Шифровальные криптографические средства (далее – ШКС) – это специальные устройства или программное обеспечение (ПО), предназначенные для защиты информации путем шифрования – преобразование открытого текста в зашифрованный вид. Для шифрования и дешифрования данных используют средства криптографической защиты (СКЗИ, СЗИ) или криптографические ключи. Цель функций криптографии и шифрования – защита данных от несанкционированного доступа и внесения изменений.
Для подтверждения безопасности устройств, способности выполнять заявленные функции шифрования в течение срока службы, соответствия установленным требованиям проводится сертификация шифровальных средств.
Могут потребоваться прочие заключения и разрешения для законной внешнеторговой деятельности, которые выдают уполномоченные органы согласно приказам, Постановлениям, прочим нормативным актам. Отсутствие разрешительных документов грозит штрафами и иными мерами административного наказания, установленными КоАП РФ.
Особенности сертификации средств защиты информации
К изделиям, имеющим в составе элементы криптографии и шифрования, относятся принтеры, планшетные ПК, смартфоны, модемы, аналогичная техника. Данные устройства перед выпуском в оборот подлежат сертификации / декларированию по техническим регламентам ЕАЭС:
- ТР ТС 004/2011 – по регламенту проверяется безопасность устройств низковольтного типа, функционирование которого обеспечивает подключение к сети под напряжением до 1000 В – оформляется сертификат;
- ТР ТС 020/2011 – проверяется совместимость низковольтной аппаратуры по электромагнитным показателям – выдается сертификат;
- ТР ЕАЭС 037/2016 – устанавливает ограничение по использованию опасных химически элементов в составе радиоэлектроники (для электротехнических средств бытового назначения) – требуется регистрация декларации.
Проходят процедуру декларирования шифровальных средств (и сертификации) отечественные компании-производители, а также продавцы, в т.ч. импортеры.
Порядок проведения сертификационных работ зависит от выбранной схемы. Независимо от формы / схемы подтверждения соответствия образцы изделий подвергаются испытаниям по нормам безопасности, указанным в ТР ТС. Для оформления сертификата на серии тех. устройств дополнительно требуется проверка состояния производства.
Основанием для получения сертификатов или деклараций является протокол испытаний, в котором отражены положительные показатели проведенных процедур оценки. Испытания осуществляются в лабораториях, аккредитованных в соответствующей области.
Если тех. средства предназначены для применения на объектах транспортной инфраструктуры, кроме декларации на средства шифрования и сертификатов по ТР ТС потребуется сертификат по Постановлению Правительства РФ № 969 (ПП РФ).
Устройства шифрования данных, применяемые в сетях связи, проходят сертификацию в области связи согласно положениям Федерального Закона 126-ФЗ. Данные требования касаются коммутационного оборудования, средств радио- и телевещания, маршрутизаторов (роутеров) и прочих товаров, перечисленных в ПП РФ № 113. На них нужен сертификат. Если устройство не входит в перечень, требуется декларирование средств связи.
Сертификат выдает аккредитованный орган по сертификации на основании анализа документов, экспертизы образцов изделий, после чего регистрирует в реестре средств связи. Декларирование выполняет заявитель, используя электронную подпись.
По желанию – дополнительно проводится добровольная сертификации средств шифрования, сертифицированных в обязательном порядке по ТР ТС. Процедура заключается в оценке соответствия нормативно-технической документации (НТД). К НТД относят стандарты: ГОСТ, технические условия и стандарты организации. При отсутствии подходящих ГОСТов потребуется разработка СТО, ТУ с возможностью последующей регистрации документов в федеральном реестре (Банк данных Продукция России).
Для РФ производителей возможна сертификация действующей на производстве системы менеджмента по стандарту ИСО 9001.
Добровольная оценка проводится для повышения конкурентоспособности, решения различных маркетинговых задач.
Для повышения узнаваемости бренда производители могут зарегистрировать товарный знак (фирменное обозначение). Для реализации в крупных автоматизированных торговых точках требуются штрихкоды. Можно присвоить штриховые коды добровольно – для облегчения учета товара.
Какие документы нужны для ввоза / вывоза ШКС
На уровне законодательства ЕАЭС Решением Коллегии ЕЭК № 30 установлен Перечень ШКС, в отношении которых действует разрешительный порядок ввоза / вывоза. Т.е. существуют различные правила и ограничения на экспорт или импорт средств шифрования таких как:
- компьютерная техника;
- электронные вычислительные машины;
- оборудование, обеспечивающее доступ пользователей к сети Интернет;
- телекоммуникационное оборудование;
- аудиоаппаратура, запоминающие устройства;
- видеокамеры, системы наблюдения;
- средства связи;
- программное обеспечение.
Для законного ввоза / вывоза участник ВЭД должен получить лицензию Минпромторга.
Оформление лицензии Минпромторга на экспорт / импорт требуется для средств шифрования, не включенных в перечень ШКС, на которую нужно оформлять нотификацию ФСБ. В остальных случаях для законного ввоза устройств в ЕАЭС потребуется нотификация, которую выдает ФСБ.
Нотификация выдается по результатам экспертизы документов предприятия-заявителя, идентификации ШКС, проверки присутствия в ней функций шифрования и криптографических элементов. При положительных результатах экспертиз ФСБ выдает нотификацию. Сведения о документе вносятся в соответствующий реестр.
Нотификация содержит следующие сведения:
- информация о характеристиках, области применения, назначении оборудования для шифрования /дешифрования;
- данные о наличии элементов шифрования, криптографии (криптографических протоколах, ключах);
- название, адрес компании-изготовителя, контактная и прочая информация;
- дата внесения сведений о нотификации в реестр;
- срок действия нотификации;
- прочие сведения (форма нотификации содержится в Решении № 30 Приложении 3).
Если элементы шифрования содержатся в составе радиоэлектронных и/или высокочастотных средств гражданского применения, потребуется не только нотификация ФСБ, но и Лицензия Минпромторга на ввоз РЭС и ВЧУ или Заключение Радиочастотного центра (РЧЦ).
Лицензия оформляется только на устройства, которые входят в реестр РЭС, разрешенных к ввозу. Чтобы подтвердить данный факт, требуется выписка (согласующее письмо) из реестра Роскомнадзора. Если радиоэлектронное оборудование с функциями шифрования не включено в реестре, необходимо получить:
- заключение на временные ввоз образцов техники от Роскомнадзора;
- акт о проведении экспертизы образцов, которую проводит госкомиссия по радиочастотам для оценки соответствия характеристик установленным критериям;
- заключение РЧЦ;
- выписку из реестра Роскомнадзора.
Также требуется лицензия от органов ФСБ на вид деятельности предприятия, занимающегося разработкой, изготовлением, реализацией ШКС, а также оказанием услуг по криптографическому шифрованию данных. Такие виды деятельности в РФ подлежат лицензированию.
Сертификация ФСТЭК
Для подтверждения информационной безопасности объекта проводится аттестация ФСТЭК. Аттестация – обязательная процедура для средств шифрования, используемых в государственных информационных системах, а также в базах данных, содержащих сведения, являющиеся гос. тайной.
Также Правительством Российской Федерации утверждено положение о сертификации средств защиты информации по ПП РФ № 608. Процедуру проходят в обязательном порядке шифровальные средства (оборудование, ПО, системы контроля информационной безопасности), обеспечивающие защиту данных, являющихся гос. тайной.
Проводят сертификационные мероприятия средств информационной защиты ФСТЭК, а также прочие уполномоченные органы (ФСБ, Минобороны РФ). Порядок прохождения оценочных процедур утвержден Законом № 5485-1 о гос. тайне (ст.28).
В течение 30 дней после получения заявления и документов заявителя ФСТЭК направляет заявителю решение о проведении сертификации и сведениях о применяемой системе оценки. В рамках сертификационных процедур выполняются следующие действия:
- выбор схемы сертификации;
- выбор лаборатории, в которой будут проводиться испытания шифровальных устройств, защищающих утечку конфиденциальных данных и обеспечивающих сохранность гос. тайны;
- формирование комплекта документации, в которой содержатся нормы информационной безопасности, на соответствие которым будет проводиться проверка сертифицируемых устройств;
- при необходимости – проверка условий производства шифровальных средств информационной защиты (если предусматривает схема).
Заключение ФСТЭК выдается в качестве подтверждения соблюдения требований, предъявляемых в рамках обеспечения гос. безопасности при экспорте аппаратуры для шифрования. Заключение информирует о том, что устройство не имеет двойного предназначения.
После оформления заключения предприятия могут получить лицензию ФСТЭК, которая дает право осуществлять разработку и производство систем защиты конфиденциальных данных.
Сертификация шифровальных средств в центре сертификации
Вид необходимых разрешений определяется в зависимости от характеристик оборудования, назначения, иных факторов. Чтобы избежать отказа в выдаче документов или штрафов за ошибки, отсутствие разрешения на обращение, в т.ч. экспорт / импорт, обратитесь в центр сертификации «Делотест».
Эксперты помогут идентифицировать изделия по кодам ТН ВЭД / ОКПД2, правильно выбрать нужную процедуру, собрать комплект документации для направления в Минпромторг, получить лицензии, заключения, иные разрешения.
Эксперты центра помогут производителям РФ зарегистрировать товарный знак, присвоить товарам штрихкоды, проверить / разработать тексты этикеток, эксплуатационные руководства, тех. документацию.
Консультируем бесплатно, обращайтесь.
