лучение
несанкционированного доступа к ним;

— недостаточная разработанность нормативной правовой базы,
регулирующей отношения в информационной сфере, а также недостаточная
правоприменительная практика;

— неразвитость институтов гражданского общества и
недостаточный государственный контроль за развитие информационного рынка
России.

— ошибочные действия программистов;

— несовершенство программного и аппаратного
инструментария; доработки (модификация) программных изделий;

— влияние прототипирования;

— преднамеренные действиями отдельных программистов,
носящих криминальный характер.

Перечень факторов, которые могут содержать угрозы
безопасности компьютерной инфосфере (далее — факторы) критических систем
(продукции) приведен в Приложении.

8. Перечень действий, вводящих в заблуждение
приобретателей при использовании систем (продукции), в отношении которых
устанавливаются требования Общим техническим регламентом

8.1 Невнесение разработчиком (поставщиком) компьютерной
инфосферы (фрагмента компьютерной инфосферы) в документацию на компьютерную
инфосферу (фрагмент компьютерной инфосферы) и соответственно на систему
(продукцию) гарантий на получение требуемых приобретателю результатов
функционирования компьютерной инфосферы (либо отдельных фрагментов компьютерной
инфосферы).

8.2 Невнесение разработчиком (поставщиком) компьютерной
инфосферы (фрагмента компьютерной инфосферы) в документацию на компьютерную
инфосферу (фрагмент компьютерной инфосферы) и соответственно на систему
(продукцию) количественных оценок величины риска угрозы обеспечению зашиты
жизни или здоровья граждан, имущества физических или юридических лиц,
государственного или муниципального имущества, охраны окружающей среды, жизни
или здоровья животных и растений, включая угрозы обеспечения безопасности
излучений; биологической безопасности; взрывобезопасности: механической
безопасности; пожарной безопасности; промышленной безопасности; термической
безопасности; химической безопасности; электрической безопасности;
электромагнитной совместимости в части обеспечения безопасности работы приборов
и оборудования; единству измерений; безопасной эксплуатации и утилизации машин
и оборудования; безопасной эксплуатации зданий, строений, сооружений и
безопасному использованию прилегающих к ним территорий; ядерной и радиационной
безопасности; экологической и иной безопасности, обусловленных
функционированием компьютерной инфосферы (фрагментов компьютерной инфосферы).

8.3 Невнесение разработчиком (поставщиком) компьютерной
инфосферы (фрагмента компьютерной инфосферы) в документацию на компьютерную
инфосферу (фрагмент компьютерной инфосферы) и соответственно на систему
(продукцию) оценок вероятностей получения требуемых приобретателю результатов
функционирования компьютерной инфосферы (либо отдельных фрагментов компьютерной
инфосферы).

8.4 Невнесение разработчиком (поставщиком) компьютерной
инфосферы (фрагмента компьютерной инфосферы) в документацию на компьютерную
инфосферу (фрагмент компьютерной инфосферы) и соответственно на систему
(продукцию) оценок степени защищенности информации, несанкционированное
изменение или утечка которой вводит заблуждение приобретателей.

9. Схема оценки риска причинения вреда

9.1 Производится оценка защищенности компьютерной
инфосферы (фрагментов компьютерной инфосферы) системы (продукции) от факторов
угроз, приведенных в Приложении с учетом положений разделов 7, 8 и пункта 10.1.

9.2 Производится оценка надежности функционирования
компьютерной инфосферы (фрагментов компьютерной инфосферы) системы (продукции)
с учетом оценки защищенности компьютерной инфосферы (фрагментов компьютерной
инфосферы).

9.3 Производится оценка надежности функционирования
системы (продукции) с учетом оценки надежности функционирования компьютерной
инфосферы.

9.4 Производится оценка величины риска причинения вреда
жизни или здоровью граждан, имуществу физических или юридических лиц,
государственному или муниципальному имуществу, окружающей среде, жизни или
здоровью животных и растений с учетом тяжести этого вреда при применении
(функционировании) системы (продукции) с использованием оценки надежности ее
функционирования.

9.5 Производится оценка составляющей величины риска
причинения вреда жизни или здоровью граждан, имуществу физических или
юридических лиц, государственному или муниципальному имуществу, окружающей
среде, жизни или здоровью животных и растений с учетом тяжести этого вреда при
применении (функционировании) системы (продукции) в части влияния ненадежностифункционированиякомпьютерной инфосферы.

9.6 Все упомянутые в пунктах 9.1 — 9.5 оценки риска,
надежности и защищенности проводятся по методикам, разработанным в соответствии
с положениями пункта 11 статьи 7 Федерального закона от 27 декабря 2002 г. №
184-ФЗ «О техническом регулировании» и утверждаемым тем федеральным органом
исполнительной власти Российской Федерации, который федеральным законом либо
указом Президента Российской Федерации, либо постановлением Правительства
Российской Федерации уполномочен быть ответственным за обеспечение
соответственно: безопасности излучений; биологической безопасности;
взрывобезопасности; механической безопасности; пожарной безопасности;
промышленной безопасности; термической безопасности; химической безопасности;
электрической безопасности; электромагнитной совместимости в части обеспечения
безопасности работы приборов и оборудования; единству измерений; безопасной
эксплуатации и утилизации машин и оборудования; безопасной эксплуатации зданий,
строений, сооружений и безопасному использованию прилегающих к ним территорий;
ядерной и радиационной безопасности; экологической и иной безопасности.

10. Требования по обеспечению целей Общего технического
регламента

10.1 Заказчик (приобретатель) системы (продукции),
указанной в разделе 5, должен установить требования к степени (показателям)
надежности функционирования заказываемой системы (продукции) с учетом
минимизации риска причинения вреда жизни или здоровью граждан, имуществу
физических или юридических лиц, государственному или муниципальному имуществу,
окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого
вреда и, исходя из перечня, приведенного в Приложении, определить наличие
факторов, которые могут содержать угрозы безопасности компьютерной инфосфере
систем (продукции) или вводить в заблуждение приобретателя.

10.2 Разработчик системы (продукции), указанной в разделе
5, должен установить требования к степени (показателям) надежности
функционирования компьютерной инфосферы (фрагментов компьютерной инфосферы)
системы (продукции), указанной в разделе 4, исходя из достижения требуемого в соответствии
с пунктом 10.1 уровня надежности функционирования системы (продукции), включая
требуемые уровни защищенности компьютерной инфосферы (фрагментов компьютерной
инфосферы) системы (продукции) от факторов угроз, наличие которых установлено в
соответствии с пунктом 10.1.

10.3 Разработчик компьютерной инфосферы (фрагмента
компьютерной инфосферы) системы (продукции), указанной в разделе 4, должен
представить на основе положений раздела 9 доказательства достижения требуемого
уровня надежности функционирования системы (продукции), указанной в разделе 4,
включая требуемых уровней защищенности компьютерной инфосферы (фрагментов
компьютерной инфосферы) системы (продукции) от факторов угроз, наличие которых
установлено в соответствии с пунктом 10.1.

10.4. Разработчик компьютерной инфосферы (фрагмента
компьютерной инфосферы) системы (продукции), указанной в разделе 4, должен
иметь сертификат качества производства.

10.5. Заказчик (приобретатель) системы (продукции),
указанной в разделе 5 имеет право установить особый порядок допуска персонала к
разработке компьютерной инфосферы (одного или нескольких фрагментов
компьютерной инфосферы) системы (продукции), включая специальный опрос с
применением полиграфа. Утверждение такого порядка возлагается на федеральный орган
исполнительной власти в соответствии с пунктом 9.6.

11. Требования
к объекту технического регулирования при наличии факторов, не позволяющих
определить степень допустимого риска

В случае если уровень научно-технического развития,
состояние соответствующей научно-методической базы, недостаточность информации
о системе (продукции), ее компьютерной инфосферы (фрагментов компьютерной
инфосферы), технологии их создания, возможных угрозах, иные факторы не
позволяют определить степень допустимого риска в соответствии с положениями
разделов 8, 9 и пункта 10.3 Общего технического регламента, а также при
выполнении условий пункта 6.2 Общего технического регламента, то в соответствии
с пунктом 7 статьи 7 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О
техническом регулировании» обязательные требования, указанные в пункте 10.2
Общего технического регламента не задаются, в документацию на систему
(продукцию) и отдельно ее компьютерную инфосферу (соответствующий фрагмент
компьютерной инфосферы) вносится информация приобретателю о возможном вреде и о
факторах, от которых он зависит, система (продукция) и отдельно ее компьютерная
инфосфера (соответствующий фрагмент компьютерной инфосферы) маркируется в
соответствии с пунктом 14.3.

12. Формы обязательного подтверждения соответствия

12.1 Обязательное подтверждение соответствия
осуществляется в целях:

— удостоверения соответствия компьютерной инфосферы
(фрагментов компьютерной инфосферы):

— содействия приобретателям в компетентном выборе
фрагментов компьютерной инфосферы;

— повышения конкурентоспособности фрагментов компьютерной
инфосферы на российском и международном рынках;

— создания условий для обеспечения свободного перемещения
фрагментов компьютерной инфосферы по территории Российской Федерации, а также
для осуществления международного экономического, научно-технического
сотрудничества и международной торговли.

12.2 Обязательное подтверждение соответствия
осуществляется:

— в форме принятия декларации о соответствии или в форме
обязательной сертификации, если отсутствуют особые требования заказчика
(приобретателя) системы (продукции), указанной в разделе 5.

12.3 Обязательное подтверждение соответствия
осуществляется только в форме обязательной сертификации, если имеются особые
требования заказчика (приобретателя) системы (продукции), указанной в разделе
5.

13. Схемы декларирование соответствия

13.1 Декларирование соответствия осуществляется в
соответствии со статьями 25 и 26 Федерального закона от 27 декабря 2002 г. №
184-ФЗ «О техническом регулировании».

13.2 Декларирование соответствия осуществляется по одной
из следующих схем:

— принятие декларации о соответствии на основании
собственных доказательств;

— принятие декларации о соответствии на основании
собственных доказательств, доказательств, полученных с участием органа по
сертификации и (или) аккредитованной испытательной лаборатории (центра).

14. Схема обязательной сертификации

14.1 Обязательная сертификация компьютерной инфосферы
(фрагментов компьютерной инфосферы) осуществляется в соответствии со статьями
25 и 26 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом
регулировании».

14.2 Схема обязательной сертификации компьютерной
инфосферы (фрагментов компьютерной инфосферы) включает следующие операции:

— подача заявителем в орган по сертификации заявки на
проведение сертификации;

— рассмотрение заявки и принятие по ней решения органом по
сертификации;

— проведение испытаний эталонного образца компьютерной
инфосферы (фрагментов компьютерной инфосферы) аккредитованной испытательной
лабораторией;

— проведение органом по сертификации анализа результатов
испытаний и оценки надежности компьютерной инфосферы (фрагментов компьютерной
инфосферы), представленные заявителем с учетом выполнения положения пункта 9.6
Общего технического регламента;

— проведение органом по сертификации анализа состояния
производства с учетом выполнении положений пунктов 10.4 и 10.5 Общего
технического регламента;

— обобщение результатов испытаний и анализа состояния
производства и выдача заявителю сертификата соответствия;

— маркирование продукции знаком обращения на рынке либо
символом наличия неопределенного риска в соответствии с положениями пункта 14.3
Общего технического регламента;

— инспекционный контроль за сертифицированной продукцией.

15. Требования
к терминологии и маркировке

15.1 Для целей настоящего Общего технического регламента
используется терминология в соответствии разделом 2.

15.2 В случае, если компьютерная инфосфера (фрагмент
компьютерной инфосферы) системы (продукции) соответствует положениям раздела
10, то документация на компьютерную инфосферу (соответствующий фрагмент
компьютерной инфосферы), этикетки в любой форме отображения, в том числе на
носителях информации и их упаковках может маркироваться знаком обращения на
рынке в соответствии со статьей 7 Федерального закона от 27 декабря 2002 г. №
184-ФЗ «О техническом регулировании».

15.3 В случае если компьютерная инфосфера (фрагмент
компьютерной инфосферы) системы (продукции) соответствует положениям раздела
11, то документация (обязательно титульный лист) на компьютерную инфосферу
(соответствующий фрагмент компьютерной инфосферы), все этикетки в любой форме
отображения, в том числе на носителях информации и их упаковках, а также
упоминание в документации на систему (продукцию) о компьютерной инфосфере
(фрагменте компьютерной инфосферы) должны содержа следующий символ «HaP», символизирующий о наличии неопределенною
риска (о возможности риска причинения вреда жизни или здоровью граждан,
имуществу физических или юридических лиц, государственному или муниципальному
имуществу, окружающей среде, жизни или здоровью животных и растений без учета
тяжести этого вреда и с неизвестной вероятностью этого события), маркировка
знаком обращения на рынке при этом исключается.

16. Порядок разработки изменений и дополнений в Общий
технический регламент

Внесение изменений и дополнений в Общий технический
регламент осуществляется в порядке, предусмотренном во втором абзаце пункта 10
статьи 9 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом
регулировании».


ПРИЛОЖЕНИЕ

ПЕРЕЧЕНЬ ФАКТОРОВ,
КОТОРЫЕ МОГУТ