Под сертификацией изделия по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что изделие соответствует требованиям государственных стандартов или иных нормативных и методических документов по безопасности информации, утвержденных государственными органами Российской Федерации.
В соответствии с ГОСТ 16504-81 «Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения» сертификационные испытания являются контрольными испытаниями.
Виды испытаний, проводимых в системе сертификации средств защиты информации Министерства обороны Российской Федерации (СЗИ МО РФ):
Сертификационные испытания изделия проводятся на основании Решения Восьмого управления Генерального штаба ВС РФ, в котором указываются виды испытаний и классы (уровни) защищенности руководящих документов, соответствие которым должно быть подтверждено в процессе сертификационных испытаний.
Заявка на проведение сертификационных испытаний с прилагаемыми к ней сведениями по форме, установленной Восьмым управлением Генерального штаба ВС РФ, подлежит согласованию с государственным заказчиком изделия. В случае подачи заявки на сертификацию изделия, разработанного в инициативном порядке, заявка подписывается генеральным директором предприятия-заявителя. При подаче заявки на сертификацию изделия, разработанного иным предприятием (юридическим лицом), ее подписывает как предприятие-заявитель сертификационных испытаний, так и предприятие-разработчик изделия. Заявка оформляется на фирменном бланке предприятия-заявителя.
Важным вопросом в процессе сертификационных испытаний является вопрос о степени готовности изделия, предъявляемого для проведения испытаний. Правила системы сертификации средств защиты информации Министерства обороны Российской Федерации устанавливают, что техническая и эксплуатационная документация на серийные изделия, подлежащие сертификации, должна иметь литеру «О1» по единой системе конструкторской документации. На наш взгляд, заявку на проведение сертификационных испытаний автоматизированных систем и комплексов средств автоматизации целесообразно подавать при наличии у документации литеры «О». Ознакомление испытательной лаборатории с изделием, подлежащим сертификации, на более ранних этапах жизненного цикла позволяет в случае необходимости внести необходимые коррективы и снизить риск отрицательного результата испытаний до минимума. В целом такой подход обеспечивает сокращение стоимости работ по проведению сертификационных испытаний, а также сокращение времени выполнения ОКР за счет совмещения ряда испытаний с государственными (межведомственными) испытаниями. Однако, подобное совмещение испытаний должно быть утверждено Восьмым управлением Генерального штаба ВС РФ. Заявку на сертификацию программных изделий целесообразно подавать при наличии у документации литеры "О1".
Требуемый подтверждения в процессе сертификации класс (уровень) защищенности изделия должен определяться в соответствии с требованиями тактико-технического задания на ОКР по разработке изделия. Возможность проведения сертификации изделия на соответствие Заданию по безопасности или Профилю защиты должна быть определена государственным заказчиком ОКР и явно указана в тактико-техническом задании.
При подаче заявки на сертификацию изделия, разработанного в инициативном порядке, требования безопасности устанавливаются исходя из назначения и планируемой области применения изделия.
Перечень документации, предъявляемой Заявителем в испытательную лабораторию для целей сертификации изделия, определяется нормативными документами системы сертификации вне зависимости от того, разработано изделие в рамках ОКР или в процессе инициативной разработки. При отсутствии отдельных документов, однозначно требуемых нормативными документами системы сертификации, по согласованию с Восьмым управлением Генерального штаба ВС РФ в качестве требуемых документов (описаний) допускается засчитывать сведения, содержащиеся в иной документации, перечень которой определяется справкой Главного конструктора (прилагается к Протоколам сертификационных испытаний).
Иногда в процессе сертификации из-за специфики изделия возникает необходимость интерпретации (уточнения, детализации, разъяснения реализации) требований безопасности информации. В этом случае на подготовительном этапе сертификационных испытаний по согласованию с Восьмым управлением Генерального штаба ВС РФ и государственным заказчиком может быть разработан отдельный документ, описывающий интерпретацию требований. В таком документе приводятся необходимые разъяснения для каждого требования руководящего документа, определенного в соответствии с установленным тактико-техническим заданием на ОКР классом (уровнем) защищенности. Данный документ подлежит обязательному утверждению у государственного заказчика ОКР.
В 2011 году в процедуру сертификационных испытаний были внесены существенные изменения, связанные с введением двух этапов работ испытательных лабораторий. На первом этапе работ испытательной лабораторией осуществляется отбор и идентификация образца сертифицируемого изделия, а также разрабатываются и предоставляются в Восьмое управление Генерального штаба ВС РФ предложения по видам и объему испытаний. На втором этапе работ осуществляется проведение сертификационных испытаний по утвержденным Начальником Восьмого управления Генерального штаба ВС РФ программе и методикам испытаний. Для программных изделий сохранено проведение сертификационных испытаний по Решениям Восьмого управления Генерального штаба ВС РФ, в которых сразу на основании рассмотрения заявки на сертификацию и прилагаемых к ней сведений указываются виды испытаний и классы (уровни) защищенности руководящих документов.
ООО «М-СТАНДАРТ холдинг» разработана и утверждена начальником Восьмого управления Генерального штаба ВС РФ "Типовая методика отбора и идентификации образцов изделий при проведении сертификационных испытаний по требованиям безопасности информации и инспекционном контроле" № 51ИЛ/ТМ-4. Указанная типовая методика определяет порядок, правила и методы отбора и идентификации образца (образцов) изделий, устанавливает формы актом отбора и идентификации, а также форму предложений по видам и объему проводимых испытаний.
Сертификационные испытания проводятся на изготовленных и принятых представительством заказчика изделиях. В случае заявления на сертификацию нескольких исполнений изделия, отбор и идентификация осуществляются в отношении каждого исполнения изделия.
Сотрудниками ООО «М-СТАНДАРТ холдинг» подготовлены методические рекомендации по предъявлению изделий на сертификацию в системе сертификации средств защиты информации Министерства обороны Российской Федерации (СЗИ МО РФ).
Важным вопросом проведения сертификационных испытаний является создание (предоставление заявителем) стендов сертификационных испытаний. Применение на стендах сертификационных испытаний имитаторов взаимодействующих систем требует подтверждения факта того, что реализуемая ими функциональность соответствует функциональности имитируемой системы. В отдельных случаях перед предъявлением на утверждение программ и методик сертификационных испытаний от испытательной лаборатории требуется согласование с Восьмым управлением Генерального штаба ВС РФ схем и состава технических и программных средств стендов сертификационных испытаний.
Программы и методики сертификационных испытаний перед их утверждением проходят экспертизу, целью которой является оценка их полноты, достаточности и соответствия требованиям руководящих документов. После получения положительных экспертных заключений происходит их утверждение. Экспертизу также проходят отчетные материалы сертификационных испытаний. С целью сокращения трудоемкости выполняемых сертификационных испытаний, ООО "М-СТАНДАРТ холдинг" в своей практической деятельности применяет следующие Типовые методики сертификационных испытаний, утвержденные начальником Восьмого управления Генерального штаба ВС РФ:
При необходимости получения предприятием-заявителем отдельных сертификатов на составные части сертифицируемого изделия, данный факт и рекомендации по классам (уровням) защищенности, отражаемым в сертификате соответствия, испытательная лаборатория должна указать в техническом заключении по результатам сертификационных испытаний.
Основными этапами работ по проведению сертификационных испытаний являются следующие этапы:
После завершения сертификационных испытаний испытательной лабораторией в числе отчетных материалов формируется техническое заключение, в котором отражаются сведения об объеме выполненных испытаний, полученные результаты отдельных видов испытаний, а также соответствующие выводы и рекомендации.
На основании рассмотрения комплекта отчетной документации сертификационных испытаний, Восьмым управлением Генерального штаба ВС РФ принимается решение о выдаче (отказе в выдаче) сертификата соответствия, знака соответствия.
