ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РЕСПУБЛИКИ ТАДЖИКИСТАН

от 6 июня 2005 года №203

Об утверждении Правил об условиях защиты информации в технических средствах обработки информации

В соответствии со статьей 14 Закона Республики Таджикистан "О защите информации" Правительство Республики Таджикистан постановляет:

Утвердить Правила об условиях защиты информации в технических средствах обработки информации (прилагается).

Утверждено постановлением Правительства Республики Таджикистан от 6 июня 2005 года №203

Правила об условиях защиты информации в технических средствах обработки информации

1. Настоящие Правила разработаны во исполнение статьи 14 Закона Республики Таджикистан "О защите информации" и в соответствии с законами Республики Таджикистан "О государственной тайне", "О сертификации продукции и услуг", "О стандартизации", "Об информатизации" и другими законодательными и иными нормативно-правовыми актами республики, а также международно-правовыми актами, признанными Таджикистаном и устанавливают условия защиты информации в технических средствах обработки информации и порядок их осуществления (далее Правила).

2. Условия проверки технических средств обработки информации и состояния ее защиты, включают в себя проведение обязательной сертификации технических средств обработки информации, аттестацию объектов информатизации и персонала с выдачей им сертификата или удостоверения, освидетельствование приборов, аппаратов или программ контроля, используемых при передаче данных в Республике Таджикистан, и направлены да достижение следующих целей:

создание условий информационной безопасности для деятельности юридических и физических лиц на всей территории Республики Таджикистан, а также обеспечение технической защиты средств сбора, обработки, передачи, хранения и уничтожения информации для участия в международном, экономическом, научно-техническом и ином сотрудничестве;

развитие системы технической защиты информационных технологий в сфере электронного документооборота и электронной подписи;

содействие потребителям в компетентном выборе продукции по технической обработке информации и ее защите;

защиту потребителя от недобросовестности изготовителя (продавца, исполнителя);

сертификации систем математического обеспечения (программ) в вычислительных машинах любого вида, используемых на территории Республики Таджикистан;

контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;

подтверждение показателей качества продукции и на отсутствие побочных электромагнитных излучении, заявленных изготовителем (продавцом, исполнителем);

соблюдение условий защиты информации в технических средствах обработки информации, предусмотренных едиными международными правилами - нормами для отечественных и для импортируемых технических средств обработки информации и ее защиты, а также соответствующим требованиям по взрывоопасности.

3. Решение вопросов, связанных с порядком проведения сертификации технических средств обработки информации, осуществляется Уполномоченным органом, указанным в Положении о сертификации средств защиты информации по требованиям безопасности информации, аттестации объектов информатизации, порядка их государственной регистрации, утвержденном постановлением Правительства Республики Таджикистан от 1 октября 2004 года №404, Главным управлением по защите государственных секретов при Правительстве Республики Таджикистан (далее Уполномоченный орган).

4. Все технические средства сбора, обработки, хранения, накопления, уничтожения информации в целях их защиты, в том числе здания и сооружения, оргтехника, инженерные сети, предметы интерьера и быта (далее технические средства обработки информации), используемые в помещениях, где обрабатывается информация, подлежат проверке, проводимой Государственным унитарным предприятием "Центр технической защиты информации, сертификации и экспертизы Уполномоченного органа, на соответствие установленным стандартам, техническим условиям, нормам Государственной комиссии но радиочастотам (ГКРЧ) Республики Таджикистан и иным нормам, в том числе международным, национальным стандартам других стран, введенным в действие на территории Республики Таджикистан. При получении положительного результата проверки они идентифицируются знаками соответствия установленного образца, утвержденными Уполномоченным органом.

5. Персонал, имеющий отношение к информатизации, использующий электрические средства связи на территории Республики Таджикистан, подлежит проверке и при положительном результате специалисту выдается удостоверение, а при наличии высшего образования-сертификата Уполномоченного органа.

6. Требования и правила по защите информации в технических средствах обработки информации устанавливаются Главным управлением по защите государственных секретов при Правительстве Республики Таджикистан, применительно к настоящим Правилам. Проведение аттестации специалистов в этой сфере деятельности осуществляется с участием сотрудников указанного Главного управления.

7. Для проведения проверки технических средств обработки информации и состояния ее защиты заявитель направляет в Уполномоченный орган заявку. Уполномоченный орган может запросить у заявителя дополнительную документацию или информацию, необходимую для принятия решения по заявке.

8. Уполномоченный орган рассматривает заявку в течение 10 дней, после чего направляет заявителю и в Государственное унитарное предприятие "Центр технической защиты информации, сертификации и экспертизы свое утвержденное решение с указанием схемы проверки. Государственное унитарное предприятие "Центр технической защиты информации, сертификации и экспертизы(лаборатории), направляет утвержденное решение в учреждение, имеющее аттестат об аккредитации, на проведение испытаний заявленного технического средства обработки информации и ее защиты или объекта в целом, где разрешено средство обработки информации и ее защиты.

9. Испытательные лаборатории (испытательные центры), имеющие лицензии в соответствии с Законом Республики Таджикистан "О лицензировании отдельных видов деятельности" проводят сертификационные испытания на основании поручений Уполномоченного органа при наличии:

технических требований на сертифицируемые технические средства защиты информации по информационной безопасности;

требований и методик сертификационных испытаний (при наличии типовых требований и методик используются последние);

схемы организации защиты информации с использованием сертифицируемого технического средства (для систем коммутации, сотовой, пейджинговый, транкинговой связи, участка использования систем передачи, оборудования систем синхронизации, сигнализации, электронной почты. Интернет, электронно-цифровой подписи, помещений, предметов интерьера и т.д.); документа об оплате услуг;

плана-графика с конкретными сроками проведения испытаний.

10. Копия плана-графика представляется в пятидневный срок после подписания договора (контракта) в Уполномоченный орган. Если в процессе проверки устанавливается факт, что необходимым условием функционирования сертифицируемого технического средства обработки информации и ее защиты является получение сигналов от систем связи, находящихся за пределами Республики Таджикистан, или это техническое средство обработки информации и ее технической защиты входит в системы, не разрешенные к использованию на взаимоувязанной сети связи Республики Таджикистан, то вопрос продолжения сертификации решается по согласованию с заинтересованными местными органами государственной власти. На период согласования процесс сертификации приостанавливается.

11. В договорах (контрактах) на проведение испытаний должны быть приведены сведения о наименовании, составе и количестве помещений, оборудования, предметов интерьера предъявляемого на сертификацию.

12. Объем и содержание сертификационных испытаний модернизированного оборудования системы информационной безопасности с изменениями, внесенными как в аппаратную часть, так и в программное обеспечение, должны быть отражены в программе и методике испытании, представляемой в установленном порядке на утверждение в Главное управление по защите государственных секретов при Правительстве Республики Таджикистан.

13. В зависимости от схемы сертификации проводится анализ состояния производства или качества. Методики схем утверждаются Главным управлением по защите государственных секретов при Правительстве Республики Таджикистан.

14. Работа по проверке и оценке системы качества предприятия-изготовителя может проводиться как в процессе сертификации средства обработки информации и ее защиты, так и в процессе осуществления инспекционного контроля за сертифицированными техническими средствами обработки информации и ее защиты.

15. Эксперты по системам качества, определенные и аттестованные в установленном порядке, проводят анализ состояния производства или проверку и оценку системы качества в соответствии с программой по защите информации и пользуются методикой проверки системы качества, утвержденной Уполномоченным органом. Акт, оформленный по результатам работы экспертов по системе качества, представляется в Уполномоченный орган. Копия акта направляется в испытательную лабораторию (испытательный центр), проводящую испытания технических средств защиты информации, или испытания в рамках инспекционного контроля, для учета в общем заключении по результатам выполненных работ по сертификации технических средств обработки информации и ее защиты (разрешается оформление Протокола экспертных исследований).

16. Уполномоченный орган принимает решение о возможном использовании сертификата по системе качества предприятия-изготовителя, выданного другими системами сертификации и при условии проведения проверки и оценки системы качества в соответствии с настоящими Правилами. В данном случае на основании сертификата других систем взамен выдается сертификат соответствия, включающий в себя требования качества и информационной безопасности.

17. Положительные результаты анализа состояния производства являются необходимыми условиями для принятия Главным управлением по защите государственных секретов при Правительстве Республики Таджикистан решения о выдаче сертификата соответствия на технические средства обработки информации и ее технической защиты или о продлении срока действия сертификата по результатам инспекционного контроля.

18. По результатам проведенных сертификационных испытаний технических средств обработки информации и ее технической защиты испытательная лаборатория (испытательный центр) оформляет и представляет в Уполномоченный орган протоколы сертификационных испытаний, заключение или акт по результатам испытаний.

19. Уполномоченный орган в срок не более 30 дней рассматривает представленные документы, определяет условия применения технических средств обработки информации и ее технической защите и принимает решение о выдаче (отказе в выдаче) сертификата соответствия.