Байланысты: Лекции - Сертификация и аккредитация систем безопасности
15. Особенности сертификации средств криптографической защиты информации. Процедура сертификации включает:
подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации;
сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства;
экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
информирование о результатах сертификации средств защиты информации;
рассмотрение апелляций (рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов)
Подача и рассмотрение заявки на проведение сертификации средств защиты информации.
Заявитель направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации. Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.
После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД.
Сертификационные испытания средств защиты информации и аттестация их производства. Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.
Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.
При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств.
Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной.
Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.
Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации.
После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года.
При несоответствии результатов испытаний требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации.
15.4.5. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию на применение знака соответствия.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается.
По результатам контроля федеральный орган может приостановить или аннулировать действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об аннулировании действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
Информация о приостановлении (аннулировании) действия сертификата или аттестата аккредитации доводится федеральным органом по сертификации до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).
15.6. Информирование о сертификации средств защиты информации.
Федеральный орган по сертификации обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации.
Продление срока действия сертификата могут проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации.
Заявитель для продления срока действия сертификата соответствия не позднее, чем за три месяца до окончания срока его действия, направляет в федеральный орган по сертификации заявку.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации.
При изменении требований к сертифицированным средствам защиты информации, их конструкции или условий производства проводится повторная сертификация, Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.
Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца. Требования к нормативным и методическим документам по сертификации средств защиты информации
Все нормативные и методические документы системы сертификации оформляются на русском языке.