Порядок сертификации средств защиты информацииНастоящий справочный материал содержит краткое описание организации и порядка сертификации средств защиты информации на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России. Для подготовки к сертификации средства защиты информации Заявителю необходимо:
Сертификация средства защиты информации включает следующие этапы:
1. Подача заявки на сертификациюПосле подготовительного этапа Заявителю нужно оформить заявку на сертификацию, представляемую в ФСТЭК России. В заявке на сертификацию указываются:
Заявка на сертификацию подписывается руководителем Заявителя и руководителем Испытательной лаборатории. К заявке на сертификацию прилагаются следующие документы:
Скачать рекомендуемый образец заявки на сертификацию Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России. 2. Принятие решения о проведении сертификацииФСТЭК России рассматривает заявку на сертификацию и прилагаемые к ней документы в течение месяца со дня получения заявки на сертификацию. В случае принятия решения о проведении сертификации средства защиты информации в решении указываются:
Решение о проведении сертификации СрЗИ оформляется в 4 экземплярах и направляется по одному экземпляру Заявителю, Испытательной лаборатории и Органу по сертификации. ! Проводить сертификацию (сертификационные испытания) до принятия решения о
проведении сертификации не допускается
В случае сертификации СрЗИ на соответствие требованиям по безопасности информации, изложенным в технических условиях, техническом задании или задании по безопасности, ФСТЭК России согласовывает технические условия, техническое задание или задание по безопасности, прилагаемые к заявке на сертификацию. В ходе проведения сертификации в технические условия, техническое задание или задание по безопасности могут вноситься изменения по согласованию с ФСТЭК России. Заявитель должен в трехдневный срок письменно известить ФСТЭК России о заключении договоров с Испытательной лабораторией и Органом по сертификации с указанием определенного договорами срока проведения сертификации СрЗИ. 3. Сертификационные испытанияПодготовка, программа и методикиВ целях подготовки к проведению сертификационных испытаний СрЗИ Заявитель представляет для предварительного рассмотрения в Испытательную лабораторию и Орган по сертификации следующую документацию на средство защиты информации:
А также Заявитель обязан предоставить возможность предварительного ознакомления Испытательной лаборатории и Органа по сертификации с образцом СрЗИ. В случае необходимости Заявитель может подготовить испытательный стенд на собственной территории или принимает участие в формировании испытательного стенда в Испытательной лаборатории. Испытательная лаборатория и Орган по сертификации осуществляют предварительное рассмотрение образца СрЗИ и документации. Перечень выявленных недостатков с предложениями по их устранению направляется Заявителю. Для проведения сертификационных испытаний СрЗИ Испытательная лаборатория разрабатывает программу и методику сертификационных испытаний в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России. Программа и методика согласовываются с Заявителем и при отсутствии недостатков утверждается в Орган по сертификации. Отбор образцов СрЗИДля проведения сертификационных испытаний осуществляет отбор образцов СрЗИ. При сертификации партии осуществляется отбор всей партии СрЗИ. При сертификации серийного производства осуществляется отбор образцов СрЗИ из предоставленной партии, численность которой не менее чем в 2 раза превышает количество образцов. По результатам отбора Испытательная лаборатория составляет акт отбора образцов СрЗИ, в котором указываются:
Акт отбора образца образцов СрЗИ подписывается специалистами Заявителя и Испытательной лаборатории, участвовавшими в отборе, и утверждается руководителем Испытательной лаборатории. Проведение испытаний! Сертификационные испытания могут проводиться только на территории
Российской Федерации.
Сертификационные испытания проводятся в соответствии с утвержденными программой и методикой сертификационных испытаний СрЗИ. Перед началом проверок формируется и настраивается стенд для проведения сертификационных испытаний. Вначале испытаний проводится идентификация объекта испытаний (СрЗИ) и проверка его соответствия разработанной документации. В ходе испытаний осуществляются проверки объекта испытаний на соответствие требованиям по безопасности информации, проверка организации технической СрЗИ, а также проверка организации производства для серийно производимого СрЗИ. Сертификационные испытания проводятся в сроки, установленные договором, заключенным Заявителем с Испытательной лабораторией. Результаты испытанийПо результатам испытаний и проверок оформляются протоколы испытаний, содержащие описание проведенных испытаний и результаты испытаний, выводы о соответствии (несоответствии) СрЗИ, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации. По завершении испытаний и проверок, предусмотренных программой и методикой, оформляется техническое заключение о соответствии (несоответствии) СрЗИ требованиям по безопасности информации. В случае несоответствия СрЗИ требованиям по безопасности информации техническое заключение направляется Заявителю. Заявитель должен устранить выявленные несоответствия и проинформировать об этом Испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний. После этого проводятся повторные испытания. 4. Экспертиза по результатам сертификационных испытанийМатериалы сертификационных испытаний СрЗИ представляются Испытательной лабораторией в Орган по сертификации. Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний. По результатам оценки материалов сертификационных испытаний Орган по сертификации оформляет экспертное заключение о возможности (невозможности) выдачи сертификата соответствия. В случае наличия в экспертном заключении вывода о возможности выдачи сертификата соответствия Орган по сертификации подготавливает проект сертификата соответствия. Один экземпляр экспертного заключения, проект сертификата соответствия и материалы сертификационных испытаний представляются Органом по сертификации в ФСТЭК России. Один экземпляр экспертного заключения направляется Заявителю. 5. Выдача сертификата соответствияВ случае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 45 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия. В случае выявления в материалах по сертификации средства защиты информации недостатков ФСТЭК России направляет материалы в Орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в государственный реестр сертифицированных средств защиты информации и в течение 10 рабочих дней после подписания вручается заявителю. МаркированиеНа основании сертификата соответствия заявитель организует маркирование каждого образца СрЗИ знаками соответствия. Промаркированные образцы регистрируются Заявителем в журнале с указанием заводских номеров СрЗИ и номеров знаков соответствия. В случае сертификации единичного образца или партии знаки соответствия выдаются заявителю вместе с сертификатом соответствия, номера знаков соответствия указываются в сертификате соответствия. В случае сертификации серийного производства Заявитель должен направить в ФСТЭК России заявку на получение знаков соответствия. 6. Внесение изменений в сертифицированное средство защиты информации и продление срока действия сертификата соответствияВ случае внесения в сертифицированное СрЗИ изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, проводятся испытания с привлечением испытательной лаборатории. В случае внесения в средство защиты информации иных изменений заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории. Испытания СрЗИ в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации. По результатам проведенных испытаний Заявитель представляет в ФСТЭК России материалы испытаний. ФСТЭК России рассматривает поступившие материалы испытаний, согласовывает технические условия, дополнительное техническое задание (при наличии) или задание по безопасности (при наличии) и формуляр на СрЗИ, переоформляет сертификат соответствия. |
© 2002-2018. ООО "ЛИССИ-Софт". Все права защищены Телефон: +7(495) 589-99-53 Техническая поддержка: +7(499) 110-90-40 E-mail: [email protected] |