"ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" (Утв. Приказом Гостехкомиссии от 27.10.95 N 119)
3. Процедура сертификации и контроля
3.1. Процедура сертификации включает:
подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации;
сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства;
экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
информирование о результатах сертификации средств защиты информации;
рассмотрение апелляций.
3.2. Подача и рассмотрение заявки на проведение сертификации средств защиты информации.
3.2.1. Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку (Приложение 2) на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.
3.2.2. Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации (Приложение 3). Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.
После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД.
3.3. Сертификационные испытания средств защиты информации и аттестация их производства.
3.3.1. Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.
Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов.
В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.
3.3.2. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
3.3.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в испытательном центре (лаборатории).
3.3.4. По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.
3.3.5. При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств.
3.3.6. Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной.
3.4. Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.
3.4.1. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.
3.4.2. Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации.
3.4.3. После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат (Приложение 4) и выдает его заявителю. Срок действия сертификата - три года.
При несоответствии результатов испытаний требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации.
3.4.5. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию (Приложение 5) на применение знака соответствия.
: В электронном документе нумерация пунктов соответствует официальному источнику.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. Маркирование знаками соответствия средств защиты информации в этом случае производится испытательной лабораторией, проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации.
3.5. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.
3.5.1. Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет федеральный орган по сертификации. Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации, действующей в системе сертификации.
3.5.2. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют федеральный орган по сертификации, органы по сертификации, проводившие их сертификацию, с привлечением испытательных центров (лабораторий), проводивших сертификационные испытания. Общие правила инспекционного контроля за сертифицированными средствами защиты информации устанавливаются в нормативных и методических документах системы сертификации средств защиты информации по требованиям безопасности информации. Периодичность и объемы испытаний в рамках инспекционного контроля сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по их сертификации.
3.5.3. По результатам контроля федеральный орган может приостановить или аннулировать действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об аннулировании действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
3.5.4. Информация о приостановлении (аннулировании) действия сертификата или аттестата аккредитации доводится федеральным органом по сертификации до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).
3.6. Информирование о сертификации средств защиты информации.
3.6.1. Федеральный орган по сертификации обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей:
перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты;
перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов аннулировано;
перечень органов по сертификации;
перечень испытательных центров (лабораторий);
перечень органов по аттестации объектов информатизации;
перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.
3.7. Порядок продления срока действия сертификата.
Продление срока действия сертификата может проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации.
Заявитель для продления срока действия сертификата соответствия не позднее чем за три месяца до окончания срока его действия направляет в федеральный орган по сертификации заявку (Приложение 2А).
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.
3.8. При изменении требований к сертифицированным средствам защиты информации, их конструкции или условий производства проводится повторная сертификация, включающая действия, предусмотренные п. п. 3.1 - 3.4 настоящего Положения. При этом сертификация может проводиться по упрощенной схеме, а сертификационные испытания - по сокращенной программе. При этом могут осуществляться:
проверка основных характеристик сертифицированных средств защиты информации, обеспечивающих (определяющих) выполнение требований по защите информации;
сертификационные испытания характеристик сертифицированных средств защиты информации, обеспечивающих (определяющих) выполнение изменившихся или вновь предъявляемых требований по защите информации;
контроль технологии производства средств защиты информации.
Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.
3.9. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок не позднее двух месяцев после получения заявки извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.
3.10. Рассмотрение апелляций.
Апелляция подается в апелляционный совет федерального органа по сертификации по вопросам, связанным с деятельностью испытательных центров (лабораторий) или органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. О принятом решении извещается податель апелляции.