Учебное пособие санкт-Петербург 2008 удк 621. 865. 8 Гатчин Ю. А., Симоненко З. Г. Учебное пособие.Вопросы технологии сертификации средств защиты информации. Спб гу итмо, 2008.  120с. Рецензенты

Вид материалаУчебное пособие

Содержание


Требования к нормативным документам, на соответствие которых проводится сертификация СЗИ
3.3.1.Добровольная сертификация
Орган по добровольной сертификации
Подтверждение соответствия
Подтверждение соответствия
Подтверждение соответствия
Обязательное подтверждение соответствия
Декларирование соответствия
Декларация о соответствии
Орган по сертификации
Система добровольной сертификаци
3.3.2.Обязательная сертификация
Из Статьи 11. Обязанности органа
Испытательные лаборатории (центры)
3.4.Порядок проведения сертификации средств защиты информации
3.4.2.Подача заявки на сертификацию и принятие решения по ней.
3.4.3. Отбор, идентификация образцов и проведение испытаний СЗИ
3.4.4. Предварительная проверка производства
Наличие и содержание документации
Материально-техническая и испытательная база
...
Полное содержание
Подобный материал:
1   2   3   4   5   6   7

Требования к нормативным документам, на соответствие которых проводится сертификация СЗИ:

1. В нормативных документах, на соответствие требованиям которых проводится сертификация, должны быть установлены характеристики (показатели, свойства) СЗИ, позволяющие обеспечить их идентификацию, полное и достоверное подтверждение соответствия СЗИ этим требованиям.

2. Положения нормативных документов должны быть сформулированы четко, обеспечивая их точное и однозначное толкование.

Размерность и количественные значения характеристик должны быть заданы таким образом, чтобы имелась возможность для их воспроизводимого определения с заданной или известной точностью при испытаниях. Содержание и изложение этих сведений должно позволить различным испытательным лабораториям получать сопоставимые результаты.

3. Требования нормативных документов к маркировке должны обеспечить однозначную идентификацию СЗИ, а также содержать указания об условиях применения, месте и способе нанесения знака соответствия.

3.3.Типы сертификации


В соответствии с Законом Российской Федерации «О сертификации продукции и услуг» сертификация бывает добровольной и обязательной.


3.3.1.Добровольная сертификация

Из Статьи 17. Добровольная сертификация (в ред. Федерального закона от 31.07.1998 N 154-ФЗ):


1. Добровольная сертификация проводится по инициативе заявителей (изготовителей, продавцов, исполнителей) в целях подтверждения соответствия продукции требованиям стандартов, технических условий, рецептур и других документов, определяемых заявителем.

Добровольная сертификация проводится на условиях договора между заявителем и органом по сертификации.

2. Добровольная сертификация продукции, подлежащей обязательной сертификации, не может заменить обязательную сертификацию такой продукции.


Из Статьи 18. Организация добровольной сертификации(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)


1. Добровольная сертификация осуществляется органами по добровольной сертификации, входящими в систему добровольной сертификации, образованную любым юридическим лицом, зарегистрировавшим данную систему и знак соответствия в специально уполномоченном федеральном органе исполнительной власти в области сертификации в установленном им порядке.

Органом по добровольной сертификации может быть юридическое лицо, образовавшее систему добровольной сертификации, а также юридическое лицо, взявшее на себя функции органа по добровольной сертификации на условиях договора с юридическим лицом, образовавшим данную систему.

Орган по добровольной сертификации:

осуществляет сертификацию продукции, выдает сертификаты, а также на условиях договора с заявителем предоставляет ему право на применение знака соответствия;

приостанавливает либо отменяет действие выданных сертификатов.

2. Юридическое лицо, образовавшее систему добровольной сертификации, устанавливает правила проведения работ в системе сертификации, порядок оплаты таких работ и определяет участников системы добровольной сертификации.

3. Добровольная сертификация может проводиться также в системе обязательной сертификации, если это предусмотрено правилами системы обязательной сертификации и при наличии в данной системе зарегистрированного в установленном порядке знака соответствия добровольной сертификации.

Права заявителя заключаются в том,что он при заключении договора на проведение сертификации вправе получить от органа по добровольной сертификации необходимую информацию о правилах сертификации продукции, а также определить форму сертификации.

В определенной системе добровольной сертификации осуществляется подтверждение соответствия.

Из статьи 18 закона РФ «О техническом регулировании» (в ред. от 09.05.2005)

Подтверждение соответствия существляется в целях:

удостоверения соответствия продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, условиям договоров;

содействия приобретателям в компетентном выборе продукции, работ, услуг;

повышения конкурентоспособности продукции, работ, услуг на российском и международном рынках и др.

Подтверждение соответствия осуществляется на основе принципов:

доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;

недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;

установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;

уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;

в том числе в определенной системе добровольной сертификации;

защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;

недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.

Формы подтверждения соответствия:

1 .Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер и осуществляется в форме добровольной сертификации.

2 .Обязательное подтверждение соответствия осуществляется в формах принятия декларации о соответствии (далее - декларирование соответствия) или обязательной сертификации.

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.

Регистрация системы добровольной сертификации осуществляется в течение пяти дней с момента представления документов, предусмотренных настоящим пунктом для регистрации системы добровольной сертификации, в федеральный орган исполнительной власти по техническому регулированию. Порядок регистрации системы добровольной сертификации и размер платы за регистрацию устанавливаются Правительством Российской Федерации. Плата за регистрацию системы добровольной сертификации подлежит зачислению в федеральный бюджет.

Объекты сертификации, сертифицированные в системе добровольной сертификации, могут маркироваться знаком соответствия системы добровольной сертификации. Порядок применения такого знака соответствия устанавливается правилами соответствующей системы добровольной сертификации.

Применение знака соответствия национальному стандарту осуществляется заявителем на добровольной основе любым удобным для заявителя способом в порядке, установленном национальным органом по стандартизации.

Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации.

Декларирование соответствия осуществляется по одной из следующих схем:

принятие декларации о соответствии на основании собственных доказательств;

принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее - третья сторона).

При декларировании соответствия заявителем может быть зарегистрированные в соответствии с законодательством Российской Федерации на ее территории юридическое лицо или физическое лицо в качестве индивидуального предпринимателя, либо являющиеся изготовителем или продавцом, либо выполняющие функции иностранного изготовителя на основании договора с ним в части обеспечения соответствия поставляемой продукции требованиям технических регламентов и в части ответственности за несоответствие поставляемой продукции требованиям технических регламентов (лицо, выполняющее функции иностранного изготовителя).

Круг заявителей устанавливается соответствующим техническим регламентом.

Схема декларирования соответствия с участием третьей стороны устанавливается в техническом регламенте в случае, если отсутствие третьей стороны приводит к недостижению целей подтверждения соответствия.

При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов.

В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.

При декларировании соответствия на основании собственных доказательств и полученных с участием третьей стороны доказательств заявитель по своему выбору в дополнение к собственным доказательствам, сформированным в порядке, предусмотренном пунктом 2 настоящей статьи:
  • включает в доказательственные материалы протоколы исследований (испытаний) и измерений, проведенных в аккредитованной испытательной лаборатории (центре);
  • предоставляет сертификат системы качества, в отношении которого предусматривается контроль (надзор) органа по сертификации, выдавшего данный сертификат, за объектом сертификации.

Сертификат системы качества может использоваться в составе доказательств при принятии декларации о соответствии любой продукции, за исключением случая, если для такой продукции техническими регламентами предусмотрена иная форма подтверждения соответствия.

5. Декларация о соответствии оформляется на русском языке и должна содержать:
  • наименование и местонахождение заявителя;
  • наименование и местонахождение изготовителя;
  • информацию об объекте подтверждения соответствия, позволяющую идентифицировать этот объект;
  • наименование технического регламента, на соответствие требованиям которого подтверждается продукция;
  • указание на схему декларирования соответствия;
  • заявление заявителя о безопасности продукции при ее использовании в соответствии с целевым назначением и принятии заявителем мер по обеспечению соответствия продукции требованиям технических регламентов;
  • сведения о проведенных исследованиях (испытаниях) и измерениях, сертификате системы качества, а также документах, послуживших основанием для подтверждения соответствия продукции требованиям технических регламентов;
  • срок действия декларации о соответствии;
  • иные предусмотренные соответствующими техническими регламентами сведения.

Срок действия декларации о соответствии определяется техническим регламентом.

Форма декларации о соответствии утверждается федеральным органом исполнительной власти по техническому регулированию.

Оформленная по установленным правилам декларация о соответствии подлежит регистрации федеральным органом исполнительной власти по техническому регулированию в течение трех дней.

Для регистрации декларации о соответствии заявитель представляет в федеральный орган исполнительной власти по техническому регулированию оформленную в соответствии с требованиями пункта 5 настоящей статьи декларацию о соответствии.

Порядок ведения реестра деклараций о соответствии, порядок предоставления содержащихся в указанном реестре сведений и порядок оплаты за предоставление содержащихся в указанном реестре сведений определяются Правительством Российской Федерации.

Декларация о соответствии и составляющие доказательственные материалы документы хранятся у заявителя в течение трех лет с момента окончания срока действия декларации. Второй экземпляр декларации о соответствии хранится в федеральном органе исполнительной власти по техническому регулированию.

Орган по сертификации:

осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;

выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;

приостанавливает или прекращает действие выданных им сертификатов соответствия.

3. Система добровольной сертификации может быть зарегистрирована федеральным органом исполнительной власти по техническому регулированию.

Для регистрации системы добровольной сертификации в федеральный орган исполнительной власти по техническому регулированию представляются:
  • свидетельство о государственной регистрации юридического лица и (или) индивидуального предпринимателя;
  • правила функционирования системы добровольной сертификации,
  • изображение знака соответствия, применяемое в данной системе добровольной сертификации, если применение знака соответствия предусмотрено, и порядок применения знака соответствия;
  • документ об оплате регистрации системы добровольной сертификации.


3.3.2.Обязательная сертификация


Из Статьи 7. Обязательная сертификация (в ред. Федерального закона от 31.07.1998 N 154-ФЗ):


1. Обязательная сертификация осуществляется в случаях, предусмотренных законодательными актами Российской Федерации.

При обязательной сертификации действие сертификата и знака соответствия распространяется на всей территории Российской Федерации.

(абзац введен Федеральным законом от 31.07.1998 N 154-ФЗ)

2. Организация и проведение работ по обязательной сертификации возлагаются на специально уполномоченный федеральный орган исполнительной власти в области сертификации, а в случаях, предусмотренных законодательными актами Российской Федерации в отношении отдельных видов продукции, могут быть возложены на другие федеральные органы исполнительной власти.(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)

3. Формы обязательной сертификации продукции устанавливаются специально уполномоченным федеральным органом исполнительной власти в области сертификации либо другими федеральными органами исполнительной власти, уполномоченными на то в соответствии с настоящей статьей, с учетом сложившейся международной и зарубежной практики.(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)

4. Подтверждение соответствия может также проводиться посредством принятия изготовителем (продавцом, исполнителем) декларации о соответствии.

Декларация о соответствии является документом, в котором изготовитель (продавец, исполнитель) удостоверяет, что поставляемая (продаваемая) им продукция соответствует установленным требованиям. Перечни продукции, соответствие которой может быть подтверждено декларацией о соответствии, требования к декларации о соответствии и порядок ее принятия утверждаются Правительством Российской Федерации.

Декларация о соответствии, принятая в установленном порядке, регистрируется в органе по сертификации и имеет юридическую силу наравне с сертификатом.(п. 4 введен Федеральным законом от 31.07.1998 N 154-ФЗ)


Из Статьи 8. Участники обязательной сертификации


Участниками обязательной сертификации являются специально уполномоченный федеральный орган исполнительной власти в области сертификации, иные федеральные органы исполнительной власти, уполномоченные проводить работы по обязательной сертификации, органы по сертификации, испытательные лаборатории (центры), изготовители (продавцы, исполнители) продукции, а также центральные органы систем сертификации, определяемые в необходимых случаях для организации и координации работ в системах сертификации однородной продукции.(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)

Допускаются к проведению работ по обязательной сертификации организации независимо от их организационно - правовых форм и форм собственности, если они не являются изготовителями (продавцами, исполнителями) и потребителями (покупателями) сертифицируемой ими продукции, при условии их аккредитации в установленном порядке.(в ред. Федеральных законов от 31.07.1998 N 154-ФЗ, от 10.01.2003 N 15-ФЗ)


Из Статьи 9. Правомочия федеральных органов исполнительной власти (в ред. Федерального закона от 31.07.1998 N 154-ФЗ)


Специально уполномоченный федеральный орган исполнительной власти в области сертификации и другие федеральные органы исполнительной власти, на которые законодательными актами Российской Федерации возлагаются организация и проведение работ по обязательной сертификации, в пределах своей компетенции:

(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)

создают системы сертификации однородной продукции и устанавливают правила процедуры и управления для проведения сертификации в этих системах;

осуществляют выбор способа подтверждения соответствия продукции требованиям нормативных документов (формы сертификации);

определяют центральные органы систем сертификации;

аккредитуют органы по сертификации и испытательные лаборатории (центры);(в ред. Федерального закона от 10.01.2003 N 15-ФЗ)

ведут государственный реестр участников и объектов сертификации;

устанавливают правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний;

устанавливают правила аккредитации;(в ред. Федерального закона от 10.01.2003 N 15-ФЗ)

осуществляют государственный контроль и надзор и устанавливают порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированной продукцией;

рассматривают апелляции по вопросам сертификации;

абзац исключен. - Федеральный закон от 31.07.1998 N 154-ФЗ.


Из Статьи 10. Обязанности центрального органа системы сертификации


Центральный орган системы сертификации:

организует, координирует работу и устанавливает правила процедуры и управления в возглавляемой им системе сертификации;

рассматривает апелляции заявителей по поводу действий органов по сертификации, испытательных лабораторий (центров).


Из Статьи 11. Обязанности органа по сертификации


Орган по сертификации:

проводит идентификацию продукции, представленной для сертификации, в соответствии с правилами системы сертификации;

(абзац введен Федеральным законом от 31.07.1998 N 154-ФЗ)

сертифицирует продукцию, выдает сертификаты;

(в ред. Федерального закона от 10.01.2003 N 15-ФЗ)

осуществляет в установленном порядке инспекционный контроль за сертифицированной продукцией;(абзац введен Федеральным законом от 31.07.1998 N 154-ФЗ)

приостанавливает либо отменяет действие выданных им сертификатов;

предоставляет заявителю по его требованию необходимую информацию в пределах своей компетенции.


Из Статьи 12. Обязанности испытательной лаборатории (центра)


Испытательные лаборатории (центры), аккредитованные в установленном порядке, осуществляют испытания конкретной продукции или конкретные виды испытаний и выдают протоколы испытаний для целей сертификации.(в ред. Федерального закона от 31.07.1998 N 154-ФЗ)


3.4.Порядок проведения сертификации средств защиты информации


3.4.1.Процедуры сертификации


В системе сертификации средств защиты информации Министерства обороны Российской Федерации по требованиям безопасности информации сертификацию СЗИ проводят органы и испытательные лаборатории по сертификации, аккредитованные установленным порядком.

В общем случае сертификация средств защиты информации (СЗИ)включает в себя выполнение следующего ряда процедур:
  • подачу заявки на сертификацию;
  • принятие решения по заявке, в том числе выбор схемы сертификации;
  • заключение договора между заявителем и испытательной лабораторией;
  • отбор и идентификацию образцов;
  • разработку проектов программы и методик сертификационных испытаний и согласование их с заявителем;
  • экспертиза проектов программ и методик сертификационных испытаний;
  • испытание образцов;
  • оформление протоколов испытаний и технического заключения;
  • экспертизу полученных результатов;
  • предварительную проверку производства (если это предусмотрено схемой сертификации);
  • принятие решения о возможности выдачи лицензии на применение знака соответствия (если это предусмотрено схемой сертификации);
  • принятие решения о возможности выдачи сертификата соответствия;
  • оформление и выдача сертификата соответствия и лицензии на применение знака соответствия (если это предусмотрено схемой сертификации);
  • осуществление инспекционного контроля за сертифицированными СЗИ;
  • подготовку и проведение корректирующих мероприятий при нарушении соответствия СЗИ установленным требованиям и неправильном применении знака соответствия;
  • информирование о результатах сертификации.


3.4.2.Подача заявки на сертификацию и принятие решения по ней.


3.4.2.1.Для проведения сертификации СЗИ заявитель (изготовитель, продавец) направляет заявку в адрес управления Генерального штаба ВС РФ с обязательным приложением комплекта документов, указанных в правилах сертификации конкретных видов СЗИ.

Форма заявки на сертификацию приведена в ПРИЛОЖЕНИИ № .

3.4.2.2. В заявке указывается одна из двух схем проведения сертификации:

схема испытаний образца;

схема испытаний типа образца.

Испытания образца предусматривают проведение сертификационных испытаний единичного образца или партии изделий, которые должны быть однозначно идентифицированы. Для партии изделий предусматриваются испытания выборки образцов с указанием объема партии.

Испытания типа образца предусматривает проведение наряду с сертификационными испытаниями предварительную проверку производства, по результатам которой принимается решение о выдаче лицензии на применение знака соответствия.

Комплект документов, прилагаемых к заявке, включает в себя:
  • копию лицензии Минобороны России на проведение работ, связанных с созданием средств защиты информации, выданную в соответствии с требованиями приказа Министра обороны 1998 года № 54;
  • копии сертификатов на СЗИ, их составные части, и покупные изделия, входящие в состав СЗИ, выданные в других системах сертификации, включая зарубежные сертификаты (при их наличии); технические условия на изделие;
  • ведомость покупных изделий, применяемых в сертифицируемых СЗИ; сведения о состоянии производства (в случае заявки по схеме - испытания типа образца);
  • акты (протоколы) испытаний (приемочных, периодических, инспекционных и т.п.), а также протоколов испытаний в зарубежных лабораториях (при их наличии);
  • перечень привлекаемых организаций, предоставляющих услуги при изготовлении СЗИ, с указанием объема предоставляемых услуг и наличия у них лицензии Минобороны России на проведение работ, связанных с созданием средств защиты информации;сведения в соответствии с приложением № 2.

3.4.2.3. Документальные доказательства соответствия СЗИ требованиям безопасности информации сертификаты и декларации соответствия, протоколы сертификационных испытаний, технические заключения, полученные заявителем (изготовителем, продавцом) вне рамок данной Системы сертификации, могут служить основанием для сокращения объема проверок при сертификации.

3.4.2.4. К заявке на сертификацию прилагается также копия документа, подтверждающего оплату работ за рассмотрение заявки и принятие решения по ней.

3.4.2.5. Срок рассмотрения заявки и принятия решения по ней – не более одного месяца после регистрации ее в Восьмом управлении Генерального штаба ВС РФ (Отделе по сертификации средств защиты информации Министерства обороны Российской Федерации по требованиям безопасности информации). При необходимости получения от заявителя уточняющих сведений срок принятия решения по заявке может быть продлен, о чем уведомляется заявитель.

3.4.2.6. Заявителю, при необходимости, предоставляется перечень испытательных лабораторий, аккредитованных в системе сертификации Минобороны России в рассматриваемой области.

На основании полученных сведений заявитель вправе предложить для сертификации испытательную лабораторию и проводить предварительные переговоры с ее (их) представителями с целью определения сроков и условий проведения работ по сертификации.

3.4.2.7. При рассмотрении заявки Федеральный орган по сертификации средств защиты информации МО РФ определяет целесообразность привлечения к работе предложенной заявителем испытательной лаборатории или другой аккредитованной в Системе испытательной лаборатории, а также назначает орган по сертификации и уведомляет об этом заявителя.

3.4.2.8. После рассмотрения заявки Федеральный орган по сертификации средств защиты информации МО РФ принимает Решение по заявке на сертификацию. Решение содержит все основные условия сертификации, основывающиеся на установленном порядке сертификации заявленных видов СЗИ, в том числе указываются порядковый номер и дата регистрации заявки, наименование организации заявителя, наименование (назначение) СЗИ, принятая схема сертификации, орган по сертификации.

Решение является основанием для заключения договора между испытательной лабораторией и заявителем о проведении работ по сертификации.

Этим же решением назначаются эксперты для проведения экспертизы проектов программы, методик и результатов сертификационных испытаний. Эксперты могут быть назначены и дополнением к решению после уведомления испытательной лабораторией органа по сертификации о готовности указанных документов.

Решение высылается заявителю, в орган по сертификации и испытательные лаборатории.

При наличии на заявленный образец СЗИ сертификатов, выданных в других системах сертификации, орган по сертификации средств защиты информации на основании результатов анализа, проводимого испытательной лаборатории, принимает решение об их достаточности (или недостаточности) для подтверждения функций, обеспечивающих безопасность информации.

Форма решения по заявке на сертификацию приведена в ПРИЛОЖЕНИИ №.


3.4.3. Отбор, идентификация образцов и проведение испытаний СЗИ


3.4.3.1. Отбор образцов для испытаний осуществляет испытательная лаборатория с участием органа по сертификации.

3.4.3.2. Отбор образцов оформляют актом. Форма акта приведена в Приложении № 4. Отобранные образцы упаковывают, пломбируют или опечатывают на месте отбора. Образцы могут изолироваться от основной продукции,

3.4.3.3. На всех стадиях хранения, транспортирования и подготовки образцов к испытаниям, а также в процессе испытаний должны соблюдаться требования, установленные в нормативных документах на продукцию (в том числе в инструкции по эксплуатации конкретной продукции), нарушение которых может привести к порче образцов или выходу их из строя.

3.4.3.5. При сертификации продукции у заявителя - изготовителя в присутствии его представителя отбирают образцы готовой продукции, проверенной и принятой соответствующими службами и должностными лицами организации - изготовителя и подготовленной для использования (реализации) по назначению.

Отпуск отобранных образцов продукции оформляется в установленном в организации порядке.

3.4.3.6. В случаях, когда при испытаниях отобранные образцы израсходованы или приведены в непригодное для дальнейшего использования по прямому назначению состояние, составляется акт на их списание. Акт составляется представителем заявителя и руководителем лаборатории или лицами, ими уполномоченными.

3.4.3.7. Испытательная лаборатория может (если предусмотрено договором на проведение работ по сертификации) включить в отбираемую для сертификационных испытаний выборку дополнительно по одному образцу каждого вида продукции для хранения их в лаборатории в качестве контрольных экземпляров с целью сохранения наглядности сертифицированной продукции при возможном в дальнейшем возникновении необходимости ее идентификации и (или) внешнего описания. Лаборатория обеспечивает условия хранения контрольных образцов, установленных нормативными документами на данную продукцию.

3.4.3.8. Срок хранения контрольных образцов или испытываемых образцов в лаборатории должен соответствовать сроку действия сертификата или сроку годности продукции, по истечении которого образцы возвращаются заявителю. Срок хранения, требования к маркировке и учету образцов, порядок их возврата и списания устанавливаются в документах лаборатории (руководстве по качеству испытательной лаборатории) и по каждой конкретной заявке эти условия согласовываются с заявителем.

3.4.3.9. В случае сертификации СЗИ по схеме образца, испытания для целей сертификации проводятся непосредственно на них.

3.4.3.10. Сертификационные испытания проводятся на основании договора, заключаемого между испытательной лабораторией (испытательными лабораториями) и заявителем. После заключения договора испытательная лаборатория уведомляет об этом орган по сертификации с указанием сроков (этапов) завершения работ по сертификационным испытаниям.

3.4.3.11. Испытательные лаборатории самостоятельно или с участием другой компетентной организации (по заказу испытательной лаборатории) разрабатывают программу и методики испытаний по видам проверок, предусмотренных Решением федерального органа по сертификации средств защиты информации. Рекомендации по содержанию и оформлению программы и методик сертификационных испытаний приведены в ПРИЛОЖЕНИИ №.

Программа и методики после согласования с заявителем проходят экспертизу на предмет подтверждения полноты, достаточности и оценке возможности получения достоверных результатов. Эксперты по программе и методикам назначаются решением федерального органа по сертификации средств защиты информации (дополнением к нему). Для организации работ по сертификации федеральным органом по сертификации средств защиты информации Министерства обороны Российской Федерации формируется список экспертов, который утверждается начальником Генерального штаба Вооруженных Сил Российской Федерации.

Экспертные заключения представляются в орган по сертификации и в испытательную лабораторию, разработавшую указанные программу и методики испытаний. В случае возникновения противоречий между выводами экспертных заключений и мнениями испытательной лаборатории они разрешаются органом по сертификации, проводящим сертификацию.

После устранения недостатков, отмеченных в экспертных заключениях экспертов, программа и методики согласовываются с заявителем и утверждаются руководителем органа по сертификации.

Испытания проводятся только по утвержденным программе и методикам.

Испытания могут проводиться как в испытательной лаборатории, так и на испытательной базе заявителя, если это оговорено в договоре.

Результаты сертификационных испытаний оформляются протоколами и техническим заключением. В протоколах сертификационных испытаний должны быть задокументированы результаты всех действий, предусмотренных программой и методиками испытаний. Протоколы подписываются членами испытательной лаборатории, проводившими сертификационные испытания, и утверждаются руководителем испытательной лаборатории.

В протоколах также указывается:
  • наименование и идентификационные реквизиты испытываемой продукции;
  • основание для проведения испытаний;
  • цель проведения испытаний;
  • наименование норм, на соответствие которым проводятся сертификационные испытания;
  • наименование методик, по которым проводятся сертификационные испытания;
  • перечень используемого оборудования, программных, технических и инструментальных средств;
  • время и место и условия проведения испытаний;
  • Ф.И.О. и подписи лиц, проводивших испытания;
  • ссылки на конкретные пункты методик испытаний и результаты их проведения;
  • выводы о соответствии (несоответствии) СЗИ установленным требованиям.

Испытательная лаборатория направляет протоколы испытаний и техническое заключение заявителю и в орган по сертификации.

Копии протоколов испытаний подлежат хранению в органах по сертификации и испытательных лабораториях в течение срока действия сертификата.

В техническом заключении указывается:
  • наименование испытываемой продукции;
  • цель проведения испытаний;
  • основание для их проведения;

наименование норм, на соответствие которым проводятся сертификационные испытания;

время и место проведения испытаний;основные результаты, полученные в ходе сертификационных испытаний; выводы о соответствии (несоответствии) СЗИ предъявляемым требованиям;ограничения и условия использования СЗИ.

Протоколы СИ и техническое заключение проходят экспертизу. Порядок проведения экспертизы протоколов и технического заключения тот же, что и программы и методик.

После устранения недостатков результаты испытаний представляются на утверждение в орган по сертификации, который после их утверждения представляет их в Федеральный орган по сертификации вместе с заключением и проектом сертификата соответствия, лицензии на применение знака соответствия (если предусмотрено схемой сертификации).


3.4.4. Предварительная проверка производства


3.4.4.1.При схеме сертификации «испытания типа образца» проводится предварительная проверка производства с целью подтверждения обеспечения требований качества выпуска СЗИ и неизменности сертифицируемых параметров.

3.4.4.2. Предварительная проверка производства осуществляется комиссией из числа сотрудников испытательной лабораторией с участием представителя органа по сертификации.

3.4.4.3. В процессе предварительной проверки производства выявляется наличие в организации-производителе СЗИ необходимых условий для производства заявленного на сертификацию СЗИ.

3.4.4.4. Проверкой устанавливается:

Наличие и содержание документации, регламентирующей выполнение процессов производства (тиражирования):
    • технические условия;
    • спецификация;
    • ведомость эксплуатационных документов;
    • формуляр;
    • описание применения;
    • руководство пользователя;
    • технологические инструкции по тиражированию СЗИ;

должностные инструкции лиц, ответственных за производство и испытания продукции.

Наличие и содержание документации, определяющей:

- порядок учета, хранения, идентификации и использования покупных изделий (комплектующих) используемых в процессе производства;

- порядок входного контроля покупных изделий (комплектующих), используемых в процессе производства;
  • условия, порядок учета и хранения произведенной продукции;
  • порядок контроля и проставления отметок ПЗ и ОТК;
  • порядок упаковки произведенной продукции;
  • порядок проверки комплектности поставки продукции (выходной контроль продукции).

Материально-техническая и испытательная база, необходимая для использования в технологическом процессе производства (тиражирования) и поставки СЗИ:

- наличие и состав стендов испытания (тиражирования) сертифицированных образцов СЗИ;

- документы, подтверждающие аттестацию (поверку) и введение в эксплуатацию стендов испытания (тиражирования) образцов;

- описание процедур, определяющих порядок сбора и учета данных по контролю за неизменностью сертифицированных параметров;

- порядок маркировки (соответствие требованиям ТУ, наличие идентификационных признаков, номер изделия, дата изготовления и др.);

- порядок регистрации (наличие журналов и подписей), хранения и выдачи выпускаемой продукции;

- порядок отбраковки;

- порядок обращения с отбракованной продукцией;

- порядок учета проверки качества изделий;

- соответствие реальных процессов документированным процедурам;

- порядок подготовки и допуска специалистов к работе;

- порядок проведения гарантийного обслуживания.

3.4.4.5. Для проведения предварительной проверки производства испытательная лаборатория разрабатывает методику, в которой указывается:

- наименование СЗИ;
  • - место проведения проверки;

- нормативно-технические и методические документы, регламентирующие выполнение технологических этапов производства, поставки СЗИ и порядок их проверки;материально-техническая и испытательная база, необходимая для использования в технологическом процессе производства (тиражирования), поставки СЗИ и порядок их проверки;

- документы по обеспечению качества и информационной безопасности в процессе производства (тиражирования), поставки СЗИ и порядок их проверки;документы, определяющие порядок учета, отработки рекламаций и идентификации версий СЗИ, и порядок их проверки;

- ответственность и полномочия должностных лиц и персонала, участвующего в производстве образцов СЗИ;

- средства проверки и персонал;

- документально оформленные процедуры учета и отработки рекламаций;

- ответственность за разработку, развитие и актуализацию системы обеспечения качества;

- входной контроль закупленных носителей информации, используемых для производства образцов СЗИ;

- о проведенных испытаниях, полученных результатах, порядок фиксации полученных результатов;

- учет, хранение, идентификация и передача в производство эталонных носителей информации.

По результатам проверки составляется акт. Акт подписывается членами комиссии, доводится до руководителя предприятия и утверждается руководителем органа по сертификации.


3.4.5. Экспертиза результатов сертификационных испытаний


3.4.5.1. Экспертиза результатов проведенных сертификационных испытаний организуется органом по сертификации.

3.4.5.2. По результатам экспертизы орган по сертификации готовит заключение о возможности выдаче (отказе в выдаче) сертификата и лицензии на применение знака соответствия (если предусмотрено схемой сертификации).


3.4.6. Выдача сертификата соответствия


3.4.6.1. Сертификат соответствия выдается, если СЗИ соответствует требованиям нормативных документов Министерства обороны Российской Федерации, установленных для заявленных СЗИ.

3.4.6.2. Решение о выдаче сертификата соответствия на СЗИ принимается федеральным органом по сертификации средств защиты информации на основании рассмотрения документов, необходимых для выдачи сертификата, и заключения органа по сертификации.

При несоответствии СЗИ требованиям нормативных документов федеральный орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата с указанием причин. О принятом решении заявитель официально уведомляется

3.4.6.3. Сертификат оформляется федеральным органом по сертификации средств защиты информации в срок не более 10 дней со дня принятия решения о его выдаче.

Сертификат действителен только при наличии регистрационного номера и внесении его федеральным органом по сертификации средств защиты информации Министерства обороны Российской Федерации в государственный реестр Системы в соответствии с требованиями «Положения о государственном реестре Системы сертификации средств защиты информации Министерства обороны Российской Федерации по требованиям безопасности информации».

3.4.6.4. В случае утраты сертификата его держатель подает заявление в федеральный органом по сертификации средств защиты информации о выдаче дубликата сертификата.

3.4.6.5. Бланки сертификатов соответствия являются документами строгой отчетности, имеют учетную серию и номер. Приобретение, учет и хранение бланков сертификатов осуществляются Федеральным органом по сертификации средств защиты информации.

3.4.6.6. Срок действия сертификата устанавливает Федеральный орган по сертификации средств защиты информации с учетом срока эксплуатации в соответствии с нормативными документами на СЗИ, а также срока действия лицензии Минобороны России на проведение работ, связанных с созданием средств защиты информации, но, как правило, не менее 3 и не более 5 лет.

3.4.6.7. При внесении изменений в состав сертифицированных СЗИ или технологические процессы их производства изготовитель (продавец) извещает об этом федеральный орган по сертификации средств защиты информации Минобороны России, который принимает решение о необходимости и порядке проведения дополнительных испытаний или проверке состояния производства этих СЗИ.


3.4.7.Выдача лицензии на применение знака соответствия и его применение


3.4.7.1. СЗИ, на которые выдан сертификат маркируются знаком соответствия, принятым в Системе. Требования к применению знака соответствия устанавливаются в Правилах применения знака соответствия при обязательной сертификации.

3.4.7.2. Право маркировать СЗИ знаком соответствия предоставляется изготовителю на основании лицензии на применение знака соответствия.

4.7.3. Решение о выдаче лицензии на применение знака соответствия принимается федеральным органом по сертификации средств защиты информации одновременно с решением о возможности выдачи сертификата.

О принятом решении федеральный орган по сертификации средств защиты информации уведомляет заявителя (изготовителя, продавца).

3.4.7.4. Срок действия лицензии на применение знака соответствия устанавливается равным сроку действия сертификата.

3.4.7.5. Бланки лицензий на применение знака соответствия являются документами строгой отчетности, имеют учетную серию и номер. Приобретение, учет и хранение бланков лицензий осуществляется Федеральным органом по сертификации средств защиты информации.

3.4.7.6. Лицензия на применение знака соответствия выдается заявителю (изготовителю, продавцу) после ее регистрации в государственном реестре Системы.

3.4.7.7. Неотъемлемой частью лицензии на применение знака соответствия являются условия действия лицензии.

Типовые условия действия лицензии на применение знака соответствия приведены в приложении 6.

3.4.7.8. Условия действия лицензии на применение знака соответствия формулируются федеральным органом по сертификации средств защиты информации с учетом специфических особенностей разработки, изготовления, испытаний, поставки и использования сертифицированных СЗИ

3.4.7.9. В случае утраты документа, подтверждающего наличие лицензии на применение знака соответствия, ее держатель подает заявление в федеральный орган по сертификации средств защиты информации, о выдаче дубликата документа, подтверждающего наличие лицензии.

Рассмотрение заявления, принятие решения о выдаче и выдача дубликата лицензии на применение знака соответствия проводится в порядке, устанавливаемом Федеральным органом по сертификации средств защиты информации.


3.4.8. Инспекционный контроль за сертифицированными СЗИ


3.4.8.1. Инспекционный контроль сертифицированных СЗИ проводит орган по сертификации, проводивший сертификацию, с привлечением испытательных лабораторий с целью установления, что СЗИ продолжает соответствовать требованиям, подтвержденным при сертификации.

3.4.8.2. Плановый инспекционный контроль за сертифицированными СЗИ проводится в течение всего срока действия сертификата не реже одного раза в год в сроки согласованные с держателем сертификата.

3.4.8.3. Периодичность, объем и порядок инспекционного контроля определяется органом по сертификации средств защиты информации с учетом роли сертифицированного образца на обеспечение безопасности информации, стабильности производства, объема выпуска, наличия системы качества и других факторов.

3.4.8.4.Планы проведения инспекционного контроля за сертифицированными СЗИ составляются федеральным органом по сертификации средств защиты информации или, по его поручению, органом по сертификации ежегодно.

3.4.8.5. Внеплановый инспекционный контроль проводят в следующих случаях:

- случаях поступления в федеральный орган по сертификации средств защиты информации претензий к качеству СЗИ от потребителей (покупателей), а также органов, осуществляющих государственный контроль за сертифицированными СЗИ и (или) объектами их использования, органов обеспечения безопасности информации, заказчиков;

при изменении конструкции, состава комплектующих изделий, которые могут привести к изменению характеристик (свойств) СЗИ, подтвержденных при сертификации.

3.4.8.6. Инспекционный контроль содержит следующие основные виды работ:
  • анализ информации поступающей о сертифицированных СЗИ;
  • формирование комиссии для проведения контроля;
  • подготовка программы и методик проведения инспекционного контроля;
  • отбор образцов для идентификации;
  • идентификация продукции;
  • проведение контрольных испытаний СЗИ или выполнение других проверок и анализ их результатов;
  • проверка производства (если это предусмотрено схемой сертификации);
  • оформление результатов контроля и принятие решений.

3.4.8.7. Результаты инспекционного контроля оформляются актом, в котором дается оценка результатов всех проведенных проверок, делается общее заключение о состоянии производства сертифицированных СЗИ и возможности сохранения действия выданного сертификата.

Акт хранится в органе по сертификации средств защиты информации, а его копии направляются держателю сертификата.

3.4.8.8. По результатам инспекционного контроля федеральный орган по сертификации средств защиты информации может приостановить или отменить действие сертификата и аннулировать лицензию на применение знака соответствия в случае выявления несоответствия СЗИ требованиям нормативных документов, контролируемых при сертификации, а также в случаях:

- изменения нормативных документов на СЗИ или методы испытаний;

- изменения состава, комплектности СЗИ;

- изменения организации и/или технологии производства;

- изменения (невыполнения) требований технологий производства, методов контроля и испытаний системы качества, если перечисленные изменения могут вызвать несоответствие СЗИ требованиям нормативных документов, контролируемым при сертификации;

- приостановки действия лицензии Минобороны России на проведение работ, связанных с созданием средств защиты информации.

3.4.8.9. Приостановление действия сертификата происходит при выявлении нарушений его использования, которые можно устранить в достаточно короткое время. В этом случае орган по сертификации предписывает заявителю выполнение корректирующих мероприятий и устанавливает срок их реализации.

Информация о приостановлении действия или отмене действия сертификата доводится федеральным органом по сертификации средств защиты информации до сведения держателя сертификата в письменной форме не позднее чем через две недели с момента принятия соответствующего решения.

Заявитель должен уведомить потребителей его продукции, органов, регулирующих безопасность в области защиты сведений, составляющих государственную тайну, о выявленных несоответствиях и предпринять необходимые меры.

Отмена действия сертификата вступает в силу с момента исключения записи о его регистрации в реестре Системы.

  1. 4.9.Корректирующие мероприятия при нарушениях


3.4.9.1. Под корректирующими мероприятиями при нарушениях соответствия СЗИ установленным требованиям и неправильном применении знака соответствияпонимаются работы, выполняемые органам по сертификации и держателем сертификата, направленные на выявление и устранение несоответствий произведенных СЗИ сертификационным требованиям, подтвержденным при сертификации.

Изменения, вносимые разработчиком в сертифицированные СЗИ с целью его совершенствования, оцениваются посредством проведения инспекционного контроля.

3.4.9.2.Орган по сертификации средств защиты информации устанавливает срок выполнения корректирующих мероприятий и контролирует их выполнение изготовителем (продавцом), получившим сертификат и являющимся его держателем.

3.4.9.3. Держатель сертификата:

- определяет масштаб выявленных несоответствий;

- определяет количество произведенных СЗИ с выявленными несоответствиями;

- уведомляет потребителей (покупателей, заказчиков) и заинтересованные организации о приостановлении действия сертификата;

- устанавливает порядок устранения выявленных несоответствий;

- устраняет несоответствия в СЗИ в эксплуатации;

-обеспечивает возврат и доработку СЗИ на предприятии или в специально отведенных местах, заменяет СЗИ у потребителя (покупателя, заказчика), если устранение выявленных несоответствий невозможно или нецелесообразно.

3.4.9.4.После того, как корректирующие мероприятия выполнены и их результаты признаны удовлетворительными, Федеральный орган по сертификации средств защиты информации или по его поручению орган по сертификации:

- определяет необходимость новой маркировки для отличия СЗИ до и после корректирующих мероприятий, при этом в каждом конкретном случае определяет характер и вид маркировки;

- информирует заинтересованных участников сертификации.

При невыполнении держателем сертификата корректирующих мероприятий или их неэффективности Федеральный орган по сертификации средств защиты информации отменяет действие сертификата и аннулирует лицензию на применения знака соответствия.


3.4.10. Продление срока действия сертификата соответствия


3.4.10.1. Продление срока действия сертификата соответствия осуществляется на основе заявок организаций изготовителей (заказчиков, продавцов) СЗИ.

3.4.10.2 Продление срока действия сертификата соответствия. Заявка направляется в федеральный орган по сертификации средств защиты информации Министерства обороны Российской Федерации не менее чем за 45 дней до истечения срока действия сертификата соответствия.

3.4.10.3. К заявке прилагаются следующие документы и сведения:
  • полное наименование организации изготовителя (потребителя), почтовый адрес;
  • наименование СЗИ (шифр, модификация, версия, код ОКП);
  • регистрационный номер сертификата соответствия;
  • назначение и область применения СЗИ;
  • тип СЗИ;
  • идентификационные признаки СЗИ;
  • фактические условия эксплуатации СЗИ и их соответствие требованиям ТУ;
  • о предполагаемом сроке дальнейшей эксплуатации СЗИ;
  • документ, подтверждающий неизменность в процессе эксплуатации (производства) сертифицируемых параметров (характеристик);
  • акты инспекционного контроля (при наличии) за стабильностью и неизменностью сертифицируемых параметров (характеристик), условий производства и технологии создания.

3.4.10.4. На основе представленных документов и сведений федеральный орган средств защиты информации по сертификации совместно с органом проводившим сертификацию принимает решение о возможности продления сертификата соответствия на СЗИ.

3.4.10.5. О принятом решении федеральный орган по сертификации средств защиты информации уведомляет заявителя (изготовителя, потребителя).

3.4.10.6. При необходимости федеральным органом по сертификации средств защиты информации может быть принято решение о проведение инспекционного контроля за сертифицируемым СЗИ.


3.4.11. Правовая ответственность участников сертификации


3.4.11.1. Юридические и физические лица, участники сертификации средств защиты информации (органы по сертификации, испытательные лаборатории, заявители, изготовители, продавцы), а также органы государственного управления, виновные в нарушении правил обязательной сертификации, несут в соответствии с действующим законодательством уголовную, административную либо гражданско - правовую ответственность.

3.4.11.2. Нарушение должностными лицами правил обязательной сертификации, то есть реализация сертифицированной продукции, не отвечающей требованиям нормативных документов, на соответствие которым она сертифицирована, либо реализация сертифицированной продукции без сертификата соответствия, или без знака соответствия, или без указания в сопроводительной технической документации сведений о сертификации или о нормативных документах, которым должна соответствовать указанная продукция, либо недоведение этих сведений до потребителя (покупателя, заказчика), а равно представление недостоверных результатов испытаний продукции или необоснованная выдача сертификата соответствия на продукцию, подлежащую обязательной сертификации, влекут наложение штрафа в соответствии с действующим законодательством.

3.4.11.3. Орган по сертификации, нарушивший правила сертификации, несет солидарную имущественную ответственность перед покупателем (изготовителем, продавцом) за причиненный вред, если такое нарушение повлекло выпуск в обращение продукции, не соответствующей требованиям нормативных документов.

3.4.11.4. Изготовитель (продавец) возместивший в случае, предусмотренном в п. 6.3. вред третьим лицам, вправе предъявить к органу по сертификации требования в порядке регресса о возмещении убытков, включая упущенную выгоду.

3.4.11.5. Вред причиненный вследствие недостоверности (необъективности) результатов испытаний подлежит возмещению испытательной лабораторией в полном объеме лицу, по договору с которым проводилось испытание.

3.4.11.6. Изготовитель (продавец), возместивший вред третьим лицам, вправе предъявить к испытательной лаборатории требования в порядке регресса о возмещении убытков, включая упущенную выгоду, причиненных в результате недостоверности (необъективности) результатов испытаний.