Законодательство РФ в области информации и информационной безопасности
Порядок проведения сертификации и контроля
жүктеу/скачать 310 Kb.
|
| 13. Порядок проведения сертификации и контроля.
13.1. Порядок проведения сертификации включает следующие действия: * подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства; * экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия; * осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. * информирование о результатах сертификации средств защиты информации; * рассмотрение апелляций. Подача и рассмотрение заявки на сертификацию средств защиты информации. Заявитель для получения сертификата направляет во ФСТЭК России заявку на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация. ФСТЭК России в месячный срок после получения заявки направляет заявителю , в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации. По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены. После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации, а также комплект технической и эксплуатационной документации, согласно нормативных документов по ЕСКД, ЕСПД на сертифицируемое средство защиты информации. Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях). Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция, состав и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю, заказчику по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации. В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории). Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии - заявителю. При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики средств защиты информации, заявитель (разработчик, изготовитель, поставщик) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих средств защиты информации. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет проект сертификата, который вместе с экспертным заключением на средство защиты информации направляет во ФСТЭК России. После утверждения экспертного заключения на средство защиты информации, присвоения сертификату регистрационного номера ФСТЭК России оформляет сертификат и все документы затем выдаются заявителю. Срок действия сертификата устанавливается не более, чем на пять лет. При несоответствии результатов испытаний требованиям стандартов или иных нормативных документов по защите информации ФСТЭК России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет ФСТЭК России для дополнительного рассмотрения материалов сертификации. Получение изготовителем средств защиты информации сертификата дает ему право получить у ФСТЭК России сертификационную лицензию на маркировку этих средств знаком соответствия. Форма знака соответствия устанавливается ФСТЭК России. Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата во ФСТЭК России, которая извещает заявителя о признании или необходимости проведения сертификационных испытаний не позднее двух месяцев после их получения. В случае признания - заявителю выдается сертификат установленного образца. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет ФСТЭК России. Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации, действующей в системе сертификации средств защиты информации. Инспекционный контроль за сертифицированными средствами защиты информации осуществляет орган по сертификации, проводивший сертификацию этих средств защиты информации. Общие правила инспекционного контроля за конкретными видами сертифицированных средств защиты информации устанавливаются в нормативных и методических документах системы сертификации средств защиты информации. Периодичность и объемы испытаний сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по сертификации конкретных видов средств защиты информации. По результатам контроля ФСТЭК России может приостановить или отменить действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются: o изменение нормативных и методических документов на средства защиты информации или методов испытаний и контроля; o изменение конструкции (состава), комплектности средств защиты информации, системы контроля их качества; o невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации; o отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации. Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий). Информирование о сертификации средств защиты информации. ФСТЭК России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей: перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено; перечень органов по сертификации конкретных видов средств защиты информации; перечень испытательных центров (лабораторий); перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний. Рассмотрение апелляций. Апелляция подается в орган по сертификации, центральный орган системы сертификации или в апелляционный совет ФСТЭК России по вопросам, связанным с деятельностью соответственно испытательных центров (лабораторий), органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции. жүктеу/скачать 310 Kb. Достарыңызбен бөлісу:
|