Фрагмент документа "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ".
3. Процедура сертификации и контроля
3.1. Процедура сертификации включает:
подачу и рассмотрение заявки на проведение сертификации
(продление срока действия сертификата) средств защиты информации;
сертификационные испытания средств защиты информации и (при
необходимости) аттестацию их производства;
экспертизу результатов испытаний, оформление, регистрацию и
выдачу сертификата и лицензии на право использования знака
соответствия;
осуществление государственного контроля и надзора, инспекционного
контроля за соблюдением правил обязательной сертификации и за
сертифицированными средствами защиты информации;
информирование о результатах сертификации средств защиты
информации;
рассмотрение апелляций.
3.2. Подача и рассмотрение заявки на проведение сертификации
средств защиты информации.
3.2.1. Заявитель для получения сертификата направляет в
федеральный орган по сертификации заявку (Приложение 2) на проведение
сертификации. Заявка оформляется на бланке заявителя и заверяется
печатью.
3.2.2. Федеральный орган по сертификации в месячный срок после
получения заявки направляет заявителю, в назначенные для проведения
сертификации орган по сертификации и испытательный центр (лабораторию)
решения по заявке на проведение сертификации (Приложение 3). Орган по
сертификации и испытательный центр (лаборатория) могут быть изменены
по согласованию с заявителем.
После получения решения заявитель обязан представить в
испытательный центр (лабораторию) средства защиты информации в
комплектации, согласно техническим условиям, или формуляру на средство
защиты, а также комплект необходимой технической и эксплуатационной
документации на это средство в соответствии с ЕСКД или ЕСПД.
3.3. Сертификационные испытания средств защиты информации и
аттестация их производства.
3.3.1. Сертификационные испытания средств защиты информации
проводятся в испытательных центрах (лабораториях) на образцах,
конструкция, состав и технология изготовления которых должны быть
аналогичны образцам средств защиты информации, поставляемым
потребителю, по программам и методикам испытаний, утвержденным органом
по сертификации.
Количество образцов, порядок их отбора и идентификации должен
соответствовать требованиям нормативных и методических документов.
В случае отсутствия на момент сертификации испытательных центров
(лабораторий) с соответствующей областью аккредитации федеральный
орган по сертификации определяет возможность, место и условия
проведения испытаний, обеспечивающих объективность их результатов.
3.3.2. Сроки проведения испытаний устанавливаются договором между
заявителем и испытательным центром (лабораторией).
3.3.3. По просьбе заявителя его представителям должна быть
предоставлена возможность ознакомиться с условиями хранения и
испытаний средств защиты информации и предоставленной документации на
эти средства в испытательном центре (лаборатории).
3.3.4. По результатам испытаний оформляются протоколы и
технические заключения, которые направляются испытательным центром
(лабораторией) в орган по сертификации, а копия технического
заключения - заявителю.
3.3.5. При внесении изменений в конструкцию (состав) средств
защиты информации или технологию их производства заявитель
(разработчик, изготовитель) извещает об этом орган по сертификации.
Последний принимает решение о необходимости проведения новых
сертификационных испытаний этих средств.
3.3.6. Сертификация средств защиты информации зарубежного
производства проводится по тем же правилам, что и отечественной.
3.4. Экспертиза результатов сертификационных испытаний,
оформление, регистрация и выдача сертификата и лицензии на право
использования знака соответствия.
3.4.1. Орган по сертификации проводит экспертизу результатов
испытаний и оформляет экспертное заключение, которое вместе с
техническим заключением, материалами сертификационных испытаний,
комплектом необходимой технической и эксплуатационной документации на
средство защиты информации направляет в федеральный орган по
сертификации.
3.4.2. Сроки проведения экспертизы результатов сертификационных
испытаний устанавливаются договором между заявителем и органом по
сертификации.
3.4.3. После согласования технических условий или формуляра на
средства защиты информации и присвоения сертификату регистрационного
номера федеральный орган по сертификации оформляет сертификат
(Приложение 4) и выдает его заявителю. Срок действия сертификата - три
года.
При несоответствии результатов испытаний требованиям нормативных
документов федеральный орган по сертификации принимает решение об
отказе в выдаче сертификата и направляет заявителю мотивированное
заключение. В случае несогласия с отказом в выдаче сертификата
заявитель имеет право обратиться в апелляционный совет федерального
органа по сертификации для дополнительного рассмотрения материалов
сертификации.
3.4.5. Получение изготовителем средств защиты информации
сертификата дает ему право получить в федеральном органе по
сертификации лицензию (Приложение 5) на применение знака соответствия.
В случае сертификации единичных образцов или партии средств
защиты информации лицензия на применение знака соответствия заявителю
не выдается. Маркирование знаками соответствия средств защиты
информации в этом случае производится испытательной лабораторией,
проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет
ответственность за поставку маркированных средств защиты информации.
3.5. Государственный контроль и надзор, инспекционный контроль за
соблюдением правил обязательной сертификации и за сертифицированными
средствами защиты информации.
3.5.1. Государственный контроль и надзор за соблюдением
заявителями, испытательными центрами (лабораториями), органами по
сертификации правил обязательной сертификации и за сертифицированными
средствами защиты информации осуществляет федеральный орган по
сертификации. Объем, содержание и порядок государственного контроля и
надзора устанавливаются в нормативной и методической документации,
действующей в системе сертификации.
3.5.2. Инспекционный контроль за сертифицированными средствами
защиты информации осуществляют федеральный орган по сертификации,
органы по сертификации, проводившие их сертификацию, с привлечением
испытательных центров (лабораторий), проводивших сертификационные
испытания. Общие правила инспекционного контроля за сертифицированными
средствами защиты информации устанавливаются в нормативных и
методических документах системы сертификации средств защиты информации
по требованиям безопасности информации. Периодичность и объемы
испытаний в рамках инспекционного контроля сертифицированных средств
защиты информации в испытательных центрах (лабораториях) должны
предусматриваться в нормативных и методических документах по их
сертификации.
3.5.3. По результатам контроля федеральный орган может
приостановить или аннулировать действие сертификата и аттестата
аккредитации, а орган по сертификации - ходатайствовать об этом.
Решение об аннулировании действия сертификата принимается только в том
случае, если в результате принятых незамедлительных мер не может быть
восстановлено соответствие средств защиты информации установленным
требованиям. Причинами, которые могут заставить принять такое решение,
являются:
изменение нормативных и методических документов по защите
информации в части требований к средствам защиты информации, методам
испытаний и контроля;
изменение технологии изготовления, конструкции (состава),
комплектности средств защиты информации и системы контроля их
качества;
невыполнение требований технологии изготовления, контроля и
испытаний средств защиты информации;
несоответствие сертифицированных средств защиты информации
техническим условиям или формуляру, выявленное в ходе государственного
или инспекционного контроля;
отказ заявителя в допуске (приеме) лиц, уполномоченных
осуществлять государственный контроль и надзор, инспекционный контроль
за соблюдением правил сертификации и за сертифицированными средствами
защиты информации.
3.5.4. Информация о приостановлении (аннулировании) действия
сертификата или аттестата аккредитации доводится федеральным органом
по сертификации до сведения изготовителей, потребителей средств защиты
информации, органов по сертификации и испытательных центров
(лабораторий).
3.6. Информирование о сертификации средств защиты информации.
3.6.1. Федеральный орган по сертификации обеспечивает участников
сертификации необходимой информацией о деятельности системы
сертификации, включающей:
перечень средств защиты информации (их сертифицированных
параметров), на которые выданы сертификаты;
перечень средств защиты информации (их сертифицированных
параметров), на которые действие сертификатов аннулировано;
перечень органов по сертификации;
перечень испытательных центров (лабораторий);
перечень органов по аттестации объектов информатизации;
перечень нормативных документов, на соответствие требованиям
которых проводится сертификация средств защиты информации, и
методических документов по проведению сертификационных испытаний.
3.7. Порядок продления срока действия сертификата.
Продление срока действия сертификата может проводиться по
упрощенной схеме, включающей проверку конструкторской,
технологической, эксплуатационной документации и условий производства
сертифицированных средств защиты информации.
Заявитель для продления срока действия сертификата соответствия
не позднее чем за три месяца до окончания срока его действия
направляет в федеральный орган по сертификации заявку (Приложение 2А).
Федеральный орган по сертификации в месячный срок после получения
заявки направляет заявителю, в назначенные для проведения сертификации
орган по сертификации и испытательный центр (лабораторию) решение по
заявке на проведение сертификации. Орган по сертификации и
испытательная лаборатория выбираются, как правило, с учетом проведения
предыдущих сертификационных испытаний.
3.8. При изменении требований к сертифицированным средствам
защиты информации, их конструкции или условий производства проводится
повторная сертификация, включающая действия, предусмотренные п. п. 3.1
- 3.4 настоящего Положения. При этом сертификация может проводиться по
упрощенной схеме, а сертификационные испытания - по сокращенной
программе. При этом могут осуществляться:
проверка основных характеристик сертифицированных средств защиты
информации, обеспечивающих (определяющих) выполнение требований по
защите информации;
сертификационные испытания характеристик сертифицированных
средств защиты информации, обеспечивающих (определяющих) выполнение
изменившихся или вновь предъявляемых требований по защите информации;
контроль технологии производства средств защиты информации.
Орган по сертификации и испытательная лаборатория выбираются, как
правило, с учетом проведения предыдущих сертификационных испытаний.
3.9. Для признания зарубежного сертификата заявитель направляет
его копию и заявку на признание сертификата в федеральный орган по
сертификации, который в срок не позднее двух месяцев после получения
заявки извещает заявителя о признании сертификата или необходимости
проведения сертификационных испытаний. В случае признания зарубежного
сертификата заявителю выдается сертификат установленного образца.
3.10. Рассмотрение апелляций.
Апелляция подается в апелляционный совет федерального органа по
сертификации по вопросам, связанным с деятельностью испытательных
центров (лабораторий) или органов по сертификации. Апелляция
рассматривается в месячный срок с привлечением заинтересованных сторон
и независимых экспертов. О принятом решении извещается податель
апелляции.
|
Фрагмент документа "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ".