Процедуры инспекционного контроля

Инспекционный контроль осуществляется с целью установления факта, что выпускаемые и находящиеся в эксплуатации изделия продолжают отвечать требованиям, на соответствие которым они были сертифицированы, и Держатели сертификата выполняют требования системы сертификации при производстве сертифицированного изделия в период действия сертификата. Результаты инспекционного контроля служат основанием для принятия Федеральным органом по сертификации СЗИ МО РФ соответствующих решений о возможности сохранения, продления, приостановки или отмены действия сертификата.

Инспекционный контроль может проводиться неоднократно на всем жизненном цикле сертифицированного изделия. Проведение инспекционного контроля может потребоваться вследствие внесения изменений в ранее сертифицированное изделие, примененных в нем систем (сервисов, механизмов) защиты, а также с целью продления срока действия сертификата. Проведение инспекционного контроля также может потребоваться при внесении изменений в технологический процесс изготовления изделия, а также с целью продления срока действия лицензии на применение знака соответствия.

Объектом инспекционного контроля являются изделие, конструкторская, программная и эксплуатационная документация, извещения о внесении изменений, документированные процедуры системы качества, документированные процедуры по производству изделия и испытаниям, жалобы и рекламации, использование ссылок на сертификат соответствия и применение знака соответствия, корректирующие действия по устранению несоответствий, выявленных при сертификации изделия и его производства.

Документирование текущих изменений сертифицированного изделия и оценка их влияния на безопасность изделия является неотъемлемым фактором поддержания актуальности сертификата соответствия.

Упорядоченный и дисциплинированный подход разработчика к управлению, контролю и документированию изменений сертифицированного изделия критичен для оценки соответствия изделия требованиям, подтвержденным сертификатом соответствия. К материалам инспекционного контроля прилагаются заверенные разработчиком сведения о реальных изменениях аппаратных, программных или программно-аппаратных средств, такие как номера версий или релизов, описания новых или модифицированных возможностей или функций и руководства по реализации безопасности. Также разработчику необходимо указать все изменения системной среды (при наличии), такие как модификации объектов размещения. Специалисты испытательной лаборатории используют данную информацию для определения необходимости и объема испытаний, выполняемых в рамках инспекционного контроля, а также при оценке потенциального влияния внесенных изменений на безопасность изделия. Форма для предоставления разработчиком исходных данных, принятая в нашей испытательной лаборатории, прилагается документ MS Word, 44 kb.

Перечень и последовательность процедур инспекционного контроля представлены на рисунке 1.

Процедуры, выполняемые комиссией по проведению инспекционного контроля

Схема 1. Процедуры, выполняемые комиссией по проведению инспекционного контроля

По результатам инспекционного контроля могут быть приняты следующие решения:

  • Подтверждение действия выданного ранее сертификата соответствия требованиям безопасности информации;
  • Разработка и проведение корректирующих мероприятий по устранению выявленных недостатков и нарушений при выпуске сертифицированного изделия и их последствий (при наличии недостатков и последствий, которые могут быть устранены);
  • Приостановление действия (на срок действия мероприятий) или отмена (аннулирование) сертификата соответствия (вследствие неудовлетворительных результатах инспекционного контроля).