determinando) el cumplimiento de estos requisitos. Además, por decisión del organismo de certificación, se permite la inspección preliminar (certificación) de la producción de acuerdo con el programa aprobado. De acuerdo con el organismo de certificación de los requisitos de seguridad de la información, se pueden utilizar otros esquemas de certificación utilizados en la práctica internacional.
1.7. La certificación de los medios de seguridad de la información la lleva a cabo la Comisión Técnica Estatal de Rusia y los organismos de certificación acreditados, y las pruebas las llevan a cabo centros de pruebas (laboratorios) acreditados sobre su base material y técnica. En algunos casos, de acuerdo con la Comisión Técnica Estatal de Rusia o el organismo de certificación, se permite realizar pruebas en la base de pruebas del desarrollador (fabricante, proveedor, consumidor) de esta herramienta de seguridad de la información.
Las reglas de acreditación están determinadas por el sistema actual «Reglamento sobre la acreditación de centros de pruebas (laboratorios) y organismos de certificación de medios de seguridad de la información.
1.8. El procedimiento de pago por la certificación de herramientas específicas de seguridad de la información lo lleva a cabo el solicitante sobre la base de acuerdos entre los participantes en la certificación. La cantidad de fondos gastados por el solicitante para la certificación de una herramienta de seguridad de la información está incluida en su costo.
1.9. Los organismos de certificación y los centros de pruebas (laboratorios) son responsables de cumplir las funciones que les sean asignadas, garantizar la seguridad de los secretos de estado, otra información confidencial, los activos materiales proporcionados por el solicitante, así como de observar los derechos de autor del solicitante al probar sus medios de seguridad de la información. .
2. ESTRUCTURA ORGANIZATIVA DEL SISTEMA DE CERTIFICACIÓN
2.1. La estructura organizativa del sistema de certificación está formada por:
- Comisión Técnica Estatal de Rusia (organismo federal para la certificación de medios de seguridad de la información);
- órgano central del sistema de certificación de seguridad de la información;
- organismos de certificación de herramientas de seguridad de la información;
- centros de pruebas (laboratorios);
- solicitantes (desarrolladores, fabricantes, proveedores, consumidores de productos de seguridad de la información).
2.2. La Comisión Técnica Estatal de Rusia, dentro de su competencia, desempeña las siguientes funciones:
- crea un sistema de certificación para herramientas de seguridad de la información y establece reglas para la certificación de tipos específicos de herramientas de seguridad de la información en este sistema;
- organiza el funcionamiento del sistema de certificación de seguridad de la información;
- define una lista de herramientas de seguridad de la información que están sujetas a certificación obligatoria en este sistema;
- establece las reglas para la acreditación y emisión de licencias para trabajos de certificación;
- organiza y financia el desarrollo de documentos normativos y metodológicos para el sistema de certificación de herramientas de seguridad de la información;
- determina el organismo central del sistema de certificación de seguridad de la información (si es necesario) o realiza las funciones de este organismo;
- aprueba los documentos reglamentarios sobre seguridad de la información, para cuyo cumplimiento se lleva a cabo la certificación de los medios de seguridad de la información en el sistema, y los documentos metodológicos para la realización de pruebas de certificación;
- acredita organismos de certificación y centros de pruebas (laboratorios), les expide licencias para realizar ciertos tipos de trabajos;
- mantiene el registro estatal de participantes y objetos de certificación;
- ejerce control y supervisión estatal y establece un procedimiento para el control de inspección del cumplimiento de las normas de certificación y los medios certificados de seguridad de la información;
- considera apelaciones relacionadas con cuestiones de certificación;
- presenta un sistema de certificación y una marca de conformidad para el registro estatal ante el Gosstandart de Rusia;
- organiza la publicación periódica de información sobre la certificación;
- interactúa con los organismos autorizados pertinentes de otros países y organizaciones internacionales en cuestiones de certificación, toma decisiones sobre el reconocimiento de certificados internacionales y extranjeros;
- organiza la formación y certificación de expertos — auditores;
- expide certificados y licencias para el uso de la marca de conformidad;
- suspende o revoca la validez de los certificados emitidos.
La Comisión Técnica Estatal de Rusia podrá delegar algunas de sus funciones en el organismo central del sistema de certificación y en los organismos de certificación.
2.3. El organismo central del sistema de certificación de seguridad de la información:
coordina las actividades de los organismos de certificación y los centros de pruebas (laboratorios) incluidos en el sistema;
desarrolla propuestas para la gama de herramientas de seguridad de la información certificadas en el sistema y las presenta a la Comisión Técnica Estatal de Rusia;
participa en los trabajos para mejorar el fondo de documentos regulatorios para cuyo cumplimiento se lleva a cabo la certificación de los medios de seguridad de la información en el sistema, y documentos metodológicos para la realización de pruebas de certificación;
participa en la consideración de apelaciones sobre las actuaciones de los organismos de certificación y centros de pruebas (laboratorios) incluidos en el sistema;
participa en la acreditación de organismos de certificación y centros de pruebas (laboratorios) para la certificación de herramientas de seguridad de la información incluidas en el sistema;
mantiene registros de los organismos de certificación y centros de pruebas (laboratorios) incluidos en el sistema, certificados y licencias emitidos y revocados para el uso de la marca de conformidad, documentos regulatorios y metodológicos que contienen reglas, requisitos, métodos y recomendaciones. para certificación;
proporciona a los participantes de la certificación información sobre las actividades del sistema y prepara los materiales necesarios para su publicación.
2.4. Organismos de certificación de herramientas de seguridad de la información dentro del alcance de acreditación establecido:
- determinar el esquema de certificación para herramientas de seguridad de la información específicas, teniendo en cuenta las propuestas del solicitante;
- especificar los requisitos para cuyo cumplimiento se realizan las pruebas de certificación;
- recomendar un centro de pruebas (laboratorio) al solicitante;
- aprueba programas y métodos para realizar pruebas de certificación;
- realizar un examen de la documentación técnica y operativa de los medios y materiales de seguridad de la información para las pruebas de certificación de estos medios;
- elaborar un dictamen pericial sobre la certificación de medios de seguridad de la información, redactar certificados y licencias para el uso de la marca de conformidad y presentarlos a la Comisión Técnica Estatal de Rusia;
- organizar, si es necesario, una inspección preliminar (certificación) de la producción de herramientas de seguridad de la información certificadas;
- participar en la acreditación de centros de pruebas (laboratorios);
- participar en el control de inspección sobre la estabilidad de las características de las herramientas de seguridad de la información certificadas y las actividades de los centros de pruebas (laboratorios);
- almacenar la documentación (originales) que confirme la certificación de los medios de seguridad de la información;
- solicita a la Comisión Técnica Estatal de Rusia que cancele la validez de los certificados emitidos;
- formar y actualizar un fondo de documentos normativos y metodológicos necesarios para la certificación, participar en su desarrollo;
- proporcionar al solicitante la información necesaria sobre la certificación.
2.5. Centros de pruebas (laboratorios) dentro del alcance de acreditación establecido:
- realizar pruebas de certificación de herramientas específicas de seguridad de la información, elaborar conclusiones y protocolos para las pruebas de certificación, desarrollar programas y métodos para las pruebas de certificación;
- realizar la selección de muestras de medios de seguridad de la información para las pruebas de certificación;
- participar en la verificación preliminar (certificación) de la producción de herramientas de seguridad de la información certificadas.
Los centros de pruebas (laboratorios) son responsables de la integridad de las pruebas de los equipos de seguridad de la información, la confiabilidad, la objetividad y la precisión requerida de las mediciones, la verificación oportuna de los instrumentos de medición y la certificación de los equipos de pruebas.
2.6. Solicitantes (desarrolladores, fabricantes, proveedores, consumidores de herramientas de seguridad de la información):
- asegurar que las herramientas de seguridad de la información cumplan con los requisitos de los documentos reglamentarios sobre seguridad de la información;
- llevar a cabo la preparación de la producción y tomar medidas para garantizar la estabilidad de las características de las herramientas de seguridad de la información que determinan la seguridad de la información;
- indicar en la documentación técnica información sobre la herramienta de seguridad de la información certificada, los documentos reglamentarios que debe cumplir, asegurar que esta información sea comunicada al consumidor;
- marcar las herramientas de seguridad de la información certificadas con un signo de conformidad en la forma establecida por las reglas del sistema de certificación;
- aplicar el certificado y la marca de conformidad, guiados por los actos legislativos de la Federación de Rusia y las reglas del sistema de certificación;
- notificar al organismo de certificación y al centro de pruebas (laboratorio) que llevó a cabo la certificación de todos los cambios en la tecnología, diseño (composición) de los medios de seguridad de la información certificados para tomar una decisión sobre la necesidad de volver a certificar estos medios de seguridad de la información;
- garantizar el libre ejercicio de sus competencias por parte de los funcionarios de los órganos que ejercen el control de inspección sobre los medios certificados de seguridad de la información;
- suspender o cancelar la implementación de medidas de seguridad de la información si no cumplen con los requisitos de los documentos reglamentarios, así como al vencimiento del certificado, al suspenderlo o cancelarlo;
- Si se detecta una discrepancia entre los medios de seguridad de la información certificados y los requisitos de los documentos reglamentarios, se toman medidas para perfeccionar estos medios de seguridad de la información y realizar pruebas de certificación.
Los solicitantes (desarrolladores, fabricantes, proveedores) deben tener una licencia de la Comisión Técnica Estatal de Rusia para el tipo de actividad correspondiente.
2.7. Los organismos de certificación y los centros de pruebas (laboratorios) están acreditados por la Comisión Técnica Estatal de Rusia.
Los organismos de certificación y los centros de pruebas (laboratorios) deben ser personas jurídicas, contar con especialistas capacitados, los instrumentos de medición, equipos y métodos de prueba necesarios, documentos reglamentarios para llevar a cabo toda la gama de trabajos de prueba de seguridad de la información específica. medios en sus áreas de acreditación.
La acreditación se lleva a cabo únicamente si existe una licencia de la Comisión Técnica Estatal de Rusia para los tipos de actividades correspondientes.
La acreditación como organismos de certificación y centros de pruebas (laboratorios) de empresas subordinadas a las autoridades ejecutivas federales se lleva a cabo por recomendación de estas autoridades.
3. PROCEDIMIENTO DE CERTIFICACIÓN Y CONTROL
3.1. El procedimiento de certificación incluye los siguientes pasos:
- presentación y consideración de una solicitud de certificación de herramientas de seguridad de la información; prueba de herramientas de seguridad de la información certificadas y certificación de su producción;
- examen de los resultados de las pruebas, registro, registro y emisión de un certificado y licencia para el derecho a utilizar la marca de conformidad;
- ejercer el control y supervisión estatal, el control de inspección sobre el cumplimiento de las normas de certificación obligatoria y los medios certificados de seguridad de la información.
- informar sobre los resultados de la certificación de herramientas de seguridad de la información;
- consideración de las apelaciones.
3.2. Presentación y consideración de una solicitud de certificación de herramientas de seguridad de la información.
3.2.1. Para obtener un certificado, el solicitante presenta una solicitud (Apéndice 1) a la Comisión Técnica Estatal de Rusia para realizar pruebas, indicando el esquema de certificación, las normas y otros documentos reglamentarios para cuyo cumplimiento se debe realizar la certificación.
3.2.2. La Comisión Técnica Estatal de Rusia, dentro de un mes después de recibir la solicitud, envía al solicitante, al organismo de certificación y al centro de pruebas (laboratorio) designado para la certificación, una decisión sobre la realización de la certificación (Apéndice 2). A petición del solicitante, se puede cambiar el organismo de certificación y el centro de pruebas (laboratorio).
Después de recibir la decisión, el solicitante está obligado a presentar al organismo de certificación y al centro de pruebas (laboratorio) herramientas de seguridad de la información de acuerdo con las especificaciones técnicas de este producto, así como un conjunto de documentación técnica y operativa, de acuerdo con los documentos reglamentarios. en ESKD, DEUC para el dispositivo de seguridad de la información que se certifica.
3.3. Pruebas de herramientas certificadas de seguridad de la información en centros de pruebas (laboratorios).
3.3.1. Las pruebas de los medios certificados de seguridad de la información se realizan sobre muestras, cuyo diseño, composición y tecnología de fabricación deben ser las mismas que las de las muestras suministradas al consumidor, cliente según programas y métodos de prueba acordados con el solicitante y el aprobado. organismo de certificación. La documentación técnica y operativa de las herramientas de seguridad de la información en serie debe tener una letra no inferior a «O1» (según ESKD).
El número de muestras, el procedimiento para su selección e identificación deben cumplir con los requisitos de los documentos normativos y metodológicos para este tipo de medios de seguridad de la información.
Si no existen centros de pruebas (laboratorios) en el momento de la certificación, el organismo de certificación determina la posibilidad, ubicación y condiciones de las pruebas para garantizar la objetividad de sus resultados.
3.3.2. El momento de las pruebas se establece mediante un acuerdo entre el solicitante y el centro de pruebas (laboratorio).
3.3.3. A solicitud del solicitante, sus representantes deben tener la oportunidad de familiarizarse con las condiciones de almacenamiento y prueba de muestras de medios de seguridad de la información en el centro de pruebas (laboratorio).
3.3.4. Los resultados de las pruebas se documentan en protocolos y conclusiones, que el centro de pruebas (laboratorio) envía al organismo de certificación, y en una copia — al solicitante.
3.3.5, Cuando se realicen cambios en el diseño (composición) de los medios de seguridad de la información o en su tecnología de producción, que puedan afectar las características de los medios de seguridad de la información, el solicitante (desarrollador, fabricante, proveedor) notifica al organismo de certificación sobre esto. Este último decide sobre la necesidad de realizar nuevas pruebas de estas herramientas de seguridad de la información.
3.3.6. La certificación de las herramientas de seguridad de la información importadas se lleva a cabo de acuerdo con las mismas reglas que las nacionales.
3.4. Examen de los resultados de las pruebas, ejecución, registro y emisión de un certificado y licencia para el derecho a utilizar la marca de conformidad.
3.4.1. El organismo de certificación examina los resultados de las pruebas y elabora un dictamen pericial. Si los resultados de las pruebas cumplen con los requisitos de los documentos reglamentarios sobre seguridad de la información, el organismo de certificación elabora un borrador del certificado que, junto con la opinión de los expertos y las especificaciones técnicas para el dispositivo de seguridad de la información, se envía a la Comisión Técnica Estatal de Rusia.
Después de la aprobación del dictamen pericial, la aprobación de las especificaciones técnicas de la información del dispositivo de seguridad, la asignación de un número de registro al certificado, la Comisión Técnica Estatal de Rusia emite un certificado (Apéndice 3) y todos los documentos son luego emitido al solicitante. El período de validez del certificado no supera los cinco años.
Si los resultados de las pruebas no cumplen con los requisitos de las normas u otros documentos reglamentarios sobre protección de la información, la Comisión Técnica Estatal de Rusia toma la decisión de negarse a emitir un certificado y envía una conclusión motivada al solicitante. En caso de desacuerdo con la negativa a emitir un certificado, el solicitante tiene derecho a apelar ante la junta de apelaciones de la Comisión Técnica Estatal de Rusia para una consideración adicional de los materiales de certificación.
3.4.2. La recepción de un certificado por parte del fabricante de medios de seguridad de la información le otorga el derecho de obtener una licencia de certificación (Apéndice 4) de la Comisión Técnica Estatal de Rusia para marcar estos medios con una marca de conformidad. La forma de la marca de conformidad la establece la Comisión Técnica Estatal de Rusia (Apéndice 5).
El titular de la licencia para utilizar la marca de conformidad es responsable del suministro de productos de seguridad de la información etiquetados que no cumplan con los requisitos de la documentación reglamentaria y metodológica especificada en el certificado.
3.4.3. Para reconocer un certificado extranjero, el solicitante envía una copia del mismo y una solicitud de reconocimiento del certificado a la Comisión Técnica Estatal de Rusia, que notifica al solicitante sobre el reconocimiento o la necesidad de realizar pruebas de certificación a más tardar dos meses después de su recepción. . En caso de reconocimiento — el solicitante recibe un certificado de la forma establecida (Apéndice 3).
3.5. Control y supervisión estatal, control de inspección del cumplimiento de las normas de certificación obligatoria y medios certificados de seguridad de la información.
3.5.1. El control y la supervisión estatales sobre el cumplimiento por parte de los solicitantes, los centros de pruebas (laboratorios), los organismos de certificación de las reglas de certificación obligatoria y los medios certificados de seguridad de la información lo lleva a cabo la Comisión Técnica Estatal de Rusia. El alcance, contenido y procedimiento del control y supervisión estatal se establecen en la documentación reglamentaria y metodológica que opera en el sistema de certificación de seguridad de la información.
3.5.2. El control de inspección de los medios de seguridad de la información certificados lo realiza el organismo de certificación que certificó estos medios de seguridad de la información. Las reglas generales para el control de inspección de tipos específicos de medios de seguridad de la información certificados se establecen en los documentos reglamentarios y metodológicos del sistema de certificación de medios de seguridad de la información. La frecuencia y el alcance de las pruebas de herramientas de seguridad de la información certificadas en los centros de pruebas (laboratorios) deben estar previstas en documentos reglamentarios y metodológicos para la certificación de tipos específicos de herramientas de seguridad de la información.
3.5.3. Según los resultados del control, la Comisión Técnica Estatal de Rusia puede suspender o cancelar la validez del certificado y del certificado de acreditación, y el organismo de certificación — petición para esto. La decisión de revocar un certificado se toma sólo si, como resultado de las medidas inmediatas tomadas, no se puede restablecer el cumplimiento de las medidas de seguridad de la información con los requisitos establecidos. Las razones que pueden obligar a tomar tal decisión son:
- cambios en documentos regulatorios y metodológicos sobre medios de seguridad de la información o métodos de prueba y control;
- cambios en el diseño (composición), integridad de los equipos de seguridad de la información y su sistema de control de calidad;
- incumplimiento de los requisitos de tecnología de fabricación, control y prueba de equipos de seguridad de la información;
- la negativa del solicitante a admitir (recibir) personas autorizadas para ejercer el control y supervisión estatal, el control de inspección sobre la certificación y los medios certificados de seguridad de la información.
3.5.4. La información sobre la suspensión (cancelación) de un certificado o certificado de acreditación se informa inmediatamente a los fabricantes, consumidores de productos de seguridad de la información, organismos de certificación y centros de pruebas (laboratorios).
3.6. Información sobre certificación de herramientas de seguridad de la información.
3.6.1. La Comisión Técnica Estatal de Rusia proporciona a los participantes en la certificación la información necesaria sobre las actividades del sistema de certificación, que incluye: una lista de los medios de seguridad de la información (sus parámetros certificados) para los cuales se han emitido certificados; una lista de herramientas de seguridad de la información (sus parámetros certificados) cuyos certificados han sido revocados; lista de organismos de certificación para tipos específicos de medios de seguridad de la información; lista de centros de pruebas (laboratorios); una lista de documentos reglamentarios para el cumplimiento de cuyos requisitos se lleva a cabo la certificación de los medios de seguridad de la información, y documentos metodológicos para la realización de pruebas de certificación.
3.7. Consideración de recursos.
3.7.1. La apelación se presenta al organismo de certificación, al organismo central del sistema de certificación o a la junta de apelaciones de la Comisión Técnica Estatal de Rusia sobre cuestiones relacionadas con las actividades de los centros de pruebas (laboratorios) y los organismos de certificación, respectivamente. El recurso se considera en el plazo de un mes con la participación de los interesados. Se notifica la decisión al recurrente.
4. REQUISITOS REGLAMENTARIOS Y METODOLÓGICOS
DOCUMENTOS SOBRE CERTIFICACIÓN
MEDIOS DE SEGURIDAD DE LA INFORMACIÓN
4.1. La certificación de los medios de seguridad de la información nacionales e importados se lleva a cabo para cumplir con los requisitos de las normas estatales y otros documentos reglamentarios sobre seguridad de la información, aprobados por la Comisión Técnica Estatal de Rusia, especificados en la solicitud, los programas y los métodos de prueba.
Las normas para los métodos de prueba son obligatorias si la documentación de las herramientas de seguridad de la información sobre la verificación de las características técnicas sujetas a certificación contiene una referencia a esta norma.
4.2. Al aprobar documentos reglamentarios y metodológicos, el dictamen pericial sobre los mismos debe contener información sobre su idoneidad para fines de certificación.
4.3. Los textos de los documentos normativos y metodológicos utilizados para la certificación de herramientas de seguridad de la información deben formularse de forma clara y precisa, asegurando su interpretación precisa y uniforme. En la sección «Alcance» debe haber una indicación de la posibilidad de utilizar el documento (normas, requisitos técnicos, etc.) con fines de certificación.
4.4. En una sección especial o por referencia a otro documento reglamentario o metodológico, se deberán establecer métodos, condiciones, alcance y orden de las pruebas para determinar los indicadores, características y requisitos verificados durante la certificación. El contenido y la presentación de esta información deben ser tales que minimicen los errores en los resultados de las pruebas y permitan que el personal calificado de cualquier centro de pruebas (laboratorio) obtenga resultados comparables. La secuencia de las pruebas debe especificarse si esta secuencia afecta los resultados de las pruebas.
4.5. En la sección «Marcado» debe contener requisitos que garanticen una identificación inequívoca del dispositivo de seguridad de la información, así como instrucciones sobre el método de aplicación de la marca de conformidad.
4.6. El idioma oficial del sistema es el ruso. Todos los documentos reglamentarios y metodológicos del sistema de certificación están redactados en ruso.
Apéndice 1
Para________________________________________________________________
(nombre del organismo de certificación federal, dirección)
APLICACIÓN
para la certificación de herramientas de seguridad de la información en el sistema
certificación para requisitos de seguridad de la información
No. POCC RU. 0001. 01BIOO
1._________________________________________________________________________
(nombre del solicitante, dirección)
solicita certificación del siguientes productos:
_____________________________________________________________________
_____________________________________________________________________
(nombre del producto, código OKP, código)
para el cumplimiento de los requisitos de seguridad de la información
_____________________________________________________________________
_____________________________________________________________________
(nombre de los documentos normativos y metodológicos)
2. El solicitante propone probar los productos según el esquema
__________________________________________________________________________
(se indica el esquema de certificación)
en __________________________________________________________________________
( nombre del centro de pruebas (laboratorio))
3. El solicitante se compromete a:
cumplir con todas las condiciones de certificación;
garantizar la estabilidad de las características certificadas de las herramientas de seguridad de la información marcadas con la marca de conformidad;
pagar todos los costos de la certificación.
5. Condiciones o información adicional al contrato:
a) proponemos realizar una inspección preliminar de producción durante el período _____________________________________________________________________
Lugar |
________________ Apellido I.O (firma) ________________ |
Apéndice 2
COMISIÓN TÉCNICA DEL ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
______________________________________________________________
SISTEMA DE CERTIFICACIÓN DE MEDIOS DE PROTECCIÓN DE LA INFORMACIÓN
SEGÚN LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
No. POCC RU. 0001. 01BIOO
SOLUCIÓN
de «_____» __________________199__
sobre la solicitud de certificación
Habiendo considerado la solicitud________________________________________________________
(nombre del solicitante)
para certificación_______________________________________________________________
(nombre del producto)
informar:
1. La certificación se llevará a cabo _______________________________________________
_____________________________________________________________________
(nombre del organismo de certificación, dirección)
2. Las pruebas de productos certificados deben realizarse en __________________
_____________________________________________________________________
(nombre del centro de pruebas (laboratorio), dirección)
3. Se realizará la certificación del cumplimiento de los requisitos
_____________________________________________________________________
_____________________________________________________________________
(nombre de los documentos normativos y metodológicos)
4. Se realizará control de inspección
_____________________________________________________________________
_____________________________________________________________________
(nombre de la organización, dirección)
probando muestras tomadas en el comercio y (o) del fabricante a intervalos _____________________________________________________________________
Lugar |
________________ Apellido I.O (firma) ________________ |
Apéndice 3
COMISIÓN TÉCNICA DEL ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
_______________________________________________________
SISTEMA DE CERTIFICACIÓN DE MEDIOS DE SEGURIDAD DE LA INFORMACIÓN
SEGÚN LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
No. POCC RU. 0001. 01BIOO
CERTIFICADO
Nº ______________
Emitido «___»_____________ 199
Válido hasta «___»_____________ 199
Este certificado certifica que:
1. ____________________________________________________________________
(nombre del tipo de producto, código, TU No.)
cumple con los requisitos___________________________________________
____________________________________________________________________
(listado de normas específicas o documentos reglamentarios para cuyo cumplimiento se realizaron pruebas de certificación)
2. El certificado se emitió sobre la base de la opinión de un experto _________________
_____________________________________________________________________
(nombre del organismo de certificación)
y los resultados de las pruebas de los productos especificados _____________________________________
_____________________________________________________________________
(nombre del centro de pruebas (laboratorio))
3. Solicitante________________________________________________________________
_____________________________________________________________________
(nombre de la organización solicitante, dirección)
Colocar |
________________ Apellido I.O (firma) ________________ |
Apéndice 4
COMISIÓN TÉCNICA DEL ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
_______________________________________________________
SISTEMA DE CERTIFICACIÓN DE MEDIOS DE SEGURIDAD DE LA INFORMACIÓN
SEGÚN LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
No. POCC RU. 0001. 01BIOO
LICENCIA DE CERTIFICACIÓN
N________
Emitido «___»_____________ 199
Válido hasta «___»_____________ 199
Esta licencia de certificación fue emitida ___________________________
_____________________________________________________________________
(nombre de la empresa -fabricante, dirección)
para el uso de la marca de conformidad para el marcado ______________________
_____________________________________________________________________
(nombre del tipo de producto)
  ;
Lugar |
________________ Apellido I.O (firma) ________________ |
Apéndice 5
COMISIÓN TÉCNICA DEL ESTADO
BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
_______________________________________________________
SISTEMA DE CERTIFICACIÓN DE MEDIOS DE SEGURIDAD DE LA INFORMACIÓN
SEGÚN LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
No. POCC RU . 0001. 01BIOO
FORMA Y DIMENSIONES DE LA MARCA DE CONFORMIDAD
El diseño y método de construcción de un letrero con una altura de 100 mm debe corresponder a las indicadas en el dibujo.
Dimensiones nominales de la altura del letrero «Н» debe seleccionarse de acuerdo con la serie paramétrica: 4, 5, 6, 10, 15, 20, 25, 40, 50, 60, 100.