Процедуры сертификационных испытаний

На основании анализа существующей в Российской Федерации нормативной базы в области проведения сертификации, с учетом специфики выполнения исследований в области информационной безопасности определены следующие основные процедуры сертификации в зависимости от стадии сертификации, выполняемые испытательной лабораторией.

Начальная стадия

  1. Действие 1. Подготовка к сертификации

    1. Подтверждение факта полноты описания и документирования объекта сертификации.
    2. Подтверждение факта определения и документирования класса защищенности (категории) объекта сертификации.
    3. Подтверждение факта того, что потенциальные угрозы, которые могут использовать уязвимости объекта сертификации, были идентифицированы и документированы.
    4. Подтверждение факта того, что уязвимости объекта сертификации, которые могут быть использованы потенциальными источниками угроз, идентифицированы и документированы.
    5. Подтверждение факта того, что все средства (совокупность механизмов) защиты объекта сертификации (как запланированные, так и реализованные) были идентифицированы и документированы.
    6. Подтверждение факта того, что риск для объектов и субъектов защиты определен и документирован.
  2. Действие 2. Уведомление о сертификации и определение необходимых ресурсов

    1. Предоставление всем ответственным должностным лицам Заявителя сертификации информации о грядущей сертификации.
    2. Определение перечня работ, их трудоемкости, требуемых для сертификации ресурсов (в том числе согласование схем стендов выполнения испытаний), разработка и утверждение плана-графика выполнения работ.
  3. Действие 3. Анализ документации

    1. Рассмотрение документации с целью определения классификационных признаков объекта сертификации, формирование заключения о правильности классификации, формирование выводов о достаточности документирования классификационных признаков.
    2. Определение полноты и достаточности документирования совокупности механизмов защиты и необходимых организационных мер. Формирование заключения о выполнении требований ТТЗ в части информационной безопасности. Определение факта того, насколько уязвимости и связанные с ними риски являются допустимыми.
    3. Рассмотрение документации о тестировании (испытаниях) объекта сертификации. Формирование заключения о полноте и достаточности тестирования. Уточнение по результатам рассмотрения тестовой документации перечня и содержания работ по сертификации.
  4. Действие 4. Отбор и идентификации образцов объекта сертификации

    1. Осуществление в соответствии с результатами выполнения процедуры 2.2 действия 2 начальной стадии в части определения количества необходимых для проведения испытаний образцов и документом ПР 50.3.002-95 «Общий порядок обращения с образцами, используемыми при проведении обязательной сертификации продукции» отбора образов объекта испытаний и документирование результатов отбора.
    2. Идентификация отобранных образцов, проверка комплектности передаваемых материалов (в том числе документации, предъявляемой для проведения сертификационных испытаний), проверка правильности оформления сопроводительных документов, начиная от маркировки и упаковки образцов, соответствие описи и контрольных характеристик образов передаваемым материалам.
    3. Идентификация среды разработки программного обеспечения объекта сертификации, документирование результатов идентификации.
  5. Действие 5. Разработка и утверждение программно-методической документации

    1. Разработка программы и методик сертификационных испытаний.
    2. Создание стендов сертификационных испытаний.
    3. Отработка методик сертификационных испытаний на стендах сертификационных испытаний. Проведение предварительного тестирования объекта сертификации.
    4. Согласование программы и методик сертификационных испытаний с Заявителем сертификации.
    5. Утверждение программы и методик сертификационных испытаний в органе по сертификации.

Стадия 2. Сертификационные испытания

  1. Действие 1. Оценка средств (механизмов) защиты объекта сертификации

    1. Проведение испытаний объекта сертификации в соответствии с утвержденными программой и методиками. Документирование результатов испытаний.
    2. Оценка результатов сертификационных испытаний, определение факта того, насколько средства (механизмы) защиты корректно реализованы, штатно функционируют и дают желаемые результаты функционирования с учетом требований, предъявляемых к системе защиты.
    3. Проведение специальных мероприятий (проводимых или планируемых) для устранения недостатков средств (механизмов) защиты и уменьшение или уничтожение выявленных уязвимостей.
  2. Действие 2. Оформление отчетных материалов

    1. Оформление протоколов сертификационных испытаний.
    2. Оформление технического заключения по результатам сертификационных испытаний.
    3. Передача отчетных материалов в орган по сертификации для рассмотрения вопроса о выдаче сертификата соответствия.
    4. Устранение замечаний к отчетным материалам сертификационных испытаний по результатам их рассмотрения в органе по сертификации.

Разработка программы и методик сертификационных испытаний осуществляется в соответствии с ГОСТ РВ 15.211-2002.

Протоколы сертификационных испытаний и техническое заключение по результатам сертификационных испытаний оформляются в соответствии с ГОСТ Р ИСО/МЭК 17025-2000 «Общие требования к компетентности испытательных и калибровочных лабораторий».

Акт идентификации среды разработки программного обеспечения, Акт идентификации программного обеспечения оформляется в соответствии с правилами, принятыми в испытательной лаборатории.