Что такое хиты (просмотры), хосты, посетители, визиты (сессии)

Обратите внимание, что в настоящий момент наш центр сертификации оформляет только идентификационное заключение по ФСТЭК в рамках экспортного контроля. Статья носит информационный характер!

Сертификат соответствия ФСТЭК – это дословно документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов. Попробуем это расшифровать на понятийном уровне, и определиться, с чем это связано и о чем идет речь.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю , в функции которой включен специальный контроль в некоторых областях. ФСТЭК в настоящее время подчинена Министерству обороны РФ. До августа 2004 года данная служба имела другое название и подчинение. Это была Государственная техническая комиссия при Президенте РФ. Одна из функций, которые определены ФСТЭК государством, является техническая защита информации.

К сфере деятельности сертификата соответствия ФСТЭК относятся средства защиты информации (СЗИ) без использования средств криптографии и не составляющих государственную тайну. Т.е обеспечение защиты информационной безопасности некриптографическими методами.

Наш центр сертификации в настоящий момент не оформляет данный разрешительный документ в отношении программного обеспечения. Обратитесь к нам для получения дополнительной информации .

Продукция, подлежащая сертификации ФСТЭК

К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:

  • антивирусные программы массового использования для реализации на российском рынке (центр «РеГОСТ» сертификат ФСТЭК на программное обеспечение не оформляет);
  • межсетевые экраны;
  • средства защиты системного и сетевого уровня (сканеры безопасности, средства мониторинга безопасности, средства защиты от несанкционированного доступа);
  • операционные системы;
  • системы управления базами данных;
  • прикладные информационные системы;
  • системы генерации паролей для доступа к информационным ресурсам;
  • электронные системы документооборота и другие.

В органах государственной власти, а также в государственных корпорациях могут применяться только программные средства, имеющие требуемые по закону лицензии и сертификаты безопасности информации, включая сертификаты соответствия ФСТЭК.

Основным законом, который регулирует сертификацию в сфере СЗИ является Постановление Правительства РФ № 608 «О сертификации СЗИ» , введенное в действие в 1995 году. Этот закон предписывает: обязательная сертификация и оформление сертификата соответствия ФСТЭК предусмотрено только для продукции, относящейся к средствам защиты информации для предохранения сведений, являющимися государственной тайной.

Для защиты от несанкционированного доступа к конфиденциальным данным не требуется обязательный сертификат соответствия ФСТЭК или Декларация соответствия на СЗИ. В этом случае оценка соответствия СЗИ является добровольной.

Система сертификации ФСТЭК

ФСТЭК (ранее Правительственная комиссия) создала Систему сертификации средств защиты информации по требованиям безопасности информации, которая имеет Свидетельство № Р0СС RU.0001.01БИ00 и зарегистрирована в Государственном реестре в 1995 году.

Органы сертификации данной системы производят оценку соответствия СЗИ на основе Руководящих документов (РД) «Защита от несанкционированного доступа к информации». Данные документы разработаны на разные группы продуктов, относящихся к программному, техническому обеспечению, к автоматизированным системам в целом.

Во всех документах имеется показатель — Оценочный уровень доверия (ОУД) . Он введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187. ОУД характеризует уровень доверия к практическому исполнению требований по защите информации.

Классы защищенности изделий

Для защиты информации, значимость которой определяется градацией «секретность/конфиденциальность», установлены следующие классы защищенности изделий Информационных Технологий (ИТ):

  • четвертый класс защищенности изделий ИТ является достаточным для защиты конфиденциальной информации;
  • третий класс защищенности используется для защиты информации с грифом «Секретно»;
  • второй класс — с грифом «Совершенно секретно»;
  • первый класс используется для защиты информации с грифом «Особой важности».

Сертификат соответствия ФСТЭК содержит сведения: на основе каких нормативных документов происходило изготовление продукции, содержащей СЗИ и соответствует ли конечный товар требованиям, изложенным в указанном нормативном акте. Здесь же указывается класс защищенности продукта по классификации уровня контроля отсутствия недекларированных возможностей.

Сертификат соответствия ФСТЭК также содержит сведения о сертификационных испытаниях, об экспертном заключении и о лаборатории, где проходили лабораторные исследования с указанием, когда и кем был выполнен инспекционный контроль данной сертификационной лаборатории.

Процедура получения сертификата соответствия ФСТЭК

Сертификационные лаборатории для оформления сертификата соответствия ФСТЭК могут проводить целый ряд различных испытаний:

  • на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
  • на соответствие требованиям Технических условий;
  • на соответствие функциональных возможностей, которые реально имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
  • на соответствие декларируемой безопасности исследуемого товара;
  • на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации будущего пользователя;
  • на соответствие требованиям стандартов предприятий, международным стандартам в сфере СЗИ;
  • исследование датчиков случайных чисел на соответствие криптографическим требованиям и другие исследования.

Федеральный Закон «О персональных данных»

Приказ ФСТЭК N 58 ввел в действие 5 февраля 2010 года Положение, определяющее способы и методы защиты информации о персональных данных в различных в информационных системах. В нем указано, что СЗИ должны пройти сертификацию в установленном порядке. Но такого документа, установленного Президентом или Правительством РФ, пока не издано.

Тем не менее поставщики информационных систем, которые могут попасть под действие ФЗ № 152 «О персональных данных», стремятся получить Сертификат соответствия ФСТЭК, который подтверждает, что заказчики информационной системы, имеющей данный документ, защищают информацию о персональных данных от несанкционированного доступа по требованиям закона.

Добровольный сертификат ФСТЭК

Добровольный сертификат на СЗИ можно оформить не только как сертификат соответствия ФСТЭК, но и обратиться в другие системы сертификации. К ним относятся:

  • Система добровольной сертификации «Газпромсерт». Данная система создана ОАО «Газпром» для нужд своей корпорации. В некоторых случаях при проведении тендеров на поставки требуется от участника получить сертификат соответствия в данной системе.
  • Система добровольной сертификации «АйТиСертифика» создана ассоциацией «ЕВРААС».
  • IT-инфраструктура ,
  • Сетевые технологии

    • Недавно прошёл аттестацию на соответствие требованиям ФСТЭК России . ЦОД Rucloud спроектирован в соответствии с категорией надёжности TIER III согласно стандарту TIA-942 (резервирование N+1 с уровнем отказоустойчивости 99,98%). Получение аттестата ФСТЭК стало логичным шагом, соответствующим политике RUVDS: обеспечение защиты данных клиентов остается одним из важнейших направлений нашего развития. Что такое ФСТЭК и зачем нужна сертификация? Что это означает для нас и наших клиентов? Об этом – ниже.


    Информационной безопасности в нынешнее неспокойное время уделяется особое внимание. Вопросы ИБ – важная часть задач, решаемых государственными учреждениями и организациями, коммерческими компаниями при разработке и эксплуатации информационных систем, баз персональных данных. В связи с этим, необходимо учитывать требования международного и российского законодательства к информационным системам, предназначенные для работы с подобной информацией.

    С каждым годом ужесточаются требования отечественных регуляторов: Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Министерства обороны, Службы внешней разведки, Федеральной службы охраны, Министерства связи и массовых коммуникаций, Банка России. Каждый из них действует в своей сфере компетенции, описанной законодательством.

    Если, например, ФСБ «отвечает» за криптографию, а ФСТЭК – «за всё остальное» (межсетевые экраны, антивирусы, системы предотвращения вторжений и т. п.).

    Сертификация ФСТЭК

    Почему сертификация ФСТЭК? Именно ФСТЭК России, помимо прочей деятельности, осуществляет следующие полномочия: «организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры».


    Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. В данном случае речь идет о РОСС RU.0001.01БИОО – «Системе сертификации средств защиты информации по требованиям безопасности информации».

    Существуют различные требования ФСТЭК по защите тех или иных видов конфиденциальной информации. По итогам процедуры подтверждения соответствия того или иного программного или программно-аппаратного средства требованиям по безопасности выдается сертификат. Или не выдается – зависит от результата.

    Оценка соответствия применяется во многих областях, и ИБ - не исключение. В зарубежной практике существует стандарт ISO IEC 15408:2009, специально предназначенный для описания критериев оценки ИТ с точки зрения информационной безопасности. В России действуют свои средств защиты.

    Безопасность ЦОД

    К программному обеспечению, которое используется для построения ключевых систем информационной инфраструктуры, и к самим этим системам предъявляются особые требования. Кроме того, в ЦОД размещаются ценные информационные активы компаний и организаций, защита которых должна обеспечиваться на должном уровне и с учетом угроз информационной безопасности, требований законодательства России и регуляторов.

    К ЦОД предъявляются требования , 21-го, 17-го, 31-го приказов ФСТЭК России, требования ФСБ России по криптографической защите информации, требования Банка России, ФЗ-256 «О безопасности объектов топливно-энергетического комплекса». И это только основные требования.

    Например, согласно 152-ФЗ «О персональных данных», системы обработки и хранения персональной информации россиян должны не только располагаться на территории нашего государства, но и соответствовать предъявляемым законодательством требованиям в области безопасности. Особенно это касается операторов коммерческих ЦОД, для которых сохранность и безопасность информации клиентов является одним из ключевых критериев оценки качества.

    С момента вступления в силу 152-ФЗ обработка персональных данных, включенных в информационные системы, осуществляется в соответствии с данным законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению.

    Согласно федеральному закону 149-ФЗ, все программное обеспечение в государственных, правоохранительных, финансовых и других структурах, обрабатывающих служебную информацию, подлежит сертификации ФСТЭК. Закон разрешает таким организациям использовать только сертифицированное ПО.

    Если в коммерческом, корпоративном или государственном ЦОД хранятся персональные данные, из требований законодательства в числе прочего вытекают также необходимые меры по их физической защите. Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных. Исходя из этого, выбирается класс защищенности ЦОД по нормам ФЗ и ФСТЭК и обеспечивается , в том числе и физическая. Наиболее сбалансированный способ обеспечить физическую безопасность ЦОД - реализовать многоуровневую защиту (с несколькими периметрами безопасности). Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности.

    Наряду с организационными мерами и документирование комплекс мер по защите персональных данных предполагает внедрение технических средств защиты. По сложившейся практике это круглосуточное присутствие в ЦОД и на его территории специально обученной вооруженной охраны, а также средства видеонаблюдения, охватывающие внешний периметр ЦОД и внутренние помещения.
    На организации, владеющие персональными данными граждан, накладывается ответственность и за сохранность этих данных. Необходимые меры физической защиты прямо или косвенно следуют также из других стандартов и нормативов – международных и национальных, таких как TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 и др.

    В отношении физической безопасности выделяют следующие требования: организация режима обеспечения безопасности помещений, контроль физического доступа к инфраструктуре, в том числе к помещениям и сооружениям, контроль вноса и выноса оборудования, включая машинные носители. Важное внимание уделяется несанкционированному доступу к информации. Правильное построение и документирование процедур контроля доступа позволяют соблюсти необходимые требования по обеспечению физической безопасности.

    Какие же именно системы и средства аттестованы в нашем дата-центре?

    Что аттестовано?

    В ЦОД RUVDS аттестованы автоматизированные рабочие места сотрудников (антивирусная защита, защита от взлома информационной системы), средства вывода (принтер), контроль доступа в помещение, средства защиты от прослушивания. В частности, аттестат системы контроля и управления доступом (СКУД) гарантирует надёжность физической безопасности серверов ЦОД.

    Все действия постоянно протоколируются, активность за рабочим местом проверяется на подозрительную и при необходимости, может быть заблокирована с оповещением ответственных лиц. Используется сертифицированное программное обеспечение, начиная с сертифицированной ФСТЭК ОС Windows и специализированного ПО для контроля доступа и фильтрации трафика до антивирусной защиты и гипервизора.

    Таким образом, защищается рабочее пространство, которое имеет прямое отношение к данным клиентов. Это делается средствами ОС на рабочих станциях, баз данных, специализированными защитными и антивирусными продуктами, межсетевыми экранами, средствами контроля доступа (СКУД), резервного копирования и восстановления, уничтожения данных и контроля удаления информации.

    Если клиент попросит вынести свою инфраструктуру на отдельную машину, можно полностью защитить и ее, к примеру, установить туда VipNet, SecretNet, какие-то специальные антивирусы. И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.

    Исключается этап аттестации ИТ-инфраструктуры заказчика, тем самым до 50% снижается объем требуемых трудозатрат и времени, значительно сокращается требуемый размер инвестиций, существенно облегчается процесс аттестации информационных систем.

    Что касается персональных данных, то наши серверы физически находятся в Российской Федерации, RUVDS имеет также лицензии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №137295 от 30.10.2015 («Телематические услуги связи») и №137296 от 30.10.2015 («Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации»), так что по поводу исполнения данного федерального закона вы можете быть спокойны.

    Для чего сертифицируют ЦОД

    Получение подтверждающих документов говорит о и предлагаемых им услуг. Сертификация, в первую очередь, подтверждает ответственность компании перед всеми клиентами (не только теми, кто работает с конфиденциальной информацией). Сам процесс лицензирования по нормативам ФСТЭК является длительным и довольно затратным. Его просто не могут себе позволить небольшие участники рынка или участники, заинтересованные в сиюминутной выгоде от проекта.

    Получение лицензии ФСТЭК - это инвестиции в стратегическое развитие компании. Лицензия ФСТЭК не только подтверждает компетентность компании для работы с персональными данными, но и дает возможность предлагать услуги компаниям, в том числе из государственного сектора, которые обязаны соблюдать требования по защите конфиденциальной информации, например, сами обладают лицензией ФСТЭК и передают нам как провайдеру услуг данные, которые подлежат защите по нормативам ФСТЭК.
    Помимо и резервирования на уровне дата-центра и сертификации ФСТЭК, RUVDS персональных данных и корпоративной информации третьих лиц. Кроме общего страхования, RUVDS совместно с AIG планирует предложить своим клиентам уникальные условия индивидуального страхования их деятельности и данных на компании.

    И, конечно, в нашем дата-центре ваши ресурсы будут : анализ сетевого трафика производится в режиме 24/7, а защита позволяет стабильно выдерживать атаки мощностью до 1500 Гбит/сек. Аналитическая система фильтрует входящий на ваш адрес трафик, удаляет вредоносную информацию, передавая на вашу сторону только легитимный безопасный трафик.

    Теги:

    • RuVDS
    • ФСТЭК
    • сертификация
    Добавить метки

    Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

    Испытательная лаборатория ЗАО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям руководящих документов Гостехкомиссии России и включает в себя проверки продукции и документации на нее.

    На железнодорожном транспорте, как правило, проводятся проверки программного обеспечения по требованиям руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

    Готовность Заявителя

    Готовность программной документации по ГОСТ ЕСПД (ЕСКД)
    Доступность исходных кодов ПО
    Наличие функционально завершенного ПО (стабильная версия ПО)
    *Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения

    Сбор информации

    Определение наименования и обозначения программного изделия
    Определение объема исходного кода, подлежащего анализу на отсутствие НДВ
    Адреса проведения испытаний ПО
    Технические и программные средства разработки ПО
    *НДВ – недекларированная возможность

    Передача информации

    Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
    *Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.

    Коммерческое предложение

    Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.

    Подготовка Заявки

    Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее во ФСТЭК России.
    Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
    Скачать бланк заявки на проведение сертификации можно ЗДЕСЬ.
    *ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации

    Получение Решения

    Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
    По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
    *Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний

    Заключение договора

    Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
    Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.

    Анализ документации

    Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
    Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
    Формуляр (ГОСТ 19.501-78)
    Спецификация (ГОСТ 19.202-78)
    Описание программы (ГОСТ 19.402-78)
    Описание применения (ГОСТ 19.502-78)
    Текст программы (ГОСТ 19.401-78)

    Разработка программы испытаний

    По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
    Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
    Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
    В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.

    Проведение испытаний

    После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
    анализ программной документации,
    фиксация исходного состояния ПО,
    испытания программного продукта (статические испытания исходного кода, динамический анализ)
    Осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)

    Результаты испытаний

    Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
    протоколы испытаний продукции,
    техническое заключение,
    акты отбора образца, сборки ПО и другие документы.
    Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.

    Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

    1. Подача заявки на сертификацию во ФСТЭК России.

      В заявке указываются:

      • наименования заявителя
      • адрес заявителя
      • наименование продукции, которую Заявитель хочет сертифицировать
      • перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.
      • схема сертификации (единичный образец продукции или серийное производство)
      • испытательная лаборатория, в которой Заявитель хотел бы провести испытания
      • дополнительные условия или требования

      Заявитель указывает в заявке, что он обязуется:

      • выполнять все условия сертификации;
      • обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
      • оплатить все расходы по проведению сертификации.

      Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!

      Пример заявки на сертификацию программного комплекса представлен на рисунке 5.1.

    2. Решение на проведение сертификационных испытаний

      ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

      • наименование Заявителя, адрес Заявителя;
      • наименование сертифицируемой продукции, код ОКП, ТУ;
      • схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);
      • назначенная испытательная лаборатория и ее адрес;
      • перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;
      • испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;
      • орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;
      • способ оплаты работ.

      Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заказчиком. Решение служит основанием для начала испытаний и "поводом" для заключения договора между Заявителем и испытательной лабораторией. Пример решения на проведение сертификации представлен на рисунке 5.2.

    3. Заключение договора с испытательной лабораторией

      В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

    4. Подготовка исходных данных.

      Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

      Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

      Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

    5. Сертификационные испытания.

      Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному "перезапуску", что повлияет на стоимость и сроки проведения работ.

    6. Оформление результатов испытаний

      Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии – Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

    7. Заключение договора с органом по сертификации

      Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

    8. Экспертиза результатов сертификационных испытаний

      Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

    9. Решение о выдаче сертификата.

      На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке 5.3.

    Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.



    СХОЖИЕ СТАТЬИ