Порядок сертификации средств защиты информации
Настоящий справочный материал содержит краткое описание организации и порядка сертификации средств защиты информации на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России.
Для подготовки к сертификации средства защиты информации Заявителю необходимо:
- определить требования по безопасности информации, на соответствие которым планируется проведение сертификации;
- подготовить образец средства защиты информации;
- подготовить конструкторскую, программную и эксплуатационную документацию на средство защиты информации;
- выбрать для проведения сертификационных испытаний средства защиты информации аккредитованную ФСТЭК России Испытательную лабораторию и согласовывать с ней возможность и сроки проведения сертификационных испытаний.
Сертификация средства защиты информации включает следующие этапы:
- Подача заявки на сертификацию Заявителем;
- Принятие решения ФСТЭК России о проведении сертификации;
- Сертификационные испытания, проводимые в аккредитованной Испытательной лаборатории;
- Экспертиза результатов сертификационных испытаний в Органе по сертификации;
- Выдача сертификата соответствия;
- Внесение изменений в сертифицированное средство защиты информации и продление срока действия сертификата соответствия.
1. Подача заявки на сертификацию
После подготовительного этапа Заявителю нужно оформить заявку на сертификацию, представляемую в ФСТЭК России.
В заявке на сертификацию указываются:
- наименование средства защиты информации (СрЗИ);
- назначение СрЗИ;
- полное и сокращенное наименование Заявителя;
- адрес местонахождения, почтовый адрес Заявителя;
- номер и дата выдачи имеющейся у Заявителя лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (указывается заявителем, являющимся изготовителем);
- руководитель Заявителя;
- ответственный за сертификацию СрЗИ;
- номер контактного телефона и адрес электронной почты Заявителя;
- наименование Разработчика СрЗИ, адрес местонахождения (при наличии);
- номер и дата выдачи имеющейся у Разработчика лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации;
- наименование правообладателя на СрЗИ, адрес местонахождения (при наличии);
- наименование Испытательной лаборатории, в которой планируется проведение сертификационных испытаний СрЗИ;
- тип (типы) СрЗИ, к которому (которым) относится представляемое на сертификацию СрЗИ;
- документы, на соответствие требованиям которых должна проводиться сертификация;
- схема сертификации СрЗИ (при сертификации партии указывается количество образцов в партии);
- заявляемый срок действия сертификата соответствия (не может превышать 5 лет);
- наименование организации, на материально-технической базе которой планируется проводить сертификационные испытания, адрес места проведения сертификационных испытаний.
Заявка на сертификацию подписывается руководителем Заявителя и руководителем Испытательной лаборатории.
К заявке на сертификацию прилагаются следующие документы:
- технические условия – 2 экз.;
- техническое задание (при его необходимости) – 2 экз.;
- задание по безопасности ( при его необходимости) – 2 экз.;
- формуляр;
- договор с лицом, обладающим исключительными правами на СрЗИ, о предоставлении Заявителю права на сертификацию, эксплуатацию или производство СрЗИ, а также на техническую поддержку СрЗИ (прилагается в случае, если заявитель не обладает исключительными правами на СрЗИ);
- письмо потребителя продукции о необходимости применения конкретного СрЗИ (в случае сертификации СрЗИ для собственных нужд организации при схемах единичного образца или партии).
Скачать рекомендуемый образец заявки на сертификацию
Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России.
2. Принятие решения о проведении сертификации
ФСТЭК России рассматривает заявку на сертификацию и прилагаемые к ней документы в течение месяца со дня получения заявки на сертификацию.
В случае принятия решения о проведении сертификации средства защиты информации в решении указываются:
- номер и дата принятия решения;
- наименование СрЗИ;
- назначение СрЗИ;
- полное и сокращенное наименование Заявителя;
- адрес местонахождения Заявителя;
- наименование Испытательной лаборатории, в которой будут проведены сертификационные испытания;
- наименование Органа по сертификации, который будет проводить экспертизу материалов сертификационных испытаний;
- документы, на соответствие требованиям которых должна проводиться сертификация СрЗИ;
- схема сертификации СрЗИ;
- наименование организации, на материально-технической базе которой планируется проводить сертификационные испытания, адрес места проведения сертификационных испытаний.
Решение о проведении сертификации СрЗИ оформляется в 4 экземплярах и направляется по одному экземпляру Заявителю, Испытательной лаборатории и Органу по сертификации.
В случае сертификации СрЗИ на соответствие требованиям по безопасности информации, изложенным в технических условиях, техническом задании или задании по безопасности, ФСТЭК России согласовывает технические условия, техническое задание или задание по безопасности, прилагаемые к заявке на сертификацию. В ходе проведения сертификации в технические условия, техническое задание или задание по безопасности могут вноситься изменения по согласованию с ФСТЭК России.
Заявитель должен в трехдневный срок письменно известить ФСТЭК России о заключении договоров с Испытательной лабораторией и Органом по сертификации с указанием определенного договорами срока проведения сертификации СрЗИ.
3. Сертификационные испытания
Подготовка, программа и методики
В целях подготовки к проведению сертификационных испытаний СрЗИ Заявитель представляет для предварительного рассмотрения в Испытательную лабораторию и Орган по сертификации следующую документацию на средство защиты информации:
- технические условия;
- задание по безопасности (при его необходимости);
- формуляр;
- иную конструкторскую (программную) и эксплуатационную документацию на СрЗИ.
А также Заявитель обязан предоставить возможность предварительного ознакомления Испытательной лаборатории и Органа по сертификации с образцом СрЗИ. В случае необходимости Заявитель может подготовить испытательный стенд на собственной территории или принимает участие в формировании испытательного стенда в Испытательной лаборатории.
Испытательная лаборатория и Орган по сертификации осуществляют предварительное рассмотрение образца СрЗИ и документации. Перечень выявленных недостатков с предложениями по их устранению направляется Заявителю.
Для проведения сертификационных испытаний СрЗИ Испытательная лаборатория разрабатывает программу и методику сертификационных испытаний в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России.
Программа и методика согласовываются с Заявителем и при отсутствии недостатков утверждается в Орган по сертификации.
Отбор образцов СрЗИ
Для проведения сертификационных испытаний осуществляет отбор образцов СрЗИ. При сертификации партии осуществляется отбор всей партии СрЗИ. При сертификации серийного производства осуществляется отбор образцов СрЗИ из предоставленной партии, численность которой не менее чем в 2 раза превышает количество образцов.
По результатам отбора Испытательная лаборатория составляет акт отбора образцов СрЗИ, в котором указываются:
- номер и дата решения о проведении сертификации;
- дата осуществления отбора;
- наименование СрЗИ;
- наименование Заявителя;
- наименование Испытательной лаборатории;
- специалист Испытательной лаборатории, производивший отбор образцов СрЗИ;
- специалист Заявителя, присутствовавший при отборе образцов СрЗИ;
- схема сертификации (при сертификации партии указывается количество образцов в партии);
- количество образцов в партии, представленной для осуществления отбора образцов с указанием заводских номеров образцов;
- количество отобранных образцов средства защиты информации, с указанием их заводских номеров;
- контрольные суммы программного обеспечения образцов СрЗИ.
Акт отбора образца образцов СрЗИ подписывается специалистами Заявителя и Испытательной лаборатории, участвовавшими в отборе, и утверждается руководителем Испытательной лаборатории.
Проведение испытаний
Сертификационные испытания проводятся в соответствии с утвержденными программой и методикой сертификационных испытаний СрЗИ.
Перед началом проверок формируется и настраивается стенд для проведения сертификационных испытаний.
Вначале испытаний проводится идентификация объекта испытаний (СрЗИ) и проверка его соответствия разработанной документации.
В ходе испытаний осуществляются проверки объекта испытаний на соответствие требованиям по безопасности информации, проверка организации технической СрЗИ, а также проверка организации производства для серийно производимого СрЗИ.
Сертификационные испытания проводятся в сроки, установленные договором, заключенным Заявителем с Испытательной лабораторией.
Результаты испытаний
По результатам испытаний и проверок оформляются протоколы испытаний, содержащие описание проведенных испытаний и результаты испытаний, выводы о соответствии (несоответствии) СрЗИ, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации.
По завершении испытаний и проверок, предусмотренных программой и методикой, оформляется техническое заключение о соответствии (несоответствии) СрЗИ требованиям по безопасности информации.
В случае несоответствия СрЗИ требованиям по безопасности информации техническое заключение направляется Заявителю. Заявитель должен устранить выявленные несоответствия и проинформировать об этом Испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний. После этого проводятся повторные испытания.
4. Экспертиза по результатам сертификационных испытаний
Материалы сертификационных испытаний СрЗИ представляются Испытательной лабораторией в Орган по сертификации.
Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний. По результатам оценки материалов сертификационных испытаний Орган по сертификации оформляет экспертное заключение о возможности (невозможности) выдачи сертификата соответствия.
В случае наличия в экспертном заключении вывода о возможности выдачи сертификата соответствия Орган по сертификации подготавливает проект сертификата соответствия. Один экземпляр экспертного заключения, проект сертификата соответствия и материалы сертификационных испытаний представляются Органом по сертификации в ФСТЭК России. Один экземпляр экспертного заключения направляется Заявителю.
5. Выдача сертификата соответствия
В случае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 45 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.
В случае выявления в материалах по сертификации средства защиты информации недостатков ФСТЭК России направляет материалы в Орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению.
В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в государственный реестр сертифицированных средств защиты информации и в течение 10 рабочих дней после подписания вручается заявителю.
Маркирование
На основании сертификата соответствия заявитель организует маркирование каждого образца СрЗИ знаками соответствия. Промаркированные образцы регистрируются Заявителем в журнале с указанием заводских номеров СрЗИ и номеров знаков соответствия.
В случае сертификации единичного образца или партии знаки соответствия выдаются заявителю вместе с сертификатом соответствия, номера знаков соответствия указываются в сертификате соответствия. В случае сертификации серийного производства Заявитель должен направить в ФСТЭК России заявку на получение знаков соответствия.
6. Внесение изменений в сертифицированное средство защиты информации и продление срока действия сертификата соответствия
В случае внесения в сертифицированное СрЗИ изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, проводятся испытания с привлечением испытательной лаборатории. В случае внесения в средство защиты информации иных изменений заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.
Испытания СрЗИ в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации.
По результатам проведенных испытаний Заявитель представляет в ФСТЭК России материалы испытаний. ФСТЭК России рассматривает поступившие материалы испытаний, согласовывает технические условия, дополнительное техническое задание (при наличии) или задание по безопасности (при наличии) и формуляр на СрЗИ, переоформляет сертификат соответствия.