俄罗斯联邦技术和出口管制局命令2018年4月3日第55号
关于批准信息保护手段认证系统条例的命令
(俄罗斯联邦技术和出口管制局2021年8月5日第121号和2022年9月19日第172号命令）。

I. 总则

1.本条例根据俄罗斯联邦 1993 年 7 月 21 日第 5485-1 号《国家保密法》（《俄罗斯报》，1993 年 9 月 21 日；《俄罗斯联邦法律汇编》，1997 年第 41 号第 4673 条；2003 年第 27 号第 2700 条；2004 年第 27 号第 2711 条；2011 年第 30 号第 4596 条）第 28 条、2002 年 12 月 27 日第 184-FZ 号《技术规范联邦法》（《俄罗斯联邦法律汇编》，2002 年第 52 号第 5140 条；2007 年第 19 号第 2293 条；2011 年第 49 号第 49 条）第 5 条制定。N 184-FZ《技术条例》（俄罗斯联邦法律汇编，2002 年第 52 号第 5140 条；2007 年第 19 号第 2293 条；2011 年第 49 号第 7025 条；2016 年第 15 号第 2066 条），2004 年 8 月 16 日俄罗斯联邦总统令批准的《联邦技术和出口管制局条例》第 8 段第 13 分段。第 1085 号俄罗斯联邦政府令，1995 年 6 月 26 日第 608 号 "关于信息保护手段认证 "的俄罗斯联邦 政府令，2010 年 5 月 15 日第 330 号 "关于用于保护根据俄罗斯联邦法律受限制获取的信息、不含 国家机密信息的产品（工程、服务）及其设计（包括勘测）、生产、建造和安装过程的符合性评估 "的 俄罗斯联邦政府令。

2.本条例规定了信息保护手段认证体系参与者的组成，该体系由俄罗斯技术合作公司根据俄罗斯联邦政府1995年6月26日批准的第608号《信息保护手段认证条例》（以下简称 "俄罗斯技术合作公司认证体系"）第1款建立，并规定了用于保护构成国家机密的信息或与其他受俄罗斯联邦法律保护的信息相关的产品的认证组织和程序。

3.俄罗斯 FSTEC 认证系统的认证应符合以下条件

打击外国技术情报的手段，以及控制打击外国技术情报有效性的手段；

信息技术保护手段，包括实施这些手段的方式，以及控制信息技术保护有效性的手段；

确保信息技术安全的手段，包括受保护的信息处理手段。

俄罗斯 FSTEC 的认证系统不对外国制造的信息保护手段进行认证，因为俄罗斯联邦的监管法 律规定限制或禁止在俄罗斯联邦使用这些手段。(俄罗斯联邦 FSTEC 2021 年 8 月 5 日第 121 号命令） 4.

4.信息保护手段的认证应符合俄罗斯 FSTEC 监管法案规定的信息安全要求，以及申请认证者与俄罗斯 FSTEC 商定的技术条件、技术任务、安全任务（以下简称 "信息安全要求"）。

II. 俄罗斯 FSTEC 认证体系

5.俄罗斯 FSTEC 认证体系的参与者包括

联邦认证机构；

俄罗斯 FSTEC 认可的认证机构（以下简称认证机构）；

俄罗斯 FSTEC 认可的测试实验室组织（以下简称测试实验室）；

信息保护设备制造商。

6.根据 2004 年 8 月 16 日第 1085 号俄罗斯联邦总统令批准的《联邦技术和出口管制局条例》第 8 款第 13 和 13.1 项，俄罗斯 FSTEC 组织信息保护手段认证，在其职权范围内制定和确定信息保护手段的信息安全要求，以及根据 1995 年 6 月 26 日俄罗斯联邦政府决议批准的《信息保护手段认证条例》。

7.认证机构应对信息保护手段进行认证，颁发信息保护手段符合信息安全要求的证书（以下简称 "符合证书"）。

8.测试实验室应对信息保护手段进行认证测试，并根据测试结果出具技术结论和协议。测试实验室应确保信息安全设备认证测试的完整性及其结果的可靠性。

9.制造商应根据信息安全要求开发和（或）生产信息保护手段。

构成国家机密的信息保护手段的制造商应持有俄罗斯 FSTEC 颁发的许可证，方可开展与创建构成国家机密的信息保护手段相关的工作<1>。

III. 信息安全特征认证程序

18.信息安全措施认证应包括以下程序：

提交认证申请；

作出信息安全特征认证决定

对信息安全设备进行认证测试

起草关于信息安全设备认证结果的专家报告并起草合格证书；

签发（拒绝签发）合格证书；

提供合格证书副本；

给信息保护设备贴标签；

更改经认证的信息安全设备；

重新颁发合格证书；

延长合格证的有效期；

中止合格证；

终止合格证书。

提交认证申请

19.有意认证信息安全设备的申请人应

1) 将待认证的信息安全设备归属于信息安全要求规定的信息安全设备类型之一，并在俄罗斯FSTEC认证系统中进行认证；

2) 确定计划认证的信息保护装置应符合的信息安全要求；

3) 生产（准备）信息安全设备样品；

4) 准备信息保护装置的设计、方案和运行文件；

5) 选择由俄罗斯 FSTEC 在相关认证领域<5>认可的测试实验室对信息安全设备进行认证测试，并与其就认证测试的可能性和条件达成一致。

<5> 俄罗斯联邦技术经济委员会（FSTEC）认可的认证机构和测试实验室的登记册，根据俄罗斯联邦技术经济委员会2015年6月18日第67号命令 "关于批准俄罗斯联邦技术经济委员会（FSTEC）认可的认证机构和测试实验室登记册的维护形式和程序 "批准的俄罗斯联邦技术经济委员会（FSTEC）认可的认证机构和测试实验室登记册的维护程序，在信息和电信网络 "互联网 "的俄罗斯联邦技术经济委员会（FSTEC）官方网站上公布（俄罗斯司法部于2015年7月10日注册，注册号为N.67）。

20.为获得合格证书，申请人应向俄罗斯 FSTEC 提交认证申请。

认证申请应说明

信息保护工具的名称

信息保护装置的用途；

申请人的全称和简称（如有），其组织和法律形式；

申请人的地址、邮政地址；

申请人的俄罗斯 FSTEC 许可证编号和签发日期，该许可证用于开展与创建构成国家机密的信息保护手段有关的工作，以及（或）俄罗斯 FSTEC 开发和生产机密信息保护手段的许可证（如申请人是制造商，则应注明）；

申请人负责人的姓、名和父名（如有）；

信息保护手段认证负责人的姓、名和父名（如有）；

申请人的联系电话和电子邮件地址（如有）；

开发信息安全设备人员的姓名、其所在地址（如有）；

信息保护工具开发者所持有的信息保护工具开发许可证的编号和签发日期，以开展与创建构成国家机密的信息保护手段有关的工作，以及（或）俄罗斯 FSTEC 关于开发和生产机密信息保护手段的许可证（针对俄罗斯法律实体）；

拥有信息保护手段专有权的人的姓名，其所在地的地址（如果有这样的人，应具体说明）；

计划对信息安全设备进行认证测试的测试实验室名称；

提交认证的信息安全设备所属的信息安全设备类型；

符合信息安全设备认证要求的文件；

信息安全设备的认证计划（如果认证的是一批信息安全设备，应说明该批信息安全设备的样品数量）；

宣布的合格证书有效期；

计划在其物质和技术基础上对信息安全设备进行认证测试的人员姓名、认证测试地点（地址）。

认证申请应由申请人负责人（根据法律或组成文件代表申请人的人员）和测试实验室负责人签署。

本实施细则附件 N 1 列出了推荐的认证申请书样本。

21.认证申请应附有以下文件

技术规格一式两份；职权范围一式两份（如计划认证信息安全工具是否符合职权范围中规定的信息安全要求）；安全任务一式两份（如果有必要根据信息安全要求进行开发）；信息保护工具的表格（护照）；与拥有（拥有）信息保护工具专有权的个人签订的关于授予申请人认证、运行或制造信息保护工具的权利以及关于信息保护工具技术支持的协议（如果申请人不拥有信息保护工具专有权，则附上该协议）。22.认证申请书及所附文件应通过挂号信邮寄并要求回执，或直接提交给俄罗斯科技 技术合作署。认证申请及所附文件应以俄文书写。允许用外文标明信息保护工具的公司名称、开发信息保护工具的人员和拥有信息保护工具专有权的人员的姓名及其所在地的地址。

信息

23.俄罗斯技术合作公司应在收到认证申请之日起 15 个日历日内审议认证申请及所附文件。(编者注--已删除。）

脚注 - 删除。(俄罗斯联邦 FSTEC 自 2022 年 9 月 19 日第 172 号命令） 24.

24.如缺少本规章第 20 和 21 条规定的信息或文件，以及认证申请所附文件不符合信息安全要求，认证申请及（或）所附文件将被退回修改。

对认证申请及其所附文件进行审查后，可拒绝认证信息安全设备。

拒绝认证信息安全设备的理由是

信息安全设备的用途不符合俄罗斯 FSTEC 的权限；

申请人和（或）制造商没有俄罗斯 FSTEC 颁发的许可证（如果俄罗斯联邦法律要求此类许可证）；

认证申请及其所附文件中的信息不可靠；

俄罗斯 FSTEC 根据俄罗斯联邦 2004 年 8 月 16 日第 1085 号总统令批准的《联邦技术和出口管制局条例》第 8 段第 21 分段维护的信息安全威胁数据库中，存在关于信息保护装置脆弱性的信息，或俄罗斯 FSTEC 从授权机构收到的关于与使用信息保护装置有关的安全威胁的信息。

26.拒绝认证数据保护设备的通知或需要修改认证申请及（或）所附文件的通知，应由俄 罗斯联邦技术经济委员会授权官员在作出决定之日起不超过三天内签署，并应交付给申 请人或通过挂号信寄出并要求回执。

27.如果决定对信息安全设备进行认证，该决定应说明

决定的编号和日期

信息安全设备的名称信息安全设备的用途

申请人的全名和简称（如有）、组织和法律形式、申请人所在地的地址；对信息安全工具进行认证测试的测试实验室名称；对信息安全设备进行认证的认证机构名称；信息安全设备认证要求的合规文件；信息安全设备认证计划；计划在其物质和技术基础上对信息安全设备进行认证测试的人员姓名、认证测试地点（地址）。信息安全设备认证决定一式四份，由俄罗斯国家技术经济委员会授权官员签署，通过挂号信寄出，并要求回执，或递交申请人、测试实验室和认证机构各一份。

28.在信息安全设备认证过程中，经与俄罗斯 FSTEC 协商，可修改技术规格、技术任务或安全任务。

29.在决定对信息安全设备进行认证之前，不得对信息安全设备进行认证（认证测试）。

30.申请人应在与测试实验室和认证机构签订合同后三日内书面通知俄罗斯国家技术和经济委员会（FSTEC），说明合同中规定的信息安全设备认证期限。

31.在下列情况下，信息安全设备认证决定应重新签发

信息安全设备名称变更；

更换测试实验室或认证机构，包括暂停或终止测试实验室或认证机构的认可证书；

信息安全设备认证所遵循的文件构成发生变化；

数据保护设备认证计划的变更，包括一批数据保护设备中样品数量的变更；

认证测试地点的变更。

32.申请人应通过挂号信（要求回执）或直接向俄罗斯国家技术和经济委员会（FSTEC）提交申请，并说明需要重新发布信息安全设备认证决定的理由。

33.自收到申请人的申请之日起 10 个工作日内，应重新签发一式四份的保护手段认证决定，由俄罗斯 FSTEC 授权官员签署，并通过挂号信寄出，要求回执，或向申请人、测试实验室和认证机构各寄一份。

34.在拒绝重新签发信息安全设备认证决定的情况下，应由俄罗斯 FSTEC 授权官员签署一份附有拒绝理由的通知，并递交给申请人或通过挂号信寄出，同时确认收件。

35.在下列情况下，信息安全设备认证决定将被取消：

申请人要求终止信息安全设备认证；

自信息安全设备认证决定之日起 1 年后，申请人未能与测试实验室和认证机构签订认证合同。

36.取消信息安全设备认证决定的通知应由俄罗斯国家技术经济委员会的授权官员签署，并应通过挂号信（要求回执）或送达申请人、检测实验室和认证机构。

信息安全设备的认证测试

37.为进行认证测试，测试实验室应选择信息安全设备的样品。(俄罗斯联邦 FSTEC 命令，2021 年 8 月 5 日第 121 号)

在对一批旨在防止信息通过技术渠道泄漏的手段进行认证时，应提交整批信息保护手段样品进行抽样。(编者注：2021 年 8 月 5 日第 121 号俄罗斯联邦国家技术和经济委员会命令)

在对批量生产的信息保护装置进行认证时，应提交一批信息保护装置进行抽样，其数量至少为认证测试所需的样品数量的两倍。(编者注：俄罗斯联邦国家技术和经济委员会令，2021 年 8 月 5 日第 121 号）。

在认证批量或批次生产的防止通过技术渠道泄漏信息的保护手段时，应根据统计可靠性条件并 考虑到认证测试期间信息保护手段样品（样本）可能失效时申请人的成本，确定样品数量。(编者注：2021 年 8 月 5 日俄罗斯联邦国家技术和经济委员会第 121 号命令。）

在认证批量或批次生产的旨在保护信息免受未经授权获取信息（对信息的影响）的手段或确保信息技术安全的手段时，应选择一个信息保护手段样品。(编者注：2021 年 8 月 5 日俄罗斯联邦科学技术委员会第 121 号命令）。

所选信息保护手段样品（样本）的设计、组成和制造技术应与打算出售给消费者的信息保护手段 样品一致。(俄罗斯联邦技术和出口管制局 2021 年 8 月 5 日第 121 号命令） 37.1.

37.1.根据选择结果，应制定信息安全设备样品（样本）选择法案，其中应明确规定： （俄罗斯联邦技术和出口管制局 2021 年 8 月 5 日第 121 号联邦令）

认证决定的编号和日期；（俄罗斯联邦 FSTEC 自 2021 年 8 月 5 日发布的第 121 号令）

信息安全设备样品的选择日期；（编者注：俄罗斯联邦 FSTEC 2021 年 8 月 5 日 N 121 号令

信息安全设备名称；（根据俄罗斯联邦 FSTEC 2021 年 8 月 5 日第 121 号命令修改）

申请人名称；（俄罗斯联邦 FSTEC 2021 年 8 月 5 日 N 121 号令版本）

检测实验室名称；（俄罗斯联邦 FSTEC 2021 年 8 月 5 日 N 121 号令版本）

2018年5月11日在俄罗斯司法部注册 N 51063

联邦技术和出口管制局
命令
日期为 2018 年 4 月 3 日 N 55
关于批准信息保护手段认证系统条例的命令
(俄罗斯联邦技术和出口管制局 2021 年 8 月 5 日第 121 号和 2022 年 9 月 19 日第 172 号命令）。