Общие вопросы технической защиты информации
[+]
Опубликован: 01.02.2012 | Доступ: свободный | Студентов: 7137 / 3235 | Оценка: 4.43 / 4.27 | Длительность: 19:35:00
Темы: Безопасность, Менеджмент
Специальности: Специалист по безопасности
Теги: im-черви, антивирус, антивирусы, безопасность, брандмауэр, брандмауэры, вирусы, вредоносная программа, государственная тайна, информатизация, компоненты, конфиденциальность, лицензирование, модуляция, программное обеспечение, протоколы, разработка, серверы, средства защиты информации, требования безопасности, черви, шифрование, экранирование, элементы
Лекция 5:

Сертификация средств защиты информации
A
|
версия для печати
< Лекция 4 || Лекция 5: 12 || Лекция 6 >

5.2. Порядок сертификации во ФСТЭК России

Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

  1. Подача заявки на сертификацию во ФСТЭК России.

    В заявке указываются:

    • наименования заявителя
    • адрес заявителя
    • наименование продукции, которую Заявитель хочет сертифицировать
    • перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.
    • схема сертификации (единичный образец продукции или серийное производство)
    • испытательная лаборатория, в которой Заявитель хотел бы провести испытания
    • дополнительные условия или требования

    Заявитель указывает в заявке, что он обязуется:

    • выполнять все условия сертификации;
    • обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
    • оплатить все расходы по проведению сертификации.

    Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!

    Пример заявки на сертификацию программного комплекса представлен на рисунке 5.1.

    Пример заявки на сертификацию

    увеличить изображение
    Рис. 5.1. Пример заявки на сертификацию
  2. Решение на проведение сертификационных испытаний

    ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

    • наименование Заявителя, адрес Заявителя;
    • наименование сертифицируемой продукции, код ОКП, ТУ;
    • схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);
    • назначенная испытательная лаборатория и ее адрес;
    • перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;
    • испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;
    • орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;
    • способ оплаты работ.

    Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заказчиком. Решение служит основанием для начала испытаний и "поводом" для заключения договора между Заявителем и испытательной лабораторией. Пример решения на проведение сертификации представлен на рисунке 5.2.

    Пример решения на проведение сертификационных испытаний

    увеличить изображение
    Рис. 5.2. Пример решения на проведение сертификационных испытаний
  3. Заключение договора с испытательной лабораторией

    В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

  4. Подготовка исходных данных.

    Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

    Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

    Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

  5. Сертификационные испытания.

    Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному "перезапуску", что повлияет на стоимость и сроки проведения работ.

  6. Оформление результатов испытаний

    Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии – Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

  7. Заключение договора с органом по сертификации

    Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

  8. Экспертиза результатов сертификационных испытаний

    Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

  9. Решение о выдаче сертификата.

    На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке 5.3.

    Пример сертификата соответствия ФСТЭК

    увеличить изображение
    Рис. 5.3. Пример сертификата соответствия ФСТЭК

Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.

Дальше >>
< Лекция 4 || Лекция 5: 12 || Лекция 6 >

Вопросы и ответы

вопросов: 15
Ирина Гелетюк
Ирина Гелетюк

Какие данные указывать при заполнении Договора п.1: кол-во часов - указать 72 ? и п.п. 1.2 срок обучения кол-во мес и п.п. 1.6 срок оказания услуги. Как я понимаю указывать в п.1.2 и 1.6 1 месяц?

ответить
Ирина Тихонова
Ирина Тихонова
ответить