• Положення про порядок здійснення криптографічного захисту інформації в Україні ( Із змінами, внесеними згідно з Указами Президента N 1019/98 від 15.09.98 N 1229/99 від 27.09.99 )

  ---

• Закон України "Про електронні документи та електронний документообіг"
• Закон України Закон України "Про електронний цифровий підпис"
• Закон України Закон України "Про ліцензування певних видів господарської діяльності"

  ---

• Постанова від 13 липня 2004 р. N 903 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Порядку акредитації центру сертифікації ключів"
• Постанова від 28 жовтня 2004 р. N 1451 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Положення про центральний засвідчувальний орган"
• Постанова від 28 жовтня 2004 р. N 1452 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності"

  ---

• Наказ N 708/156 від 28.11.97 "Про затвердження Тимчасової інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації"
• Наказ N 104/81 від 17.11.98 "Про затвердження Інструкції про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням"
• Наказ № 202/213 "Про орган із сертифікації засобів криптографічного захисту інформації"
• Наказ N 45 від 22.10.99 "Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави"
• Наказ N 53 від 30.11.99 "Про затвердження Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації"
• Порядок проведення сертифікації засобів криптографічного захисту інформації"
• Наказ N 62 від 25.12.2000 "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації"
• Наказ N 88/66 від 29.12.2000 "Про затвердження Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації"
• Наказ N 151/72 від 12.12.2001 "Про затвердження Порядку контролю за додержанням ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації; розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації"
• Наказ N 50 від 10.05.06 "Про внесення змін до Правил посиленої сертифікації"
• Наказ №99/166 від 11.09.06 "Про затвердження Технічних специфікацій форматів представлення базових об’єктів національної системи електронного цифрового підпису"

Порядок проведення сертифікації засобів криптографічного захисту інформації

ПОРЯДОК проведення сертифікації засобів криптографічного захисту інформації

ЗАТВЕРДЖУЮ
Заступник Голови Комітету України з питань стандартизації, метрології та сертифікації Є.М.Верещага
“15” грудня 1999 р.

Система сертифікації УкрСЕПРО

ПОРЯДОК
проведення сертифікації засобів
криптографічного захисту інформації

1. ГАЛУЗЬ ВИКОРИСТАННЯ

Порядок проведення сертифікації засобів криптографічного захисту інформації (далі - Порядок) розповсюджується на проведення сертифікації засобів криптографічного захисту інформації в Системі УкрСЕПРО (далі - Система).
Дотримання порядку забезпечується органом із сертифікації засобів криптографічного захисту інформації (далі - ОС КЗІ) з урахуванням вимог цього документу та особливостей виробництва, випробувань та постачання засобів криптографічного захисту інформації (далі - КЗІ).

2. НОРМАТИВНІ ПОСИЛАННЯ

Порядок розроблено відповідно до законів України “Про державну таємницю”, “Про Службу безпеки України”, “Про захист інформації в автоматизованих системах”, Декрету Кабінету Міністрів України “Про стандартизацію і сертифікацію”, Положення про порядок здійснення криптографічного захисту інформації в Україні, яке затверджене Указом Президента України від 22.05.98 № 505/98, та таких нормативних документів:
- ДСТУ 2296-93 Національний знак відповідності. Форма, розміри, технічні вимоги та правила застосування.
- ДСТУ 2462-94 Держстандарт України. Сертифікація. основні поняття. Терміни та визначення.
- ДСТУ 3230-95 Управління якістю та забезпечення якості. Терміни та визначення.
- ДСТУ 3414-96 Система УкрСЕПРО. Атестація виробництва. Порядок здійснення.
- ДСТУ 3415-96 Система УкрСЕПРО. Реєстр Системи.
- ДСТУ 3417-96 Система УкрСЕПРО. Процедура визначення результатів сертифікації продукції, що імпортується.
- ДСТУ 3419-96 Система УкрСЕПРО. Сертифікація систем якості. Порядок проведення.
- ДСТУ 3498-96 Система УкрСЕПРО. Бланки документів. Форма та опис.
- Положення про орган із сертифікації засобів криптографічного захисту інформації.
- Настанова з якості органу із сертифікації засобів криптографічного захисту інформації.

3. ТЕРМІНИ ТА ВИЗНАЧЕННЯ

Використані у Порядку поняття, терміни та їх визначення мають таке ж значення, як у Положенні про орган із сертифікації засобів криптографічного захисту інформації.

4. ЗАГАЛЬНІ ПОЛОЖЕННЯ

4.1. Сертифікація засобів КЗІ проводиться виключно ОС КЗІ.

4.2. Порядок проведення сертифікації засобів КЗІ включає:
- подання заявки підприємствами, організаціями та установами щодо сертифікації засобів КЗІ і розгляд її ОС КЗІ;
- аналіз наданої документації;
- прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації засобів КЗІ;
- обстеження виробництва або атестація виробництва засобів КЗІ, що сертифікується (при необхідності);
- відбір, ідентифікація зразків засобів КЗІ;
- сертифікаційні випробування;
- аналіз отриманих результатів та прийняття рішення про можливість видачі сертифіката відповідності;
- видача сертифікату відповідності та занесення сертифікованих засобів КЗІ до Реєстру Системи;
- технічний нагляд за сертифікованими засобами КЗІ під час їх виробництва;
- інформування про результати робіт із сертифікації засобів КЗІ.

4.3. Процедура визнання сертифікату відповідності, що виданий іноземним ОС КЗІ, визначається у порядку, передбаченому чинним законодавством та міжнародними угодами України.

4.4. Схеми (моделі), які використовуються під час проведення сертифікації засобів КЗІ, визначає ОС КЗІ.
Основними схемами проведення сертифікації засобів КЗІ є:
а) сертифікат відповідності на одиничний засіб КЗІ видається на підставі позитивних результатів випробувань цього виробу, що проведені у випробувальній лабораторії (центрі), яка акредитована в системі сертифікації УкрСЕПРО;
б) сертифікат відповідності на партію засобів КЗІ видається на підставі позитивних результатів випробувань в акредитованій у Системі випробувальній лабораторії (центрі) зразків засобів КЗІ, що відібрані з партії в порядку та в кількості, визначених ОС КЗІ.
в) сертифікат відповідності на право застосування засобів КЗІ, які виготовляються виробником серійно протягом встановленого ліцензією терміну, надаються ОС КЗІ на підставі позитивних результатів сертифікаційних випробувань в акредитованій у Системі випробувальній лабораторії (центрі) зразків засобів КЗІ, відібраних у порядку та в кількості, встановлених ОС КЗІ та проведення і/або:
- обстеження виробництва, технічного нагляду та контрольних випробувань зразків засобів КЗІ, що відбираються з виробництва або з реалізації в кількості, в термін та в порядку, які встановлені ОС КЗІ у програмі технічного нагляду за сертифікованими засобами КЗІ;
- атестації виробництва та подальшого технічного нагляду за виробництвом сертифікованих засобів КЗІ, який здійснюється ОС КЗІ.

4.5. Під час проведення сертифікації засобів КЗІ перевіряються характеристики (показники) засобів КЗІ та застосовуються методи випробувань, які дозволяють:
- провести ідентифікацію засобів, в тому числі перевірити належність до класифікаційної групи, відповідність технічній документації, походження, а також належність до даної партії та ін.;
- повно і вірогідно підтвердити відповідність засобів КЗІ до заданих вимог.

5. ЗАГАЛЬНІ ВИМОГИ ДО НОРМАТИВНИХ ДОКУМЕНТІВ
НА ЗАСОБИ КЗІ, ЩО СЕРТИФІКУЮТЬСЯ

Сертифікація засобів КЗІ проводиться у відповідності з вимогами нормативних документів, які зареєстровані у встановленому порядку, а також аналогічними вимогами міжнародних та національних стандартів іноземних держав, що введені в дію в Україні.

6. ЗАГАЛЬНІ ПРАВИЛА ТА ПОРЯДОК ПРОВЕДЕННЯ
РОБІТ ІЗ СЕРТИФІКАЦІЇ ЗАСОБІВ КЗІ

6.1. Подання та розгляд заявки

6.1.1. Для проведення сертифікації засобів КЗІ вітчизняного виробництва, а також засобів КЗІ іноземного виробництва заявник подає до ОС КЗІ заявку і реєструється в журналі рестрації заявок. Форму заявки наведено у додатку 1.

6.1.2. Заявник - суб’єкт підприємницької діяльності, який подав заявку до ОС КЗІ на проведення сертифікації засобів КЗІ, повинен мати відповідну ліцензію (дозвіл) від ДСТСЗІ на право здійснення підприємницької діяльності в галузі КЗІ.

6.1.3. ОС КЗІ розглядає заявку, приймає рішення за нею із зазначенням схеми (моделі) проведення сертифікації та не пізніше одного місяця після її отримання сповіщає заявника про своє рішення, яке повинно включати в себе основні умови сертифікації. Форму рішення наведено у додатку 2.

6.2. Аналіз документації

6.2.1. Аналіз наданої заявником документації проводиться з метою перевірки її відповідності встановленим вимогам.

6.2.2. Під час аналізу документації перевіряється:
- наявність нормативних документів на засоби КЗІ;
- наявність документа виробника про гарантії та відповідність засобів КЗІ встановленим вимогам;
- наявність документа, що підтверджує розмір партії і дату випуску засобів КЗІ;
- достовірність, правильність заповнення та термін дії документації.

6.2.3. Негативні результати аналізу документації оформлюються висновком, який передається заявнику для усунення недоліків. Позитивні результати використовуються для підготовки і оформлення сертифікатів відповідності.

6.3. Обстеження виробництва

6.3.1. Обстеження виробництва проводиться з метою встановлення відповідності фактичного стану виробництва встановленим вимогам, підтвердження можливості підприємства виготовляти засоби КЗІ відповідно до вимог нормативних документів, видачі рекомендацій щодо періодичності та форм проведення технічного нагляду за виробництвом сертифікованих засобів КЗІ.
Обстеження виробництва здійснюється комісією, яка призначається керівником ОС КЗІ.

6.3.2. Під час обстеження виробництва проводиться експертиза нормативної, технічної та технологічної документації, яка передбачає:
- перевірку відповідності показників і характеристик, які встановлені технічною документацією до засобів КЗІ, вимогам нормативних документів, дія яких розповсюджується на засоби КЗІ та технологічні процеси їх виготовлення;
- оцінку достатності контрольних операцій і випробувань, передбачених технологічною документацією, для забезпечення впевненості в повній відповідності засобів КЗІ, що випускаються, встановленим вимогам;
- перевірку наявності та ефективності системи метрологічного забезпечення засобів вимірювальної техніки та випробувального обладнання, які застосовуються під час виробництва та випробувань засобів КЗІ.

6.3.3. За результатами обстеження оформлюється акт обстеження, який повинен містити в собі обгрунтовані висновки і, за необхідністю, рекомендації щодо усунення виявлених недоліків. Акт підписується членами комісії і затверджується керівником ОС КЗІ.

6.4. Атестація виробництва

6.4.1. Атестація виробництва проводиться з метою оцінки технічних можливостей підприємства-виробника забезпечити стабільний випуск засобів КЗІ, що відповідають вимогам нормативних документів, та видачі рекомендацій щодо періодичності випробувань, кількості зразків, що випробовуються під час сертифікації засобів КЗІ, способів та правил їх відбирання.

6.4.2. Атестація виробництва проводиться ОС КЗІ і виконується за ініціативою заявника або за рішенням ОС КЗІ. Атестація виробництва здійснюється за порядком, встановленим ДСТУ 3414-96.

6.4.3. Результати атестації оформлюються атестатом виробництва, який направляється заявнику.

6.5. Проведення випробувань з метою сертифікації засобів КЗІ

6.5.1. Випробування засобів КЗІ з метою сертифікації проводяться випробувальними лабораторіями (центрами), що акредитовані в Системі на право проведення цих випробувань.
Випробувальна лабораторія (центр) повинна мати відповідну ліцензію (дозвіл) від ДСТСЗІ на право здійснення діяльності в галузі КЗІ.

6.5.2. Заявник надає зразки засобів КЗІ для випробувань та технічну документацію на них. Склад технічної документації, кількість зразків для випробувань та правила їх відбирання встановлюються ОС КЗІ. Форми актів відбору зразків та ідентифікації наведені у додатках 5,6 до цього Порядку.

6.5.3. Випробування зразків з метою сертифікації

а) Випробування зразків засобів КЗІ з метою сертифікації проводяться виключно випробувальними лабораторіями (ВЛ), які визначені ОС КЗІ у рішенні за заявкою. Випробування засобів КЗІ у ВЛ, що акредитовані лише на технічну компетентність, виконуються під контролем представника ОС КЗІ.

б) Зразки засобів КЗІ випробовуються на відповідність обов язковим вимогам чинних в Українi нормативних документів, зазначених у рішенні.
За результатами випробувань ВЛ подає до ОС КЗІ протокол випробувань продукції. Протокол випробувань повинен бути підписаний виконавцями робіт i затверджений керівником ВЛ. Якщо випробування проводились ВЛ, що акредитовані в Системі тільки на технічну компетентність, протокол випробувань підписується представником ОС КЗІ, під контролем якого проводились ці випробування, i затверджується керівниками ОС КЗІ і ВЛ (згідно з ДСТУ 3412).

в) У разі отримання негативних результатів хоча б за одним з показників випробування з метою сертифікації припиняються. Про негативні результати випробувань ВЛ повідомляє заявника та ОС КЗІ, який приймає рішення щодо припинення або можливості продовження робіт із сертифікації.
Повторні випробування, у разі припинення робіт із сертифікації, можуть бути проведені тільки після подання нової заявки і надання ОС КЗІ доказів виконання заявником коригувальних заходів для усунення причин, що призвели до невідповідності засобів КЗІ встановленим вимогам.

г) Зразки засобів КЗІ, що пройшли випробування з метою сертифікації, в тому числі руйнівні, залишаються власністю заявника.
ОС КЗІ, якщо вважає потрібним, залишає (за згодою заявника) у себе або передає на відповідальне зберігання заявнику опечатані зразки засобів КЗІ - зразки-свiдки . Місце i термін зберігання зразків-свiдків зазначаються в угоді (договорі).

6.5.4. Випробування здійснюються за методиками, узгодженими з ОС КЗІ. Результати сертифікаційних випробувань засобів КЗІ випробувальними лабораторіями оформлюються звітами та протоколами випробувань.

6.5.5. У разі позитивних результатів протоколи сертифікаційних випробувань засобів КЗІ випробувальними лабораторіями передаються до ОС КЗІ. Результати сертифікаційних випробувань засобів КЗІ заявнику не передаються.

6.5.6. У разі отримання негативних результатів, хоча б по одному з показників, випробування з метою сертифікації припиняються, інформація про негативні результати надається заявнику та ОС КЗІ.
Повторні випробування можуть бути проведені тільки після подання нової заявки та надання ОС КЗІ переконливих доказів проведення підприємством коригуючих заходів щодо усунення причин, що викликали невідповідність.

6.6. Видача сертифіката відповідності

6.6.1. Сертифікат відповідності видається виключно ОС КЗІ. Сертифікат видається на одиничний виріб, на партію засобів КЗІ або на засоби КЗІ, що випускається підприємством серійно протягом терміну, встановленого ліцензійною угодою.

6.6.2. За наявності протоколів з позитивними результатами випробувань, сертифіката на систему якості або атестата виробництва, залежно від прийнятої схеми сертифікації, ОС КЗІ оформляє сертифікат відповідності, реєструє його в Реєстрі Системи згідно з ДСТУ 3415-96 та видає заявнику.
Сертифікат відповідності засвідчується підписом керівника Органу із сертифікації засобів КЗІ або його заступником та гербовою печаткою Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

6.6.3. Вибір форми сертифіката відповідності залежить від ступеня підтвердження вимог нормативних документів:
- якщо підтверджена відповідність засобів КЗІ усім обов’язковим вимогам, то застосовується форма 1;
- якщо підтверджена відповідність засобів КЗІ всім вимогам, то застосовується форма 2;
- якщо підтверджена відповідність засобів КЗІ окремим вимогам, то застосовується форма 3 і в сертифікаті перераховуються підтверджені вимоги.

6.6.4. Підтвердження факту сертифікації ЗКЗІ може здійснюватись:
- оригіналом сертифіката відповідності;
- знаком відповідності згідно вимог ДСТУ 2296;
- копією сертифіката відповідності, завіреною ОС КЗІ;
- інформацією в документації, що додається до засобів КЗІ з зазначенням номера сертифіката, терміну його дії та ОС КЗІ.

6.6.5. Маркування засобів КЗІ знаком відповідності здійснює заявник.
Право маркування засобів КЗІ знаком відповідності надається заявнику на підставі ліцензійної угоди, типова форма якої наведена у додатку 3.

6.6.6. Термін дії сертифіката на засоби КЗІ, що випускається підприємством серійно протягом терміну, встановленому ліцензійною угодою, визначає ОС КЗІ з урахуванням терміну дії нормативних документів на засоби КЗІ, терміну, на який сертифікована система якості або атестоване виробництво, гарантійного терміну придатності засобів КЗІ до моменту його реалізації або терміну зберігання засобів КЗІ, але не більше, як на два роки, якщо атестоване виробництво, і на три роки, якщо система якості сертифікована. За умови проведення сертифікації засобів КЗІ, що випускається серійно, за схемою з обстеженням виробництва термін дії сертифіката відповідності не повинен перевищувати один рік.
Термін дії ліцензії не продовжується. Порядок надання нової ліцензії замість тієї, що втратила силу, визначає ОС КЗІ в кожному конкретному випадку згідно з вимогами Порядку проведення сертифікації засобів КЗІ.

6.6.7. У разі внесення змін до конструкції (складу) засобів КЗІ або технології її виготовлення, що можуть вплинути на показники, які підтверджені під час сертифікації, заявник зобов’язаний попередньо сповістити про це ОС КЗІ. ОС КЗІ приймає рішення про необхідність проведення нових випробувань або оцінки стану виробництва засобів КЗІ.

6.6.8. У випадку, якщо нормативні вимоги, встановлені стандартом на показник, підтверджений під час сертифікації, змінені в бік посилення, питання про припинення дії кожної наданої ліцензії вирішує ОС КЗІ за погодженням з Національним ОС КЗІ.

6.7. Визнання сертифіката відповідності, що виданий іноземними органами сертифікації

6.7.1. Визнання іноземного сертифіката відповідності.

а) Порядок визнання сертифікатів відповідності, виданих органами із сертифікації інших країн (далі - іноземний сертифікат), які не є членами Системи, на засоби КЗІ, що імпортуються в Україну, встановлено ДСТУ 3417-96.

б) Рішення про визнання іноземних сертифікатів приймається ОС КЗІ на підставі підтвердження відповідності засобів КЗІ обов язковим вимогам, що встановлені чинними в Україні законодавчими актами i нормативними документами, міжнародними та національними стандартами інших держав.

в) Для визнання іноземного сертифіката відповідності, виданого країною, з якою не укладено угоди про взаємне визнання, заявник повинен подати до ОС КЗІ таку документацію:
- заявку з визначенням виробника засобу КЗІ;
- сертифікат відповідності (або його копію) та протоколи випробувань на засоби КЗІ;
- нормативні документи на засоби КЗІ i процедури сертифікації (у разі наявності);
- сертифікат на систему якості, атестат (сертифікат) виробництва (у разі наявності);
- звіти інспекції виробництва (у разі наявності);
- товаросупровiдну та іншу документацію відповідно до ДСТУ 3417.

г) ОС КЗІ розглядає документацію, проводить її аналіз та експертизу, приймає рішення про повне або часткове визнання результатів сертифікації засобів КЗІ. У разі необхідності ОС КЗІ може звернутися із запитом про додаткову інформацію до заявника.

д) Якщо ОС КЗІ приймає рішення про повне визнання іноземного сертифіката відповідності, він готує свідоцтво про його визнання згідно з ДСТУ 3498, яке реєструє у Реєстрі Системи.

е) У разі незначних розходжень в оцінці документації щодо показників (характеристик) на засоби КЗІ, ОС КЗІ приймає рішення про часткове визнання результатів сертифікації. У цьому випадку проводяться випробування зразків засобів КЗІ ВЛ лише за цими показниками (характеристиками), після проведення яких (за позитивними результатами) ОС КЗІ оформляє сертифікат відповідності згідно з цим Порядком.

ж) У разі значних розходжень під час оцінки документації щодо показників (характеристик) засобів КЗІ, які підлягають обов язковій сертифікації, ОС КЗІ приймає рішення про проведення випробувань зразків засобів КЗІ в повному обсязі згідно з цим Порядком.

6.7.2. Визнання іноземного сертифіката (знака) відповідності одиничних зразків або малої партії засобів КЗІ (партія засобів КЗІ у кількості до 10 одиниць).

а) У випадку одиничних зразків або малих партій засобів КЗІ (які імпортуються в Україну i не мають повного комплекту документів згідно з вимогами п.6.7.1. в) цього Порядку) заявник подає до ОС КЗІ такі документи:
- заявку;
- копію контракту на поставку;
- копію товарно-транспортної накладної (iнвойс);
- копію сертифіката походження засобів КЗІ (у разі наявності);
- іноземний сертифікат відповідності (у разі наявності);
- інші документи (на вимогу ОС КЗІ).

б) Після розгляду документів ОС КЗІ видає лист для заявника i начальника митного органу, на підставі якого заявник одержує засоби КЗІ під свою відповідальність і доставляє його до ОС КЗІ для проведення сертифікаційних робіт.

в) Після одержання зразків ОС КЗІ визначає обсяг сертифікаційних робіт, який включає в себе ідентифікацію знаків відповідності i проведення (у разі необхідності) окремих видів випробувань, що не передбачають руйнівних методів та фізичного пошкодження зразків КЗІ.

г) На підставі позитивних результатів експертизи зразків i протоколу випробувань ОС КЗІ готує рішення з висновком щодо видачі свідоцтва про визнання іноземного сертифіката або сертифіката відповідності.

6.7.3. Технічний нагляд за сертифікованими засобами КЗІ проводиться відповідно до ДСТУ 3413.

6.7.4. Інформація за результатами робіт із сертифікації

а) ОС КЗІ веде облік виданих сертифікатів та їх копій i копії сертифікатів надсилає до Комітету України з питань стандартизації, метрології та сертифікації.

6.8. Технічний нагляд за стабільністю показників сертифікованих засобів КЗІ під час її виробництва

6.8.1. Технічний нагляд за стабільністю показників, що підтверджені сертифікатом відповідності, під час виготовлення засобів КЗІ здійснює ОС КЗІ.
Загальний порядок проведення технічного нагляду викладений у додатку 4.

6.8.2. Обсяг, порядок та періодичність нагляду встановлюються ОС КЗІ під час проведення сертифікації та регламентуються програмою технічного нагляду, яка розроблена ОС КЗІ і затверджена керівником ОС КЗІ.

6.8.3. За результатами нагляду ОС КЗІ може зупинити або припинити дію ліцензії чи сертифіката у випадках:
- порушення вимог, що пред’являються до засобів КЗІ під час обов’язкової сертифікації;
- порушення вимог з технології виготовлення, правил приймання, методів контролю та випробувань, позначення засобів КЗІ, що узгоджені з ОС КЗІ під час проведення сертифікації засобів КЗІ;
- зміни нормативних документів на засоби КЗІ або на методи їх випробувань без попереднього погодження з ОС КЗІ;
- зміни конструкції (складу), комплектності або технології виготовлення засобів КЗІ без попереднього погодження з ОС КЗІ.

6.8.4. Рішення про зупинку дії сертифіката відповідності приймається у випадку, якщо вжиттям коригувальних заходів, погоджених ОС КЗІ, підприємство не може усунути виявлені причини невідповідності та без проведення повторних випробувань акредитованою випробувальною лабораторією підтвердити відповідність засобів КЗІ вимогам нормативних документів. У випадку неможливості усунення причин невідповідності ліцензія або сертифікат відповідності скасовується.

6.8.5. Інформація про зупинку або припинення дії (скасування) сертифіката відповідності у письмовій формі доводиться ОС КЗІ до відома заявника та Національного ОС КЗІ.

6.8.6. У разі зупинки дії сертифіката здійснюються такі коригувальні заходи.
ОС :
- встановлює термін виконання коригуючих заходів;
- контролює виконання заявником коригуючих заходів;
Заявник:
- визначає обсяг вироблених невідповідних нормативним документам засобів КЗІ;
- здійснює заходи для усунення причин невідповідності засобів КЗІ.

6.8.7. У разі скасування сертифіката відповідності заявник повинен повернути оригінали сертифікатів та всі копії ОС КЗІ. Повернені оригінали та всі копії сертифіката відповідності підлягають знищенню за актом. ОС КЗІ надає звіт у Реєстр Системи.

6.9. Інформація про результати сертифікації засобів КЗІ

6.9.1. ОС КЗІ веде облік виданих ним сертифікатів та направляє їх копії до Національного ОС КЗІ.

6.9.2. Національний ОС КЗІ на підставі Реєстру Системи видає довідники, що містять інформацію щодо сертифікованих засобів КЗІ.

7. КОНФІДЕНЦІЙНІСТЬ

В разі, якщо відомості якими будуть обмінюватися сторони під час організації та здійснення сертифікації вважаються інформацією з обмеженим доступом, вони не підлягають розголошенню або передачі будь-якій третій стороні без взаємного погодження між ОС КЗІ та заявником.
Сторони зобов’язуються дотримуватися всіх встановлених чинним законодавством умов та обмежень, пов’язаних з користуванням інформацією з обмеженим доступом, що в рамках цього Порядку була надана їм у розпорядження або отримана у результаті проведення робіт.

8. АПЕЛЯЦІЇ

8.1. Якщо заявник бажає опротестувати заходи щодо його заявки на сертифікацію засобів КЗІ, визнання сертифіката або рішення про скасування ліцензії, він повинен подати письмову апеляцію до ОС КЗІ згідно ДСТУ 3413-96 не пізніше як за 30 днів після одержання повідомлення про прийняте рішення. Подання апеляції не припиняє дії прийнятого рішення.
Для розгляду кожної апеляції створюється апеляційна комісія ОС КЗІ.

8.2. Апеляція розглядається апеляційною комісією ОС КЗІ не пізніше як за 30 днів після її одержання.

8.3. Апеляційна комісія для розгляду апеляції повинна мати такі документи:
- апеляцію заявника;
- листування щодо спірного питання між заявником, випробувальною лабораторією та ОС КЗІ;
- протоколи випробувань засобів КЗІ;
- зразки засобів КЗІ;
- технічну документацію на засоби КЗІ.
Документація надається членам апеляційної комісії ОС КЗІ не пізніше як за 15 днів до засідання комісії.

8.4. Заявник має право бути заслуханим на засіданні комісії.

8.5. Апеляційна комісія, як правило, приймає одне з таких рішень:
- видати сертифікат (ліцензію);
- відмовити у видачі сертифіката (ліцензії);
- скасувати видану ліцензію.
Рішення комісії письмово доводиться до відома заявника та ОС КЗІ.

8.6. У разі непогодження з рішенням апеляційної комісії заявник має право звернутися до Комісії з апеляцій Національного ОС.

9. ФІНАНСУВАННЯ РОБІТ ІЗ СЕРТИФІКАЦІЇ ЗАСОБІВ КЗІ

9.1. Відповідно до нормативно-правових актів, ОС КЗІ здійснює фінансові розрахунки на ОС основі договорів, які укладаються між ОС КЗІ та заявниками. ОС КЗІ на договірній основі проводить:
- роботи із сертифікації засобів КЗІ;
- роботи з атестації виробництва засобів КЗІ, що сертифікуються;
- технічний нагляд за виробництвом сертифікованих засобів КЗІ;
- визнання сертифікатів відповідності.

9.2. Вартість робіт із сертифікації визначається згідно з “Правилами визначення вартості робіт із сертифікації продукції та послуг” затвердженого наказом Держстандарту від 10.03.99 № 100 та зареєстрованого в Міністерстві юстиції України від 31.03.99 № 194/3487.

Начальник відділу стандартизації, сертифікації
та держнагляду в галузі інформаційних технологій,
зв’язку, класифікації ТЕСІ та послуг Комітету України
з питань стандартизації, метрології та сертифікації

Т. Машовець
“15” грудня 1999 р.

Керівник Органу із сертифікації засобів криптографічного
захисту інформації

Г. Лазарєв
“15” грудня 1999 р.