На основании анализа существующей в Российской Федерации нормативной базы в области проведения сертификации, с учетом специфики выполнения исследований в области информационной безопасности определены следующие основные процедуры сертификации в зависимости от стадии сертификации, выполняемые испытательной лабораторией.
Начальная стадия
-
Действие 1. Подготовка к сертификации
-
Подтверждение факта полноты описания и документирования объекта сертификации.
-
Подтверждение факта определения и документирования класса защищенности (категории) объекта сертификации.
-
Подтверждение факта того, что потенциальные угрозы, которые могут использовать уязвимости объекта сертификации, были идентифицированы и документированы.
-
Подтверждение факта того, что уязвимости объекта сертификации, которые могут быть использованы потенциальными источниками угроз, идентифицированы и документированы.
-
Подтверждение факта того, что все средства (совокупность механизмов) защиты объекта сертификации (как запланированные, так и реализованные) были идентифицированы и документированы.
-
Подтверждение факта того, что риск для объектов и субъектов защиты определен и документирован.
-
Действие 2. Уведомление о сертификации и определение необходимых ресурсов
-
Предоставление всем ответственным должностным лицам Заявителя сертификации информации о грядущей сертификации.
-
Определение перечня работ, их трудоемкости, требуемых для сертификации ресурсов (в том числе согласование схем стендов выполнения испытаний), разработка и утверждение плана-графика выполнения работ.
-
Действие 3. Анализ документации
-
Рассмотрение документации с целью определения классификационных признаков объекта сертификации, формирование заключения о правильности классификации, формирование выводов о достаточности документирования классификационных признаков.
-
Определение полноты и достаточности документирования совокупности механизмов защиты и необходимых организационных мер. Формирование заключения о выполнении требований ТТЗ в части информационной безопасности. Определение факта того, насколько уязвимости и связанные с ними риски являются допустимыми.
-
Рассмотрение документации о тестировании (испытаниях) объекта сертификации. Формирование заключения о полноте и достаточности тестирования. Уточнение по результатам рассмотрения тестовой документации перечня и содержания работ по сертификации.
-
Действие 4. Отбор и идентификации образцов объекта сертификации
-
Осуществление в соответствии с результатами выполнения процедуры 2.2 действия 2 начальной стадии в части определения количества необходимых для проведения испытаний образцов и документом ПР 50.3.002-95 «Общий порядок обращения с образцами, используемыми при проведении обязательной сертификации продукции» отбора образов объекта испытаний и документирование результатов отбора.
-
Идентификация отобранных образцов, проверка комплектности передаваемых материалов (в том числе документации, предъявляемой для проведения сертификационных испытаний), проверка правильности оформления сопроводительных документов, начиная от маркировки и упаковки образцов, соответствие описи и контрольных характеристик образов передаваемым материалам.
-
Идентификация среды разработки программного обеспечения объекта сертификации, документирование результатов идентификации.
-
Действие 5. Разработка и утверждение программно-методической документации
-
Разработка программы и методик сертификационных испытаний.
-
Создание стендов сертификационных испытаний.
-
Отработка методик сертификационных испытаний на стендах сертификационных испытаний. Проведение предварительного тестирования объекта сертификации.
-
Согласование программы и методик сертификационных испытаний с Заявителем сертификации.
-
Утверждение программы и методик сертификационных испытаний в органе по сертификации.
Стадия 2. Сертификационные испытания
-
Действие 1. Оценка средств (механизмов) защиты объекта сертификации
-
Проведение испытаний объекта сертификации в соответствии с утвержденными программой и методиками. Документирование результатов испытаний.
-
Оценка результатов сертификационных испытаний, определение факта того, насколько средства (механизмы) защиты корректно реализованы, штатно функционируют и дают желаемые результаты функционирования с учетом требований, предъявляемых к системе защиты.
-
Проведение специальных мероприятий (проводимых или планируемых) для устранения недостатков средств (механизмов) защиты и уменьшение или уничтожение выявленных уязвимостей.
-
Действие 2. Оформление отчетных материалов
-
Оформление протоколов сертификационных испытаний.
-
Оформление технического заключения по результатам сертификационных испытаний.
-
Передача отчетных материалов в орган по сертификации для рассмотрения вопроса о выдаче сертификата соответствия.
-
Устранение замечаний к отчетным материалам сертификационных испытаний по результатам их рассмотрения в органе по сертификации.
Разработка программы и методик сертификационных испытаний осуществляется в соответствии с ГОСТ РВ 15.211-2002.
Протоколы сертификационных испытаний и техническое заключение по результатам сертификационных испытаний оформляются в соответствии с ГОСТ Р ИСО/МЭК 17025-2000 «Общие требования к компетентности испытательных и калибровочных лабораторий».
Акт идентификации среды разработки программного обеспечения, Акт идентификации программного обеспечения оформляется в соответствии с правилами, принятыми в испытательной лаборатории.