37. Для проведения сертификационных испытаний испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации.
При сертификации партии средства, предназначенного для защиты информации от утечки по техническим каналам, для отбора образцов должна быть представлена вся партия образцов средства защиты информации.
При сертификации серийного производства средств защиты информации для осуществления отбора образцов должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов, которое необходимо отобрать для проведения сертификационных испытаний.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от утечки по техническим каналам, объем выборки образцов определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий отбирается один образец средства защиты информации.
Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.
(п. 37 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
37.1. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:
номер и дата решения о проведении сертификации;
дата осуществления отбора образца (образцов) средства защиты информации;
наименование средства защиты информации;
наименование испытательной лаборатории;
фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;
фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;
схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);
количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации;
количество отобранных образцов средства защиты информации с указанием их заводских номеров;
контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).
Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.
(п. 37.1 введен Приказом ФСТЭК России от 05.08.2021 N 121)
37.2. На отобранный образец (образцы) средства защиты информации заявитель представляет в испытательную лабораторию следующую документацию:
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.
В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.
(п. 37.2 введен Приказом ФСТЭК России от 05.08.2021 N 121)
38. Заявитель обязан предоставить возможность ознакомления испытательной лаборатории с образцом средства защиты информации и его производством.
(п. 38 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
39. В случае невозможности представления образца средства защиты информации в испытательную лабораторию по причине его массогабаритных характеристик или необходимости демонтажа, образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
40. Испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.
(п. 40 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
41. Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, испытательная лаборатория представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория в течение 20 календарных дней со дня отбора образца (образцов) разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
(см. текст в предыдущей редакции)
Программа и методика сертификационных испытаний средства защиты информации должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации.
43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.
К программе и методике сертификационных испытаний, представляемым на утверждение в орган по сертификации, прилагается следующая документация:
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иная конструкторская (программная) и эксплуатационная документация на средство защиты информации, предусмотренная требованиями по безопасности информации.
Орган по сертификации в течение 10 рабочих дней со дня получения программы и методики сертификационных испытаний рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
(см. текст в предыдущей редакции)
В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.
Испытательная лаборатория в течение 10 календарных дней со дня получения программы и методики сертификационных испытаний устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.
При повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.
Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 30 календарных дней со дня получения программы и методики сертификационных испытаний.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
(см. текст в предыдущей редакции)
Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.
(п. 43 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
44 - 45. Утратили силу. - Приказ ФСТЭК России от 05.08.2021 N 121.
(см. текст в предыдущей редакции)
46. Испытательная лаборатория проводит сертификационные испытания в соответствии с утвержденными органом по сертификации программой и методикой сертификационных испытаний средства защиты информации.
Орган по сертификации осуществляет контроль проведения сертификационных испытаний. Эксперт (эксперты) органа по сертификации может (могут) присутствовать при проведении сертификационных испытаний.
47. Сертификационные испытания включают:
проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации;
проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации;
проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации производства средства защиты информации).
При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
(см. текст в предыдущей редакции)
Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
48. По результатам испытаний и проверок оформляются протоколы испытаний (проверок), содержащие основание для проведения испытаний (номер решения о проведении сертификации), даты и места проведения испытаний, описание испытываемого средства защиты информации, описание проведенных испытаний, результаты испытаний по каждому испытываемому параметру или характеристике (функции безопасности информации) средства защиты информации, выводы о соответствии (несоответствии) средства защиты информации, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации.
Протоколы испытаний (проверок) подписываются специалистами испытательной лаборатории, проводившими сертификационные испытания.
49. По завершении испытаний и проверок, предусмотренных программой и методикой сертификационных испытаний средства защиты информации, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации, содержащее основание для проведения испытаний (номер решения о проведении сертификации), описание испытываемого средства защиты информации, требования, на соответствие которым проводились испытания, результаты испытаний, вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.
Техническое заключение утверждается руководителем испытательной лаборатории.
50. В случае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю.
Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации и проинформировать об этом испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний.
Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
51. Повторные сертификационные испытания средства защиты информации проводятся в соответствии с договором на проведение сертификационных испытаний в объеме, необходимом для проверки устранения выявленных при проведении сертификационных испытаний несоответствий средства защиты информации требованиям по безопасности информации.
По результатам повторных сертификационных испытаний оформляются протоколы повторных испытаний (проверок) и техническое заключение.
52. Материалы сертификационных испытаний средства защиты информации представляются испытательной лабораторией в орган по сертификации.
Материалы сертификационных испытаний средства защиты информации должны включать:
программу и методику сертификационных испытаний средства защиты информации, протоколы сертификационных испытаний средства защиты информации и техническое заключение;
протоколы повторных сертификационных испытаний средства защиты информации и техническое заключение (в случае проведения повторных сертификационных испытаний);
акт отбора образца (образцов) средства защиты информации;
технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений);
дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании);
задание по безопасности в двух экземплярах (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации в двух экземплярах;
дополнительную документацию на средство защиты информации, представленную заявителем при проведении сертификационных испытаний.
Все документы, за исключением дополнительной документации на средство защиты информации, представляются на бумажном носителе и в электронном виде. Дополнительная документация на средство защиты информации представляется только в электронном виде.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей