Порядок проведения инспекционного контроля: различия между версиями

Общий порядок проведения инспекционного контроля(ИК) в Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.

Настоящий справочный материал содержит описание алгоритма проведения инспекционного контроля в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00(Федеральная служба по техническому и экспортному контролю (ФСТЭК России)).

Примечание: Необходимо отметить, что в зависимости от объекта ИК, характера внесенных изменений и т.п. порядок проведения ИК может отличаться от представленного, однако общий порядок такой.

Шаг 1. Обращение в Федеральный орган по сертификации о внесении изменений в сертифицированную продукцию

Вносить изменения в конструкцию (состав), комплектность сертифицированного СЗИ и документацию на него НЕ ДОПУСКАЕТСЯ. В этом случае Федеральный орган по сертификации (ФСТЭК) может приостановить или отменить действие Сертификата соответствия.

Если Заявителю необходимо внести изменения в конструкцию (состав) сертифицированного СЗИ и документацию на него, то он обязан письменно известить об этом Федеральный орган по сертификации, который после рассмотрения обращения Заявителя принимает Решение о проведении инспекционного контроля, и Испытательную лабораторию, которая проводила сертификационные испытания этой продукции.

Действия Заявителя: Заявитель оформляет письменное обращение в Федеральный орган по сертификации о необходимости внесения изменений в сертифицированную продукцию и документацию на нее, в котором указывается:

• наименование Заявителя, адрес Заявителя;
• наименование сертифицированной продукции, в которую Заявителю необходимо внести изменения, код ОКП, ТУ;
• номер Сертификата соответствия и дата его выдачи;
• наименование Испытательной лаборатории, которая проводила сертификационные испытания продукции, адрес;
• перечень замечаний к сертифицированной продукции;
• перечень и характеристики необходимых изменений сертифицированной продукции для устранения замечаний;
• дополнительные условия или сведения.

ПРИМЕЧАНИЕ:

• Рекомендуем в первую очередь известить Испытательную лабораторию о необходимости внесения изменений в сертифицированную продукцию и проведения инспекционного контроля.
• Рекомендуем согласовать письменное обращение в Федеральный орган по сертификации с Испытательной лабораторией.

Рекомендуемая структура документа с описанием изменений внесенных в Изделие:

• Утверждающие подписи руководства;
• Краткое обоснование внесения изменений в Изделие с указанием основной причины, желательно подкрепить решениями заказчика, приказами и т.п.;
• Перечень изменений внесенных в программные комплексы Изделия;
  • Перечень изменений внесенных в программные комплексы СЗИ;
  • Перечень изменений внесенных в функциональные программные комплексы;
  • Перечень изменений внесенных в общесистемное ПО ;
• Перечень изменений внесенных в технические средства Изделия;
• Перечень изменений внесенных в документацию на Изделие (наименование документа, порядок внесения изменения – замена документа, удаление документа, новый документ, их децимальные номера, архивные/инвентарные номера);
• Наименования носителей ПО – старые, новые, указание контрольных сумм старых новых носителей, их архивные/инвентарные номера);
• Перечень извещений о внесенных изменениях;
• Подписи исполнителей.

Шаг 2. Оформление Решения о проведении инспекционного контроля

Федеральный орган по сертификации после рассмотрения обращения Заявителя о необходимости внесения изменений в сертифицированную продукцию принимает Решение о проведении инспекционного контроля для подтверждения стабильности характеристик сертифицированной продукции, обеспечивающих выполнение требований по безопасности информации.

В Решении указывается объект инспекционного контроля, методические документы для проведения инспекционного контроля, Испытательная лаборатория, которая будет проводить инспекционный контроль, Орган по сертификации, который будет проводить экспертизу результатов испытаний, и вид отчетности по результатам инспекционного контроля.

Действия Федерального органа по сертификации (ФСТЭК России):

Федеральный орган по сертификации (ФСТЭК России), рассмотрев Заявку, в месячный срок после ее получения направляет Заявителю и в назначенные для проведения инспекционного контроля Орган по сертификации и Испытательную лабораторию РЕШЕНИЕ на проведение инспекционного контроля, в котором указывается:

• наименование Заявителя, адрес Заявителя;
• наименование сертифицированной продукции, в которую Заявителю необходимо внести изменения, код ОКП, ТУ;
• номер Сертификата соответствия и дата его выдачи;
• наименование Испытательной лаборатории, назначенной для проведения инспекционного контроля, адрес;
• перечень методических документов по которым должен проводиться инспекционный контроль;
• перечень отчетных материалов по результатам испытаний;
• Орган по сертификации, назначенный для проведения экспертизы результатов испытаний;
• перечень отчетных материалов по результатам инспекционного контроля;
• вариант оплаты работ.

ПРИМЕЧАНИЕ:

• Орган по сертификации и Испытательная лаборатория могут быть изменены по согласованию с Заявителем;
• Решение, как правило, не высылается почтой, за ним необходимо прислать курьера по предварительной записи;
• Решение является основанием для проведения Испытательной лабораторией инспекционного контроля.
• Как правило, заключение Договора между Заявителем и Испытательной лабораторией происходит после выпуска соответствующего Решения. В случае заключения Договора до выпуска Решения может возникнуть несоответствие объемов и типов работ/услуг, указанных в Договоре и Решении, что может повлечь за собой пересмотр сроков, стоимости и других условий Договора.

Шаг 3. Заключение Договора о проведении инспекционного контроля

На основании Решения Федерального органа по сертификации Заявитель заключает Договор с Испытательной лабораторией о проведении инспекционного контроля.

Действия Заявителя:

Заявитель в соответствии с Решением заключает ДОГОВОР с установленной Испытательной лабораторией о проведении инспекционного контроля продукции Заявителя, в котором оговариваются сроки, стоимость и порядок проведения контроля, а также прочие необходимые условия.

ПРИМЕЧАНИЕ:

· Испытательная лаборатория, как правило, представляет Заявителю коммерческое предложение с обоснованием стоимости и сроков проведения инспекционного контроля, а также проект Договора. · Как правило, в комплект договорных документов входят: Договор, Техническое задание на проведение работ/предоставление услуг, Ведомость исполнения, Протокол согласования договорной цены. · Перечень исходных данных, которые необходимы для проведения инспекционного контроля, предоставляемых Заявителем в Испытательную лабораторию, включается в Техническое задание к Договору.

Шаг 4. Оценка изменений, внесенных в сертифицированную продукцию.

Включает подготовку Программы и Методик инспекционного контроля. Испытательная лаборатория осуществляет отбор образцов сертифицированной продукции и их идентификацию, выявляет изменения, внесенные в сертифицированную продукцию, и оценивает их влияние на сертифицированные параметры. Для проведения контрольных испытаний Испытательная лаборатория подготавливает Программу и Методики инспекционного контроля.

Действия Испытательной лаборатории:

• Разрабатывает и представляет Заявителю перечень исходных данных, необходимых для проведения инспекционного контроля (как правило, включается в Техническое задание к Договору).
• Проводит отбор ОБРАЗЦОВ сертифицированной продукции и оформляет Акт отбора образцов.
• Проводит идентификацию ОБРАЗЦОВ сертифицированной продукции и оформляет Акт идентификации.
• Получает от Заявителя ИСХОДНЫЕ ДАННЫЕ, необходимые для проведения инспекционного контроля (как правило, по Акту приема-передачи).
• Выявляет изменения, внесенные в сертифицированную продукцию, оформляет Протоколы идентификации изменений.
• Оценивает влияние выявленных изменений на сертифицированные параметры продукции.
• Подготавливает ПРОГРАММУ И МЕТОДИКИ ИНСПЕКЦИОННОГО КОНТРОЛЯ.
• Представляет Заявителю ПРОГРАММУ И МЕТОДИКИ на согласование.
• Представляет ПРОГРАММУ И МЕТОДИКИ в Орган по сертификации на утверждение.

Действия Заявителя:

• Получает от Испытательной лаборатории перечень исходных данных, необходимых для проведения инспекционного контроля.
• Подготавливает и представляет в Испытательную лабораторию ИСХОДНЫЕ ДАННЫЕ в соответствии с утвержденным перечнем (Техническим заданием к Договору) и ОБРАЗЦЫ средств защиты в соответствии с Положением о сертификации, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по Программе и Методикам (как правило, по Акту приема-передачи).
• Согласовывает ПРОГРАММУ И МЕТОДИКИ ИНСПЕКЦИОННОГО КОНТРОЛЯ.

Действия Органа по сертификации:

• Получает ПРОГРАММУ И МЕТОДИКИ ИНСПЕКЦИОННОГО КОНТРОЛЯ.
• Проводит экспертизу и утверждает ПРОГРАММУ И МЕТОДИКИ.

ПРИМЕЧАНИЕ:

• Заявитель представляет в Испытательную лабораторию средства защиты информации в комплектации согласно Техническим условиям или Формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД.
• Заявителю необходимо учесть, что исходные данные, полученные Испытательной лабораторией, как правило, представляются в Орган по сертификации для проведения экспертизы отчетных материалов по результатам испытаний.
• Заявитель может ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в Испытательной лаборатории.
• Количество образцов, порядок их отбора и идентификации должен соответствовать нормативным и методическим документам.
• Как правило, образцы продукции Заявителя, прошедшие испытания, возвращаются Заявителю. Рекомендуется учесть в Договоре возмещение ущерба в случае порчи образцов Заявителя.

Шаг 5. Проведение испытаний

Включает оформление Протоколов испытаний и Технических заключений. (Возможно оформление Акта инспекционного контроля).

Испытательная лаборатория проводит по утвержденным Программе и Методикам инспекционного контроля испытания продукции, результаты которых оформляются в виде Протоколов испытаний и Технических заключений.

Действия Заявителя:

• В случае необходимости формирует и настраивает СТЕНД для проведения ИСПЫТАНИЙ продукции.
• Представляет документально оформленные изменения для объекта инспекционного контроля.

Действия Испытательной лаборатории:

• Осуществляет приемку СТЕНДА для проведения продукции и оформляет Акт готовности стенда.
• Проводит ИСПЫТАНИЯ средств защиты информации в соответствии с Решением Федерального органа по сертификации согласно утвержденным Программе и Методикам инспекционного контроля.
• Ведет журнал испытаний в процессе ИСПЫТАНИЙ продукции.
• Проводит анализ влияния выявленных изменений на сертифицированные параметры продукции.
• По результатам испытаний оформляет ПРОТОКОЛЫ и ТЕХНИЧЕСКИЕ ЗАКЛЮЧЕНИЯ и представляет их в Орган по сертификации, а копии Технических заключений – Заявителю.

ПРИМЕЧАНИЕ:

• В случае необходимости Заявитель подготавливает испытательный Стенд на собственной территории или участвует в формировании испытательного стенда в Испытательной лаборатории.
• Заявитель может ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в Испытательной лаборатории.
• Как правило, образцы продукции Заявителя, прошедшие испытания, возвращаются Заявителю. Рекомендуется учесть в Договоре возмещение ущерба в случае порчи образцов Заявителя.

Шаг 6. Заключение Договора о проведении экспертизы результатов испытаний

Для получения Экспертного заключения по результатам испытаний в рамках инспекционного контроля Испытательной лаборатории необходимо заключить на основании Решения Договор с Органом по сертификации на проведение экспертизы материалов испытаний.

Действия Испытательной лаборатории:

Испытательная лаборатория в соответствии с Решением заключает ДОГОВОР с Органом по сертификации на проведение экспертизы результатов испытаний, в котором оговариваются сроки, стоимость и порядок проведения экспертизы и прочие необходимые условия.

ПРИМЕЧАНИЕ:

• Стоимость проведения экспертизы отчетных материалов по результатам испытаний и сроки проведения экспертизы необходимо учитывать в условиях Договора между Заявителем и Испытательной лабораторией.
• Заявителю необходимо учесть, что исходные данные, полученные Испытательной лабораторией, как правило, представляются в Орган по сертификации для проведения экспертизы отчетных материалов по результатам испытаний.
• Срок проведения экспертизы составляет, как правило, один месяц.

Шаг 7. Экспертиза результатов испытаний

Включает оформление Экспертного заключения

Орган по сертификации в соответствии с Договором проводит экспертизу технических и эксплуатационных документов на продукцию и материалов испытаний в рамках инспекционного контроля. Результаты экспертизы оформляются в виде Экспертного заключения.

Действия Органа по сертификации:

Орган по сертификации проводит ЭКСПЕРТИЗУ результатов испытаний и оформляет ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ, которое вместе с Техническим заключением, материалами инспекционного контроля, комплектом необходимой технической и эксплуатационной документации на объект инспекционного контроля представляет в Федеральный орган по сертификации (ФСТЭК России) для принятия решения о подтверждении (перевыпуске) Сертификата соответствия.

ПРИМЕЧАНИЕ:

• Как правило, в случае отсутствия мотивированных замечаний от Испытательной лаборатории и/или Заявителя услуги по Договору считаются оказанными.

Шаг 8. Подтверждение Сертификата соответствия

По итогам анализа и обобщения результатов, полученных в ходе проведения инспекционного контроля, на основании Технических заключений Испытательной лаборатории и Экспертного заключения Органа по сертификации оформляется Акт по результатам инспекционного контроля, и Федеральный орган принимает решение о подтверждении Сертификата соответствия (или его перевыпуске).

Действия Федерального органа (ФСТЭК России):

Федеральный орган по сертификации (ФСТЭК России) после рассмотрения всех материалов инспекционного контроля в зависимости от существенности изменений, внесенных в сертифицированную продукцию, подтверждает или переоформляет СЕРТИФИКАТ, удостоверяющий, что продукция соответствует предъявляемым требованиям. ПРИМЕЧАНИЕ:

• При несоответствии результатов испытаний требованиям нормативных документов Федеральный орган принимает решение об отказе в выдаче Сертификата и направляет Заявителю мотивированное Заключение. В случае несогласия с отказом в выдаче Сертификата Заявитель имеет право обратиться в аппеляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.