Учебное пособие санкт-Петербург 2008 удк 621. 865. 8 Гатчин Ю. А., Симоненко З. Г. Учебное пособие.Вопросы технологии сертификации средств защиты информации. Спб гу итмо, 2008.  120с. Рецензенты

Вид материалаУчебное пособие

Содержание


Глава 3.серти
Система сертификации (организационная система сертификации
Схема сертификации
Сертификат соответствия
Знак соответствия (знак сертификации)
Декларация о соответствии
Держатель сертификата соответствия
Вид испытаний
Государственные испытания
Государственная тайна
Данные испытаний
Держатель сертификата соответствия
Знак соответствия
Идентификация продукции
Инспекционный контроль за сертифицированной продукцией
Испытательная лаборатория
Испытательное оборудование
Контрольные испытания
Лицензия на применение знака соответствия
Метод испытаний
...
Полное содержание
Подобный материал:
1   2   3   4   5   6   7
ГЛАВА 3.СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ


3.1.Основные определения и понятия сертификации


Слово «сертификация» в переводе с латинского (sertifico) означает – подтверждаю, удостоверяю.

Впервые определение понятия «сертификация» дано Международной организацией по стандартизации (ИСО) в 1982 году.

Сертификация – это процедура осуществления органом по сертификации подтверждения соответствия результата производственной деятельности, товара, услуги нормативным требованиям, посредством которой третья сторона документально удостоверяет, что продукция, работа (процесс) или услуга соответствует заданным требованиям.

Система сертификации (организационная система сертификации) совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом; как система, имеющая свои собственные правила процедуры и руководства для проведения сертификации соответствия в области защиты информации(в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Системы сертификации могут создаваться на трех уровнях; национальном, региональном и международном.

Схема сертификации - определенная совокупность действия, официально принимаемая (устанавливаемая) в качестве доказательства соответствия продукции заданным требованиям (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Сертификат соответствия это документ, выданный согласно правилам системы сертификации и удостоваряющий, что данная продукция, технологический процесс, т.е.должным образом идентифицированные защищенные изделия, технические средства и способы защиты информации находятся в соответствии с положениями конкретных стандартов, требованиями технических регламентов, или другими нормативными документами, устанавливающими требования к ним (в соответствии с Законом Российской Федерации от 10.06.1993 г. № 5151-1).

Лицензирование и сертификация относятся к таким предметным областям, где отсутствуют необходимый набор формальных правил и критериев регулирования и оценки протекающих процессов и происходящих явлений. Рассмотрение и анализ в таких случаях осуществляют на качественном уровне. В качестве критерия используется смысловое содержание понятий, а выводы во многом определяются правильностью понимания этих терминов и однозначностью их трактовки.

Знак соответствия (знак сертификации)охраняемый законом знак (сочетание букв, цифр, графических символов и т.п.), указывающий , что данная продукция , технологический процесс или услуга находятся в соответствии с конкретными стандартами или другими нормативными документами, устанавливающими требования к ним (в соответствии с Законом Российской Федерации от 10.06.1993 г. № 5151-1).

Декларация о соответствиидокумент, в котором изготовитель (продавец, исполнитель) удостоверяют, что поставляемая (продаваемая)им продукция соответствует установленным требованиям соответствия.

Держатель сертификата соответствия - организация или индивидуальный предприниматель, на чье имя выдан сертификат соответствия (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Вид испытаний – классификационная группировка испытаний по определенному признаку (по ГОСТ 16504-81).

Воспроизводимость результатов испытаний – характеристика результатов испытаний, определяемая близостью результатов повторных испытаний объекта (по ГОСТ 16504-81).

Выборка – изделие или определенная совокупность изделий, отобранных для контроля из партии или потока продукции (по ГОСТ 15895-77).

Государственные испытания – испытания установленных важнейших видов продукции, проводимые головной организацией по государственным испытаниям, или приемочные испытания, проводимые государственной комиссией или испытательной организацией, которой предоставлено право их проведения (по ГОСТ 16504-81).

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (в соответствии с Законом РФ от 21.07.1993 г. № 5485-1).

Данные испытаний – регистрируемые при испытаниях значения характеристик свойств объекта и (или) условий испытаний, наработок, а также других параметров, являющихся исходными для последующей обработки (по ГОСТ 16504-81).

Держатель сертификата соответствия - организация или индивидуальный предприниматель, на чье имя выдан сертификат соответствия (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Заказчик – министерство или ведомство, объединение, предприятие или организация, по принятой заявке или договору, с которыми производится разработка и (или) поставка продукции.

Заявитель - предприятие, организация, лицо, обратившиеся с заявкой на проведение аккредитации или сертификации (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Знак соответствия - зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям (в соответствии с Законом Российской Федерации от 10.06.1993 г. № 5151-1).

Идентификация продукции - процедура, посредством которой устанавливают соответствие представленной на сертификацию продукции требованиям, предъявляемым к данному виду (типу) продукции (в нормативной и технической документации, в информации о продукции) (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Изготовитель – Министерство или ведомство, объединение, предприятие или организация, осуществляющие освоение производства и выпуск продукции (по ГОСТ 15.001-73).

Изделие – единица промышленной продукции, количество которой может исчисляться в штуках или экземплярах (по ГОСТ 15895-77).

Инспекционный контроль за сертифицированной продукцией - контрольная оценка соответствия, осуществляемая с целью установления, что продукция продолжает соответствовать заданным требованиям, подтвержденным при сертификации (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Испытания – экспериментальное определение количественных и/или качественных характеристик свойств объекта испытаний как результата воздействия на него при функционировании, при моделировании объекта и/или воздействий (по ГОСТ 16504-81).

Испытательная лаборатория - лаборатория (центр), которая проводит испытания (отдельные виды испытаний) определенной продукции (далее - испытательная лаборатория) (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Испытательное оборудование – средство испытаний, представляющее собой техническое устройство для воспроизведения условий испытаний (по ГОСТ 16504-81).

Комплектующее изделие – изделие предприятия-поставщика, применяемое как составная часть изделия, выпускаемого предприятием-изготовителем (по ГОСТ 3.1109-82).

Контрольные испытания – испытания, проводимые для контроля качества объекта (по ГОСТ 16504-81).

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.

Лицензия на применение знака соответствия - документ, выданный уполномоченным органом, посредством которого держателю сертификата соответствия предоставляется право применять знак соответствия в пределах, установленных этим документом (в соответствии с Правилами, утвержденными постановлением Госстандарта России от 25.07.1996 г. № 14).

Метод испытаний – правила применения определенных принципов и средств испытаний (по ГОСТ 16504-81).

Методика испытаний – организационно-методический документ, обязательный к выполнению, включающий метод испытаний, средства и условия испытаний, отбор проб, алгоритмы выполнения операций по определению одной или нескольких взаимосвязанных характеристик свойств объекта, формы представления данных и оценивания точности, достоверности результатов, требования техники безопасности и охраны окружающей среды (по ГОСТ 16504-81).

Объект испытаний – продукция, подвергаемая испытаниям (по ГОСТ 16504-81).

Объем испытаний – характеристика испытаний, определяемая количеством объектов и видов испытаний, а также суммарной продолжительностью испытаний (по ГОСТ 16504-81).

Образец для испытаний – продукция или ее часть, или проба, непосредственно подвергаемые эксперименту при испытаниях (по ГОСТ 16504-81).

Орган по сертификации - орган, проводящий сертификацию соответствия определенной продукции (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Партия – предназначенная для контроля совокупность единиц продукции одного наименования и обозначения, произведенная в течение определенного интервала времени в одних и тех же условиях (по ГОСТ 15895-77).

Покупное изделие – комплектующее изделие, получаемое предприятием в готовом виде и изготовленное по технической документации предприятия-поставщика (по ГОСТ 3.1109-82).

Потребитель - Министерство или ведомство, объединение, предприятие или организация, использующие данную продукцию по назначению (по ГОСТ 15.001-73).

Поставщик - Министерство или ведомство, объединение, предприятие или организация, поставляющие продукцию в установленном порядке (по ГОСТ 15.001-73).

Программа испытаний – организационно-методический документ, обязательный к выполнению, устанавливающий объект и цели испытаний, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний (по ГОСТ 16504-81).

Протокол испытаний – документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, результаты испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке (по ГОСТ 16504-81).

Продукция серийного производства – продукция, изготовляемая периодически повторяющимися партиями (по ГОСТ 14.004-83).

Продукция единичного производства – продукция, выпускаемая единовременно или периодически отдельными партиями (по ГОСТ 14.004-83).

Разработчик – Министерство или ведомство, объединение, предприятие или организация, осуществляющие разработку продукции (по ГОСТ 15.001-73).

Результат идентификации – заключение о соответствии (не соответствии) конкретной продукции образцу и (или) ее описанию (по ГОСТ Р 51293-99).

Результат испытаний – оценка характеристик свойств объекта, установления соответствия объекта заданным требованиям по данным испытаний, результаты анализа качества функционирования объекта в процессе испытаний (по ГОСТ 16504-81).

Сертификационные испытания – контрольные испытания продукции, проводимые с целью установления соответствия характеристик ее свойств национальным и (или) международным нормативно-техническим документам (по ГОСТ 16504-81).

Средство испытаний – техническое устройство, вещество и (или) материал для проведения испытаний (по ГОСТ 16504-81).

Условия испытаний – совокупность воздействующих факторов и (или) режимов функционирования объекта при испытаниях (по ГОСТ 16504-81).

Эксперт - лицо, аттестованное на право проведения одного или нескольких видов работ в области сертификации (в соответствии с Правилами, утвержденными постановлением Госстандарта России № 26 от 10.05.2000 г.).

Экспертиза технической документации – исследование соответствия технической документации установленным требованиям с оценкой совершенства заложенных в ней технических решений (по ГОСТ 15.001-73).

Экспертное заключение – документ, содержащий результаты проведенной экспертизы (ГОСТ 15.001-73).


3.2.Нормативно-правовое обеспечение сертификации технических средств защиты информации


Нормативно-правовое обеспечение сертификации технических средств защиты информации осуществляется в соответствии с федеральными законами РФ: «О техническом регулировании» (в ред. От 09.05.2005), « Об обеспечении единства измерений» (в ред..от 25.07.2002 N 116-Ф, от 10.01.2003 N 15-ФЗ), « О сертификации продукции и услуг» №5151-1 от 10 июня 1993 года, а также принятым в дополнение Законом № 154-Ф3 « о внесении изменений и дополнений в Закон РФ« О сертификации продукции и услуг», принятый Государственной Думой 2 июля 1998 года (ПРИЛОЖЕНИЕ ), а также регулируется указами Президента и актами Правительства РФ (более 50 актов), а также подзаконными актами (более 30 актов). Массив нормативно-методических документов, на соответствие требованиям которых проводится сертификация и устанавливаются методы поверки этих требований, включает примерно 12 тысяч наименований.

Федеральный закон РФ «О техническом регулировании»


Сфера применения настоящего Федерального закона «О техническом регулировании» относится к регулированию организационных мероприятий . возникающих при разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; а также при разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.

В нем дано определение наиболее важных терминов:

техническое регулирование - правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, а также в области установления и применения на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия;

форма подтверждения соответствия - определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;

технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации;

стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

Техническое регулирование осуществляется (ст.3) в соответствии с принципами:

применения единых правил установления требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг;

соответствия технического регулирования уровню развития национальной экономики, развития материально-технической базы, а также уровню научно-технического развития;

независимости органов по аккредитации, органов по сертификации от изготовителей, продавцов, исполнителей и приобретателей;

единства правил и методов исследований (испытаний) и измерений при проведении процедур обязательной оценки соответствия;

единства применения требований технических регламентов независимо от видов или особенностей сделок;

недопустимости ограничения конкуренции при осуществлении аккредитации и сертификации;

недопустимости совмещения полномочий органа государственного контроля (надзора) и органа по сертификации;

недопустимости совмещения одним органом полномочий на аккредитацию и сертификацию;

недопустимости внебюджетного финансирования государственного контроля (надзора) за соблюдением требований технических регламентов.

Обязательные требования к отдельным видам продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации определяются совокупностью требований общих технических регламентов и специальных технических регламентов.

В статье 5. указаны особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну

В Законе формулируются цели стандартизации, которая осуществляется для:

повышения уровня безопасности жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, экологической безопасности и содействия соблюдению требований технических регламентов;

повышения уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера;

обеспечения научно-технического прогресса;

повышения конкурентоспособности продукции, работ, услуг;

рационального использования ресурсов;

технической и информационной совместимости;

сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных;

взаимозаменяемости продукции.

К документам в области стандартизации, используемым на территории Российской Федерации, относятся национальные стандарты; правила стандартизации, нормы и рекомендации в области стандартизации; применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации; стандарты организаций.

Основополагающим документом РФ в области сертификации являются Закон РФ «О сертификации продукции и услуг» №5151-1 от 10 июня 1993 года, а также принятый в дополнение Закон № 154-Ф3 « О внесении изменений и дополнений в Закон РФ« О сертификации продукции и услуг», принятый Государственной Думой 2 июля 1998 года


Закон РФ « О сертификации продукции и услуг»


В соответствии с Законом Российской Федерации «О сертификации продукции и услуг» целями сертификации являются:

создание условий для деятельности предприятий, учреждений, организаций на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

содействие потребителям в компетентном выборе продукции;

защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;подтверждение показателей качества продукции, заявленных изготовителем.

Основными принципами организации работ по сертификации являются:

независимость и компетентность органов и испытательных лабораторий;

соизмеримость достигнутого уровня безопасности информации и затрат на его подтверждение;

обоснованность использования нормативных документов с учетом достигнутого научно-технического и технологического уровня разработки СЗИ и методов их испытаний;

бездискриминационный доступ к участию в процессах сертификации, их независимость и компетентность;

объективность оценок;

воспроизводимость результатов оценок;

конфиденциальность;

информативность.

При сертификации серийно выпускаемых сложных аппаратных, аппаратно-программных комплексов, автоматизированных систем, в состав которых входят СЗИ (как составные части изделия), органом по сертификации может быть принято решение о проведении на сертификации СЗИ, как составной части (если не предполагается его дальнейшая доработка), до завершения разработки всего комплекса, системы, но не ранее присвоения литеры О документации на изделие.

В программной и конструкторской документации на СЗИ, разрабатываемые в рамках государственного оборонного заказа, должна быть проставлена учетная отметка (запись) военного представительства Министерства обороны Российской Федерации о соответствии ее требованиям ГОСТ и ТТЗ.

Сумма средств, израсходованных заявителем на проведение обязательной сертификации своей продукции, относится на ее себестоимость (пункт 2 статьи 16 закона Российской Федерации «О сертификации продукции и услуг» в ред. Федерального закона от 31.07.98 № 154-ФЗ).

Для расчета стоимости работ по сертификации разрабатывается методика определения стоимости работ по сертификации, отражающая уровень фактических затрат для конкретной номенклатуры СЗИ, которая согласовывается с Министерством финансов Российской Федерации и утверждается приказом Министра обороны Российской Федерации.