Правила проведення робіт із сертифікації засобів захисту інформації
Практична робота №23
Порядок проведення державної експертизи та сертифікації в сфері ТЗІ
Закон України «Про підтвердження відповідності»
Підтвердження відповідності - видача документа (декларація про відповідність або сертифікат відповідності) на основі рішення, яке приймається після проведення відповідних (необхідних) процедур оцінки відповідності, що довели виконання встановлених вимог.
Законодавчо регульована сфера - сфера, в якій вимоги до продукції та умови введення її в обіг регламентуються законодавством.
Законодавчо нерегульована сфера - сфера, в якій вимоги до продукції та умови введення її в обіг не регламентуються законодавством.
Сертифікація - процедура, за допомогою якої визнаний в установленому порядку орган документально засвідчує відповідність продукції, систем якості, систем управління якістю, систем екологічного управління, персоналу встановленим законодавством вимогам.
Цей закон визначає правові засади підтвердження відповідності продукції, персоналу, систем якості, систем управління якістю та систем управління довкіллям вимогам, встановленим законодавством України.
Дія Закону поширюється на виробників та постачальників продукції незалежно від форми власності і видів діяльності, а також на органи з сертифікації, випробувальні лабораторії та відповідні органи державної влади.
Процедура підтвердження відповідності в законодавчо регульованій сфері запроваджується технічними регламентами з підтвердження відповідності.
Відповідність продукції вимогам, встановленим законодавством, засвідчується декларацією про відповідність або сертифікатом відповідності. Виробник зобов'язаний наносити національний знак відповідності в законодавчо регульованій сфері на продукцію, відповідність якої він засвідчив декларацією. У разі підтвердження відповідності за результатами сертифікації до національного знака відповідності додається ідентифікаційний номер органу, що здійснив сертифікацію.
За погодженням з уповноваженим центральним органом виконавчої влади у сфері підтвердження відповідності органи з сертифікації мають право укладати угоди про взаємне визнання робіт з підтвердження відповідності з уповноваженими органами інших країн.
Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, встановлено інші норми, ніж ті, що передбачені цим Законом, то застосовуються норми міжнародного договору.
Правила проведення робіт із сертифікації засобів захисту інформації
Загальне керівництво сертифікаційною діяльністю у сфері захисту інформації, організація і координація робіт із сертифікації здійснюються національним органом із сертифікації – Державним комітетом України з питань технічного регулювання та споживчої політики (далі – Держспоживстандарт України) та Державною службою спеціального зв’язку та захисту інформації України (далі – Держспецзв'язку).
Порядок проведення робіт із сертифікації засобів захисту інформації в загальному випадку передбачає:
- подання заявки на сертифікацію;
- розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;
- обстеження чи атестацію виробництва засобів захисту інформації, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;
- відбір зразків засобів захисту інформації для випробувань;
- ідентифікацію засобів захисту інформації;
- приймання ВЛ зразків засобів захисту інформації;
- випробування зразків засобів захисту інформації;
- аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;
- видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів захисту інформації до Реєстру Системи;
- технічний нагляд за сертифікованими засобами захисту інформації під час їх виробництва;
- інформування про результати робіт із сертифікації засобів захисту інформації.
Органи сертифікації (ОС) та організації, що діють за їх дорученням, повинні забезпечувати конфіденцiйнiсть інформації, що становить професiйну або комерцiйну таємницю.
Збереження інформації, віднесеної до категорії відомостей, що становлять державну таємницю, здійснюється в установленому законом порядку.
Якщо заявник бажає оскаржити рішення ОС щодо відмови у видачі сертифіката відповідності, він повинен подати письмову апеляцію до ОС стосовно рішення органу із сертифікації не пізніше одного місяця після одержання повідомлення про прийняте рішення. Про факт апеляції ОС повідомляє Голову Держспецзв’язку. Подання апеляції не зупиняє дії прийнятого рішення.