- •Оглавление
- •Введение в дисциплину
- •Стандартизация Основные понятия. Виды стандартов
- •Документы по стандартизации
- •Цели и принципы стандартизации
- •Функции и задачи стандартизации
- •Методы стандартизации
- •Органы и службы стандартизации
- •Международные и региональные организации по стандартизации
- •Техническое регулирование
- •Модели технического регулирования
- •Технические регламенты: понятие, цели, виды
- •Порядок разработки технических регламентов
- •Государственный контроль и надзор за соблюдением требований технических регламентов
- •Стандартизация в области информационных технологий. Нормативное обеспечение информационно – интегрированных систем Роль стандартизации в развитии информационного общества
- •Маркетинговые исследования
- •Проектирование
- •Подготовка производства
- •Производство
- •Эксплуатация, обслуживание, утилизация
- •Cтандарты cals-технологий
- •Нормативная база электронного документооборота
- •Структура и содержание документации на сложные программные средства информационных систем. Стандарты step Содержание step.
- •Структура step.
- •Программная поддержка step.
- •Стандартизация организационных основ информационной безопасности
- •Нормативно-правовое обеспечение информационной безопасности
- •Стандартизация в области управления информационной безопасности
- •Разработчики международных стандартов
- •«Информационная технология. Практические правила управления информационной безопасностью»
- •Термины и определения
- •Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта iso/iec 27001
- •Сертификация по исо 27001
- •Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
- •Стандарты серии исо 9000
- •Методология разработки и внедрения системы менеджмента качества по стандартам исо 9000
- •Основы сертификации Основные понятия в области сертификации, цели и объекты сертификации
- •Виды сертификатов и системы сертификации.
- •Основные операции сертификации
- •Схемы сертификации
- •Порядок проведения сертификации продукции и системы качества.
- •Организация работ по сертификации систем качества
- •Предварительная оценка системы качества
- •2. Проверка и оценка системы качества в организации
- •Правила применения сертификата и знака соответствия системы качества
- •Инспекционный контроль за сертифицированной системой качества
- •Правовое обеспечение сертификации.
Правила применения сертификата и знака соответствия системы качества
Сертификат и знак соответствия системы качества могут применяться в рекламных целях.
Знак соответствия может применяться в публикациях, рекламных материалах, сопроводительной документации. При этом воспроизводить знак соответствия можно любым цветом одного тона в полном, увеличенном или уменьшенном размере при условии сохранения его структуры, пропорций, содержания и возможности прочтения букв, содержания в знаке. Минимальный размер знака по высоте 10 мм.
Знак соответствия не может наноситься на выпускаемую продукцию, тару, упаковку, а также в случаях, приводящих к расширению сферы его действия, т.е. применительно к продукции, на которую не распространяется сертификация системы качества.
Инспекционный контроль за сертифицированной системой качества
Подтверждение действий выданного сертификата соответствия Орган по сертификации осуществляет не менее чем один раз в год на основе результатов, полученных при проведении инспекционного контроля. При этом в приложении 1 ставится подпись главного инспектора.
При отрицательном результате инспекционного контроля Орган по сертификации направляет акт о результатах инспекционного контроля в Технический Центр Регистра для принятия решения. Решение о приостановлении или аннулировании действия сертификата соответствия принимается Техническим Центром Регистра.
Приостановление и аннулирование действия сертификата соответствия осуществляется при обнаружении на этапе инспекционного контроля значительных несоответствий. Приостановление или аннулирование осуществляется также, если организация-держатель сертификата:
не устранила несоответствия, выявленные при сертификации и инспекционном контроле;
не информировала орган по сертификации о существенных изменениях, касающихся условий производства, организационной структуры, системы качества, деятельности и местоположения этой организации;
не оплатила стоимость инспекционного контроля до начала его планового проведения и других услуг Органа по сертификации;
не выполнила других условий договора об инспекционном контроле с Органом по сертификации;
предоставила письменное заявление о том, что она не намерена выполнять условия сертификации.
Правовое обеспечение сертификации.
Деятельность по сертификации в России законодательно регулируется и обеспечивается:
- законами РФ «О техническом регулировании» от 27.12.2002 г., «об обеспечении единства измерений» в редакции 2003 г., «О защите прав потребителей» в редакции 1999 г., «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» в редакции 2003г.;
- подзаконодательными актами, направленными на решение отдельных социально – экономических задач и предусматривающими использование для этой цели обязательной сертификации;
- указами президента и нормированными актами правительства России.
Нормативно – методическая база сертификации включает:
- совокупность нормативных документов, на соотвествие требованиям которых проводится сертификация, а также документов, устанавливающих методы проверки соблюдения этих требований (примерно 12000 наименований);
- комплекс организационно- методических документов, определяющих правила и порядок проведения работ по сертификации.
Структуру законодательной и нормативной базы можно представить в виде схемы.
|
|
Законы |
|
|
||||||
|
|
|
|
|
|
|||||
Подзаконные акты |
||||||||||
Указы президента и правительства |
|
Постановления Госстандарта РФ |
|
Нормативные акты министерств и ведомств |
||||||
|
|
|
|
|
||||||
Нормативная база сертификации |
||||||||||
Организационно-методические документы по правилам и порядку сертификации |
|
Нормативные документы, на соотвествие требованиям которых проводится сертификация |
|
Нормативные документы на методы (способы) оценки соответствия при сертификации |
||||||
Правила по сертификации |
|
ГОСТ, ТУ и т.д. |
|
ГОСТ, методические указания и т.д. |
||||||
Схема. Структура законодательно и нормативной базы сертификации
Система сертификации информационно – интегрированных систем. Система добровольной сертификации CALS- технологий
Приказом Минпромнауки России от 8 июля 2002 года № 204 с 1 августа 2002 года была введена в действие Система добровольной сертификации CALS-технологий (Система "CALS- сертификат").
В соответствии с "Положением о Системе добровольной сертификации CALS-технологий", утвержденным постановлением Госстандарта России от 24 июня 2002 г. № 48, руководящим органом Системы "CALS- сертификат" определена автономная некоммерческая организация - НИЦ "Прикладная логистика.
Система "CALS- сертификат" выполняет следующие задачи:
подтверждение соответствия CALS-технологий требованиям отечественных, зарубежных и международных стандартов;
содействие потребителям в компетентном выборе необходимых CALS-технологий путем представления объективной информации об их качестве и соответствии требованиям отечественных, зарубежных и международных стандартов;
защита потребителей CALS-технологий от поставок некачественных программно-технических средств;
подтверждение статуса CALS-технологий, заявленных разработчиком.
Рассмотрим содержание каждого этапа.
1. Для проведения сертификации заявитель направляет заявку в соответствующий орган по сертификации (ОС). При наличии нескольких ОС по сертификации данной продукции заявитель вправе подать заявку в любой из них.
Заявителем может быть любое юридическое лицо (или индивидуальный предприниматель), представившее продукцию на сертификацию, признающее правила системы сертификации и обязывающееся оплатить расходы на ее проведение.
При обязательной сертификации по схемам с использованием декларации о соответствии заявитель подает в ОС вместе с заявкой и декларацию о соответствии.
2. ОС рассматривает заявку и (не позднее 15 дней) сообщает заявителю решение. В решении содержатся все основные условия сертификации, в частности: схема сертификации (если заявитель сам ее не предложил); перечень необходимых документов (например, заключения служб санэпиднадзора, ветеринарной службы и т.д.); перечень аккредитованных испытательных лабораторий (ИЛ); перечень органов, которые могут провести сертификацию производства или системы качества (если это предусмотрено схемой сертификации). Выбор конкретной ИЛ, ОС для сертификации системы качества (производства) осуществляет заявитель.
В соответствии с «Положением о системе сертификации ГОСТ Р» к сертификации допускается продукция, пригодная для использования по назначению, имеющая необходимую маркировку и техническую документацию, содержащую информацию о продукции в соответствии с законодательством РФ (по товарам – в соответствии с Законом РФ «О защите прав потребителей»).
3. Отбор образцов для испытаний осуществляет, как правило, ИЛ. Испытания проводят на образцах, конструкциях, состав и технология изготовления которых должны быть такими же, как у продукции, поставляемой потребителю (заказчику).
Количество образцов, порядок их отбора и хранения устанавливаются в соответствии с требования ми нормативной документации (НД) или организационно-методическими документами по сертификации.
Осуществляемая на данном этапе идентификация должна подтвердить подлинность продукции, в частности соответствие наименованию, номеру партии, указанному на маркировке.
Испытания проводятся в ИЛ, аккредитованных на право проведения тех испытаний, которые предусмотрены в НД, используемых при сертификации данной продукции. Протоколы испытаний представляются заявителю и в ОС. Копии протоколов испытаний и испытанные образцы подлежат хранению в течении срока действия сертификата (образцы скоропортящейся продукции подлежат хранению в течении срока годности).
4. В зависимости от схемы сертификации могут производиться анализ состояния производства (схемы 2а, 4а, 9а, 10а), сертификация производства и системы качества (схемы 5, 6).
5. ОС после анализа протоколов испытаний, проверки производства осуществляет оценку соответствия продукции установленным требованиям. В случае положительных результатов ОС оформляет сертификат и регистрирует его. Сертификат действителен только при наличии регистрационного номера. При обязательной сертификации сертификат выдается, если продукция соответствует требованиям всех НД, установленных для данной продукции. Обязательной составной частью сертификата соответствия является сертификат пожарной безопасности.
При отрицательных результатах обязательной сертификации обязательной продукции ОС должен уведомить об этом соответствующий территориальный орган государственного надзора и контроля по месту расположения изготовителя (продавца, исполнителя работ и услуг) для принятия необходимых мер по предупреждению реализации данной продукции или выполнения работ (оказания услуг).
Срок действия сертификата устанавливает ОС, но не более чем на три года. Действие сертификата на партию продукции, имеющей срок годности, должно распространяться на срок не более срока годности продукции.
Для серийно выпускаемой продукции, реализуемой изготовителем в течение срока действия сертификата, последний действителен при ее поставке, продажи в течении срока службы (установленного в соответствии с действующим законодательством РФ для предъявления требований по поводу недостатков продукции).
В сопроводительной технической документации, прилагаемой к сертифицированной продукции (Руководство по эксплуатации, паспорт, этикетка и др.), а также в товарно-сопроводительной документации делается запись о приведенной сертификации (номера сертификата, сроке его действия, органе его выдавшем).
6. Продукция, на которую выдан сертификат, маркируется знаком соответствия, принятым в системе. Сам знак представляет сочетание РСТ и означает аббревиатуру названия стандарта Р(оссийский) СТ(андарт). Он указывает на национальную принадлежность знака соответствия.
Под знаком соответствия при обязательной сертификации проставляется буквенно-цифровой код ОС – две буквы и две цифры (например, по кодом АЯ46 значится Российский центр испытаний и сертификации – «Ростест - Москва»).
Маркирование продукции знаком соответствия осуществляет изготовитель (продавец). Изготовителю право маркирования знаком соответствия предоставляется лицензией, выдаваемой ОС. В лицензии устанавливается обязательство изготовителя обеспечить соответствие всей продукции, маркированной знаком соответствия, стандартам и испытанному образцу.
Исполнение знака соответствия должно быть контрастным на фоне поверхности, на которую он нанесен. Маркирование продукции следует осуществлять способами, обеспечивающими стойкость знака соответствия к воздействию внешних факторов.
Знак соответствия ставится на изделие и (или) тару, сопроводительную техническую документацию. Знак соответствия наносят на тару при невозможности нанесения его непосредственно на продукцию (например, для газообразных, жидких и сыпучих материалов и веществ).
Хотя Закон РФ «О защите прав потребителей» (ст.10) предусматривает единственными источниками информации о сертификации маркировку знаком соответствия и указание в технической документации сведений о проведении сертификации, правительственный документ (Правила продажи отдельных видов товаров за № 55 от 19 января 1998 г.) допускает и такой источник информации, как копии сертификатов.
В связи с многочисленными случаями фальсификации сертификатов и особенно их копий потребовались меры по эффективной защите этих документов. Правительство обязало Госстандарт ввести защиту копий сертификатов соответствия на товары, подлежащие обязательной сертификации, специальными голографическими знаками, защищенными от подделок. Право на получение голографических знаков имеет ОС, зарегистрированные в Госреестре, и ТО Госстандарта. Для маркирования копий сертификата используются защищенные от подделки знаки, несущие голографическое изображение знака соответствия и порядковый номер защищенного знака. Закрепление знака на копии осуществляется вручную или при помощи клея. Знак разрушается при попытке его отделения. Руководство ОС (ТО) обеспечивает надлежащий учет, хранение, выдачу и использование знаков в соответствии с правилами хранения документов строгого учета.
С 1 июля 1999 г. реализация на территории России ряда товаров (аудио- и видеотовары, компьютерная техника) без наличия защищенных знаков соответствия запрещена.
7. Инспекционный контроль (ИК) за сертифицированной продукцией производится (если это предусмотрено схемой сертификации) производится в течение всего срока действия сертификата и лицензии не реже одного раза в год в форме периодических и внеплановых проверок, включающих испытания образцов продукции, анализ состояния производства и пр.
Внеплановые проверки могут проводиться в случаях поступления информации о претензиях к качеству продукции от потребителей, торговых организаций, а также надзорных органов.
Результаты ИК оформляются актом. По результатам контроля ОС может приостановить или отменить действие сертификата и аннулировать лицензию на право применения знака соответствия в случае несоответствия продукции требованиям НД. ИК осуществляют, как правило, ОС, проводившие сертификацию данной продукции.
Сертификация средств защиты информации
В 27 октября 1995 г. приказом председателя Государственной технической комиссии при Президенте Российской Федерации было утверждено Положение о сертификации средств защиты информации по требованиям безопасности информации (№ 199)
Настоящее положение устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации.
Положение разработано в соответствии:
с Законом Российской Федерации “О сертификации продукции и услуг”,
Законом Российской Федерации “О государственной тайне”,
Федеральным законом “Об информации, информатизации и защите информации”,
Законом Российской Федерации “О защите прав потребителей”,
Федеральным законом “Об участии в международном информационном обмене”,
Постановлением Правительства Российской Федерации “О сертификации средств защиты информации”
Порядком проведения сертификации продукции в Российской Федерации.
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
Целями создания системы сертификации являются:
1. реализация требований статьи 28 Закона Российской Федерации “О государственной тайне”;
2. реализация требований государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам;
3 создание условий для качественного и эффективного обеспечения потребителей сертифицированной техникой защиты информации;
4. обеспечение национальной безопасности Российской Федерации в информационной сфере;
5. содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
6. формирование и осуществление единой научно-технической и промышленной политики в информационной сфере с учетом современных требований по противодействию техническим разведкам и технической защите информации.
Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и т.д.
Перечень средств защиты информации, подлежащей обязательной сертификации:
1. Технические средства защиты информации от утечки по техническим каналам.
Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи, приема, передачи, обработки и хранения информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройств, средства изготовления, тиражирования документов и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для обработки информации ограниченного доступа. Технические средства и системы, не обрабатывающие информацию, размещенные в помещениях, где обрабатывается (циркулирует) информация, отнесенная к категории ограниченного доступа, а также сами помещения (выделенные помещения).
2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах, осуществляемого акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами.
Средства радио и кабельной связи, радиовещания и телевидения, видео- и звукозаписывающей и воспроизводящей техники и их компоненты (радиовещательная и телевизионная аппаратура, телефонная и телеграфная аппаратура, телефоны, микрофоны, громкоговорители, аппаратура видеозаписи и воспроизведения аппаратура звукозаписи и воспроизведения).
3. Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств обработки информации.
Электронно-вычислительная техника и ее компоненты. Программно-технические комплексы для автоматизации различных процессов. Средства радио- и кабельной связи, радиовещания и телевидения, включая спутниковые системы. Программно-технические комплексы для автоматизации контроля и производственных испытаний средств вычислительной техники, связи и средств защиты информации.
4. Средства защиты информации от деятельности радиационной разведки по добыванию сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.
5. Средства защиты информации от перехвата электрических сигналов, распространяющихся в токопроводящих коммуникациях и являющихся причиной электромагнитной наводки за счет побочных электромагнитных излучений технических средств обработки информации.
6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.
7. Средства защиты от подделки документов на основе оптико-химических технологий.
8. Антивирусные программы и т.д.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.
Основными схемами сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований.
Сертификация средств защиты информации осуществляется федеральным и аккредитованными органами по сертификации. Сертификационные испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с федеральным органом по сертификации (или органом по сертификации) допускается проведение испытаний на испытательной базе заявителя данного средства защиты информации.
Правила аккредитации определяются действующим в системе “Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации”.
Оплата работ по сертификации средств защиты информации производится заявителем на основании договоров между участниками сертификации.
Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.
Организационная структура системы сертификации
Организационную структуру системы сертификации образуют: федеральный орган по сертификации средств защиты информации (Гостехкомиссия России);
центральный орган системы сертификации средств защиты информации;
органы по сертификации средств защиты информации;
испытательные центры (лаборатории);
заявители. Федеральный орган по сертификации средств защиты информации в пределах своей компетенции осуществляет следующие функции: создает и совершенствует систему сертификации;
определяет перечень средств защиты информации, подлежащих обязательной сертификации;
утверждает нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации.
представляет на государственную регистрацию в Госстандарт России и Минюст России систему сертификации и знак соответствия;
определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа; устанавливает правила аккредитации органов по сертификации.
организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации по требованиям безопасности информации; рассматривает заявки на сертификацию, принимает по ним решения.
выдает сертификаты и лицензии на применение знака соответствия; ведет государственный реестр участников и объектов сертификации;
рассматривает апелляции по вопросам сертификации; организует периодическую публикацию информации о сертификации;
приостанавливает, продлевает, либо отменяет действие выданных сертификатов. Федеральный орган по сертификации может передавать некоторые из своих функций центральному органу системы сертификации или органам по сертификации.
Центральный орган системы сертификации средств защиты информации: координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему; разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе сертификации, и представляет их в федеральный орган по сертификации;
участвует в работах по совершенствованию фонда нормативных документов.
участвует в рассмотрении апелляций
участвует в аккредитации органов по сертификации,
ведет учет входящих в систему органов по сертификации, испытательных центров (лабораторий),
обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования. Органы по сертификации средств защиты информации в пределах установленной области аккредитации: участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя; уточняют требования, на соответствие которым проводятся сертификационные испытания; рекомендуют заявителю испытательный центр (лабораторию); утверждают программы и методики проведения сертификационных испытаний; проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний; оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации; организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации; участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации; организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий); хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации; ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов; формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке; представляют заявителю необходимую информацию по сертификации. Испытательные центры (лаборатории) в пределах установленной области аккредитации:
осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний; разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации; участвуют в аттестации производства сертифицируемых средств защиты информации. Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
Заявители: обеспечивают соответствие средств защиты информации требованиям нормативных документов в системе сертификации; осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик сертифицируемых средств защиты информации; применяют сертификат, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;
обеспечивают доступ в организацию, к технической и технологической документации, технологическим процессам, местам хранения сертифицированной продукции должностных лиц органов, осуществляющих государственный контроль и надзор, инспекционный контроль за сертифицированными средствами защиты информации;
при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют доработку этих средств и представляют их на сертификацию. Процедура сертификации и контроля
1. Подача и рассмотрение заявки на проведение сертификации средств защиты информации.
Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации.
После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД.
2. Сертификационные испытания средств защиты информации и аттестация их производства. Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах. Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов. В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.
Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной.
3. Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.
Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.
Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации.
4. Оформление и выдача сертификата.
После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года. При несоответствии результатов испытаний требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию на применение знака соответствия.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. Маркирование знаками соответствия средств защиты информации в этом случае производится испытательной лабораторией, проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации. 4. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. Государственный контроль и надзор осуществляет федеральный орган по сертификации.
По результатам контроля федеральный орган может приостановить или аннулировать действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об аннулировании действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям.
Причинами, которые могут заставить принять такое решение, являются: изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества; невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации; несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля; отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
6. Продление сроков сертификации.
Для продления срока действия сертификата соответствия не позднее чем за три месяца до окончания срока его действия, направляет в федеральный орган по сертификации заявку. Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. При этом сертификация может проводиться по упрощенной схеме, а сертификационные испытания - по сокращенной программе.
Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.