Законодательство РФ в области информации и информационной безопасности
Особенности сертификации средств криптографической защиты информации
жүктеу/скачать 310 Kb.
|
| 15. Особенности сертификации средств криптографической защиты информации.
Процедура сертификации включает: подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации; сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства; экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия; осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; информирование о результатах сертификации средств защиты информации; рассмотрение апелляций (рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов) Подача и рассмотрение заявки на проведение сертификации средств защиты информации. Заявитель направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации. Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем. После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД. Сертификационные испытания средств защиты информации и аттестация их производства. Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю. При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств. Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной. Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации. Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации. После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года. При несоответствии результатов испытаний требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. 15.4.5. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию на применение знака соответствия. В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. По результатам контроля федеральный орган может приостановить или аннулировать действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об аннулировании действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются: изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества; невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации; несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля; отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации. Информация о приостановлении (аннулировании) действия сертификата или аттестата аккредитации доводится федеральным органом по сертификации до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий). 15.6. Информирование о сертификации средств защиты информации. Федеральный орган по сертификации обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации. Продление срока действия сертификата могут проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации. Заявитель для продления срока действия сертификата соответствия не позднее, чем за три месяца до окончания срока его действия, направляет в федеральный орган по сертификации заявку. Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. При изменении требований к сертифицированным средствам защиты информации, их конструкции или условий производства проводится повторная сертификация, Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца. Требования к нормативным и методическим документам по сертификации средств защиты информации Все нормативные и методические документы системы сертификации оформляются на русском языке. жүктеу/скачать 310 Kb. Достарыңызбен бөлісу:
|