Курс лекций для специалистов по информационной безопасности

1.

Курс лекций для специалистов по
информационной безопасности
1/37

2.

2/37

3.

Международные
стандарты в
области
информационной
безопасности
Нормативнометодические и
методические
документы
Нормативноправовая база по
защите
информации в
РФ
Нормативные
правовые акты
3/37
Стандарты РФ
соответствующие
международным
стандартам в
области
информационной
безопасности

4.

Нормативно-методический документ – документ,
содержащий, наряду с правовыми нормами, методику
осуществления определенной деятельности.
рекомендации
Распространенные виды
нормативно-методических актов,
применяемых компаниями в
процессе осуществления своей
деятельности
разъяснения
методики
4/37

5.

Основные виды нормативнометодических документов в сфере ИБ
РФ
•Приказ
•Положение
•Руководящий документ
•Методические рекомендации
•Инструкция
•Правила
•Требования
•Информационное сообщение
5/37

6.

ТИПОВЫЕ ПОЛОЖЕНИЯ ФСТЭК
«Положение по аттестации объектов информатизации по требованиям безопасности
информации», утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.
«Типовое положение об органе по аттестации объектов информатизации по
требованиям безопасности информации» (утв. Приказом Государственной технической
комиссии при Президенте РФ от 5 января 1996 г. № 3).
Приказ ФСТЭК России от 03.04.2018 N 55 «Об утверждении Положения о системе
сертификации средств защиты информации» (Зарегистрировано в Минюсте России
11.05.2018 N 51063) ред. от 05.08.2021
«Типовое положение об органе по сертификации средств защиты информации по
требованиям безопасности информации» (утв. Приказом Государственной технической
комиссии при Президенте РФ от 5 января 1996 г. № 3).
«Положение об аккредитации испытательных лабораторий и органов по сертификации
средств защиты информации по требованиям безопасности информации»,
утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.
«Типовое положение об испытательной лаборатории», утвержденное председателем
Гостехкомиссии России 25 ноября 1994 г.
6/37

7.

«Положение по аттестации объектов информатизации
по требованиям безопасности информации»,
утвержденное председателем Гостехкомиссии России
25 ноября 1994 г.
Положение устанавливает основные принципы, организационную
структуру системы аттестации объектов информатизации по
требованиям безопасности информации, порядок проведения
аттестации, а также контроля и надзора за аттестацией и
эксплуатацией аттестованных объектов информатизации
7/37

8.

«Положение по аттестации объектов информатизации
по требованиям безопасности информации»,
утвержденное председателем Гостехкомиссии России
25 ноября 1994 г.
Документ не применяется с 1 июня 2021 года при организации и
проведении работ по аттестации объектов информатизации,
обрабатывающих информацию, содержащую сведения,
составляющие государственную тайну (информационное
сообщение ФСТЭК России от 29.04.2021 N 240/24/2087).
8/37

9.

Термины, определения, правовые отношения
Аттестация объектов информатизации понимается
комплекс организационно-технических мероприятий, в
результате которых посредством специального документа
- "Аттестата соответствия" подтверждается, что объект
соответствует требованиям стандартов или иных
нормативно-технических документов по безопасности
информации, утвержденных ФСТЭК.
Наличие на объекте информатизации действующего "Аттестата
соответствия" дает право на обработку информации с уровнем
секретности (конфиденциальности) и на период времени,
установленными в "Аттестате соответствия".
9/37

10.

10/37

11.

Аттестация проводится органом по аттестации в установленном
настоящим Положением порядке в соответствии со схемой,
выбираемой этим органом на этапе подготовки к аттестации из
следующего основного перечня работ:
• анализ исходных данных по аттестуемому объекту информатизации;
• предварительное ознакомление с аттестуемым объектом информатизации;
• проведение экспертного обследования объекта информатизации и анализ
разработанной документации по защите информации на этом объекте с точки зрения ее
соответствия требованиям нормативной и методической документации;
• проведение испытаний отдельных средств и систем защиты информации на аттестуемом
объекте информатизации с помощью специальной контрольной аппаратуры и тестовых
средств;
• проведение испытаний отдельных средств и систем защиты информации в
испытательных центрах (лабораториях) по сертификации средств защиты информации
по требованиям безопасности информации;
• проведение комплексных аттестационных испытаний объекта информатизации в
реальных условиях эксплуатации;
• анализ результатов экспертного обследования и комплексных аттестационных
испытаний объекта информатизации и утверждение заключения по результатам
аттестации.
11/37

12.

Обязательной
аттестации
подлежат
объекты
информатизации,
предназначенные для обработки информации, составляющей государственную
тайну (не применяется с 1 июня 2021), управления экологически опасными
объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная
аттестация) и может осуществляться по инициативе заказчика или владельца
объекта информатизации.
При аттестации объекта информатизации подтверждается его соответствие
требованиям по защите информации от несанкционированного доступа, в том
числе от компьютерных вирусов, от утечки за счет побочных электромагнитных
излучений и наводок при специальных воздействиях на объект
(высокочастотное навязывание и облучение, электромагнитное и радиационное
воздействие), от утечки или воздействия на нее за счет специальных устройств,
встроенных в объекты информатизации.
Аттестация
предусматривает
комплексную
проверку
(аттестационные
испытания) защищаемого объекта информатизации в реальных условиях
эксплуатации с целью оценки соответствия применяемого комплекса мер и
средств защиты требуемому уровню безопасности информации.
12/37

13.

Аттестация информационной
системы и ввод ее в
эксплуатацию
Результаты аттестационных испытаний
Заключение о соответствии
ИС требованиям о защите
информации
Протоколы аттестационных
испытаний
Аттестат соответствия в случае
положительных результатов
аттестационных испытаний
Ввод в действие ИС осуществляется с
учетом ГОСТ 34.601 и при наличии
аттестата соответствия
Повторная аттестация
информационной
системы
В случае окончания
срока действия аттестата
соответствия
13/37
ИЛИ
Повышения класса
защищенности
информационной системы

14.

Порядок проведения аттестации объектов информатизации
по требованиям безопасности информации :
подача и рассмотрение
заявки на аттестацию
предварительное
ознакомление с
аттестуемым объектом
испытание
несертифицированных
средств и систем защиты
информации,
используемых на
аттестуемом объекте (при
необходимости)
проведение
аттестационных
испытаний объекта
информатизации
заключение договоров на
аттестацию
разработка программы и
методики аттестационных
испытаний
оформление,
регистрация и выдача
"Аттестата соответствия"
14/37
осуществление
государственного
контроля и надзора,
инспекционного контроля
за проведением
аттестации и
эксплуатацией
аттестованных объектов
информатизации
рассмотрение апелляций

15.

Что следует знать:
"Аттестат соответствия" выдается владельцу аттестованного объекта
информатизации органом по аттестации на период, в течение которого
обеспечивается неизменность условий функционирования объекта
информатизации и технологии обработки защищаемой информации,
могущих повлиять на характеристики, определяющие безопасность
информации (состав и структура технических средств, условия
размещения, используемое программное обеспечение, режимы обработки
информации, средства и меры защиты), но не более чем на 3 года.
При несоответствии аттестуемого объекта требованиям по безопасности
информации и невозможности оперативно устранить отмеченные
аттестационной комиссией недостатки, орган по аттестации принимает
решение об отказе в выдаче "Аттестата соответствия".
При этом может быть предложен срок повторной аттестации при условии
устранения недостатков.
При наличии замечаний непринципиального характера "Аттестат
соответствия" может быть выдан после проверки устранения этих
замечаний.
15/37

16.

ТИПОВОЕ ПОЛОЖЕНИЕ
ОБ ОРГАНЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
утвержденное председателем Гостехкомиссии России
5 января 1996 г.
Устанавливает общие требования к органу по аттестации объектов
информатизации по требованиям безопасности информации, его
функции, права, обязанности и ответственность.
16/37

17.

Что следует знать:
• Орган по аттестации является составной частью организационной
структуры единой системы обязательной сертификации продукции
и аттестации объектов информатики по требованиям безопасности
информации;
• Орган по аттестации аккредитуется ФСТЭК;
• Деятельность органа по аттестации, аккредитованного ФСТЭК
осуществляется на основе лицензии на определенные виды
деятельности и Аттестата аккредитацию.
• Основными задачами органа по аттестации являются организация и
проведение аттестации объектов информатики по требованиям
безопасности информации, а также контроль за состоянием и
эксплуатацией аттестованных этим органом объектов информатики.
17/37

18.

формирует и поддерживает в актуальном состоянии фонд НМД, используемой при аттестации
конкретных типов ОИ
рассматривает заявки на аттестацию ОИ, планирует работы по аттестации ОИ, доводит сроки
проведения аттестации до заявителей
проводит анализ исходных данных по аттестуемым ОИ и определяет схему аттестации
организует работы по аттестации ОИ
Орган по
аттестации
осуществляет
следующие
функции
разрабатывает программу, а при необходимости и методики аттестационных испытаний
формирует и командирует аттестационные комиссии
рассматривает результаты аттестационных испытаний ОИ, утверждает заключение по результатам
аттестации и выдает заявителю "Аттестат соответствия"
проверяет соответствие реальных условий эксплуатации объекта и технологии обработки
защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия"
отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия"
ведет информационную базу аттестованных этим органом ОИ
осуществляет взаимодействие с ФСТЭК и информирует их о своей деятельности в области
аттестации
18/37

19.

привлекать в порядке, определяемом в Положении о конкретном органе, для работы в
аттестационных комиссиях наиболее компетентных специалистов
устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные
условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе
Орган по
аттестации
имеет право:
отказывать заявителю в аттестации объекта информатики, указав при этом мотивы отказа и
конкретные рекомендации по проведению аттестации
участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта
информатики
лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем
условий функционирования объекта информатики, технологии обработки защищаемой информации
и требований по безопасности информации
19/37

20.

соблюдать в полном объеме все правила и порядок сертификации, установленные
основополагающими документами системы сертификации и аттестации по требованиям
безопасности информации, организационно-методическими документами данной Системы и другими
документами, предъявляемыми при аккредитации
выдавать или признавать сертификаты соответствия на ту продукцию, для которой доказано ее
соответствие конкретным нормативным документам по правилам данной Системы
при введении в нормативные документы на продукцию новой нормы на ранее сертифицированное
требование информировать изготовителя продукции в течение месяца о сроках и порядке ее
введения, а также оказывать ему содействие в своевременном проведении работы по сертификации
продукции в соответствии с новыми нормами
Орган по
аттестации
обязан
информировать Гостехкомиссию России о всех изменениях, которые могут привести к
необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия
лицензии
вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об
этом Гостехкомиссию России
в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта
информатики
обеспечивать полноту и объективность проведения аттестации объекта информатики
обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении
аттестации объекта информатики, соблюдение авторского права
вести информационную базу аттестованных этим органом объектов информатики
представлять в государственные органы по сертификации и аттестации информацию о результатах
аттестации, а также "Аттестаты соответствия" для их регистрации
допускать в установленном порядке представителей контрольных органов для осуществления
надзора за аттестацией объектов информатики
20/37

21.

соответствие проведенных им аттестационных испытаний объекта информатики требованиям
стандартов и иных нормативных и методических документов по безопасности информации, а
также достоверность и объективность их результатов.
полноту и качество выполнения функций и обязанностей, возложенных на него.
Орган по
аттестации несет
ответственность
за:
формирование и квалификацию аттестационных комиссий.
соблюдение требований нормативных и методических документов, предъявляемых к порядку
проведения аттестации.
соблюдение установленных сроков и условий проведения аттестации, зафиксированных в
договоре с заявителем.
обеспечение сохранности государственной тайны и коммерческой тайны заявителя.
21/37

22.

Приказ ФСТЭК России от 03.04.2018 N 55
«Об утверждении Положения
о системе сертификации средств защиты информации»
(Зарегистрировано в Минюсте России 11.05.2018 N
51063) ред. от 05.08.2021
Утверждает прилагаемое Положение о системе сертификации средств защиты
информации, которое определяет состав участников системы сертификации
средств защиты информации, а также организацию и порядок сертификации
продукции, используемой в целях защиты сведений, составляющих
государственную тайну или относимых к охраняемой в соответствии с
законодательством Российской Федерации иной информации ограниченного
доступа, являющейся государственным информационным ресурсом и (или)
персональными данными, продукции, сведения о которой составляют
государственную тайну, подлежащей сертификации в рамках указанной
системы.
22/37

23.

Термины, определения, правовые отношения
Сертификация
средств
защиты
информации
деятельность по подтверждению характеристик средств
защиты
информации
требованиям
государственных
стандартов или иных нормативных документов по защите
информации, утвержденных ФСТЭК России.
23/37

24.

Сертификации в системе
сертификации ФСТЭК России
подлежат
Средства
противодействия
иностранным
техническим
разведкам, а
также средства
контроля
эффективности
противодействия
иностранным
техническим
разведкам
24/37
Средства
технической
защиты
информации,
включая
средства, в
которых они
реализованы, а
также средства
контроля
эффективности
технической
защиты
информации
Средства
обеспечения
безопасности
информационны
х технологий,
включая
защищенные
средства
обработки
информации
Сертификация средств
защиты информации
иностранного
производства, в
отношении которых
нормативными правовыми
актами Российской
Федерации установлены
ограничения или запреты
на их использование в
Российской Федерации, в
системе сертификации
ФСТЭК России не
осуществляется.

25.

Участниками
системы
сертификации
ФСТЭК России
являются
25/37
Федеральный орган по
сертификации (ФСТЭК)
ФСТЭК организует проведение
сертификации СЗИ, разрабатывает и
устанавливает требования по
безопасности информации к СЗИ,
выполняет функции федерального
органа по сертификации
Организации,
аккредитованные ФСТЭК
России в качестве органа по
сертификации
Осуществляют сертификацию СЗИ,
оформляют сертификаты
соответствия СЗИ требованиям по
безопасности информации
Организации,
аккредитованные ФСТЭК
России в качестве
испытательной лаборатории
Проводят сертификационные
испытания СЗИ и по их результатам
оформляют технические заключения
и протоколы
Изготовители средств
защиты информации
Разрабатывают и (или) производят
средства защиты информации в
соответствии с требованиями по
безопасности информации

26.

26/37

27.

Сертификация средств защиты информации
осуществляется по следующим схемам:
27/37
для единичного
образца
средства защиты
информации
проведение испытаний
образца средства защиты
информации и проверки
организации его технической
поддержки
для партии
средства защиты
информации
проведение испытаний
выборки образцов средства
защиты информации и
проверки организации его
технической поддержки
для серийного
производства
средства защиты
информации
проведение испытаний
выборки образцов средства
защиты информации и
проверки организации его
производства и технической
поддержки

28.

Порядок сертификации средств защиты информации
28/37

29.

Что следует знать:
•Срок действия сертификата соответствия не может превышать 5 лет
•Сертификат соответствия выдается на срок, указанный в заявке на сертификацию
•Для единичного образца или партии средства защиты информации срок действия
сертификата соответствия не устанавливается.
•Серийно
производимое
средство
защиты
информации
считается
сертифицированным, если оно произведено в период срока действия сертификата
соответствия на его серийное производство, соответствует требованиям по
безопасности информации и изготовитель и (или) заявитель осуществляют его
техническую поддержку.
29/37

30.

30/37

31.

31/37

32.

подача заявки на сертификацию
принятие решения о проведении сертификации средства защиты
информации
сертификационные испытания средства защиты информации
оформление экспертного заключения по результатам сертификации
СЗИ и проекта сертификата соответствия
выдача (отказ в выдаче) сертификата соответствия
Сертификация средства
защиты информации
включает следующие
процедуры
предоставление дубликата сертификата соответствия
маркирование средств защиты информации
внесение изменений в сертифицированное средство защиты
информации
переоформление сертификата соответствия
продление срока действия сертификата соответствия
приостановление действия сертификата соответствия
прекращение действия сертификата соответствия
32/37

33.

ТИПОВОЕ ПОЛОЖЕНИЕ
ОБ ОРГАНЕ ПО СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
утвержденное председателем Гостехкомиссии России
5 января 1996 г.
Устанавливает общие требования к органу по сертификации средств
обработки и передачи информации, средств защиты и контроля
защищенности
информации
по
требованиям
безопасности
информации, его функции, права, обязанности и ответственность,
правила оплаты работ, выполняемых органом по сертификации.
33/37

34.

сертифицирует продукцию, выдает сертификаты и лицензии на применение
знака соответствия, регистрирует их в государственном реестре системы
участвует в аккредитации испытательных центров (лабораторий)
осуществляет инспекционный контроль за продукцией, надзор за деятельностью
испытательных центров
принимает участие в аттестации производства, на котором производится
сертифицируемая продукция
определяет схему проведения сертификации конкретной продукции с учетом
предложения заявителя
рекомендует заявителю испытательный центр (лабораторию) для проведения
испытаний
Орган по сертификации
осуществляет
следующие функции
приостанавливает либо отменяет действие выданных им сертификатов
разрабатывает и ведет методическую документацию по сертификации
конкретных видов продукции
взаимодействует с изготовителем конкретных видов продукции в своей области
аккредитации по своевременной сертификации продукции при изменении
требований стандартов
участвует в разработке корректирующих мероприятий для повышения
стабильности характеристик сертифицированной продукции, определяющих
безопасность информации
ведет перечень сертифицированной продукции в своей области аккредитации и
готовит для публикации информацию о результатах сертификации
ведет перечень аттестованных тестирующих средств
представляет заявителю по его требованию необходимую информацию в
пределах своей компетенции
34/37

35.

Что следует знать:
•Орган по сертификации является составной частью организационной структуры
системы обязательной сертификации продукции и аттестации объектов информатики
по требованиям безопасности информации
•Орган по сертификации в своей деятельности руководствуется законодательством
Российской Федерации, государственными стандартами, нормативной и
методической документацией по вопросам сертификации продукции и защиты
информации, утвержденной государственными органами по сертификации и
аттестации в пределах их компетенции.
•Орган по сертификации является независимым настолько, что его
административная подчиненность, финансовое положение полностью исключают
возможность коммерческого, административного или какого-либо другого
воздействия на персонал, способного оказать влияние на результаты сертификации
со стороны заявителя или других заинтересованных сторон.
Орган по
сертификации не участвует в сертификации продукции, разработанной
(производимой) в этом органе или в других подразделениях в рамках одного
юридического лица.
•Взаимодействие органа по сертификации с государственными органами по
сертификации и аттестации в пределах их компетенции осуществляется на основе
лицензионного договора на право проведения сертификации продукции в
заявленной области аккредитации.
35/37

36.

«ПОЛОЖЕНИЕ
ОБ АККРЕДИТАЦИИ ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ И
ОРГАНОВ
ПО СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ»
утвержденное председателем Гостехкомиссии России
25 ноября 1994 г.
Устанавливает основные принципы аккредитации юридических лиц предприятий, организаций и учреждений в качестве испытательных
лабораторий и органов по сертификации средств защиты
информации в системе сертификации средств защиты информации
по требованиям безопасности информации.
36/37

37.

Что следует знать:
•Аккредитация предприятия в качестве органа по сертификации средств защиты
информации по требованиям безопасности информации является официальным
признанием его технической компетентности и независимости от разработчиков,
изготовителей (поставщиков) и заказчиков (потребителей) испытываемых средств
защиты информации для организации и проведения испытаний в соответствии с
требованиями стандартов или иных нормативных документов.
•Срок действия Аттестата аккредитации не должен превышать пяти лет.
Аккредитацию предприятий осуществляет Государственная техническая комиссия
при Президенте Российской Федерации (Гостехкомиссия России).
•Аккредитация производится только при наличии у указанных органов и лабораторий
лицензий на соответствующие виды деятельности.
•При аккредитации предприятия ему выдается Аттестат с указанием области
аккредитации.
37/37

38.

Аккредитация предусматривает следующие этапы:
• рассмотрение документов, представленных предприятием;
• проверка предприятия комиссией, определяемой Гостехкомиссией
России;
• принятие решения об аккредитации по результатам проверки;
• оформление, регистрация и выдача Аттестата аккредитации.
38/37

39.

Что следует знать:
• Проверка проводится на соответствие фактического
состояния предприятия представленным документам и
на его способность выполнять заявленные функции;
• По результатам проверки комиссия составляет акт,
который
подписывается
членами
комиссии
и
представляется
для
ознакомления
руководителю
аккредитуемого предприятия;
• Решение об аккредитации предприятия принимается
после рассмотрения всей полученной информации о
состоянии этого предприятия и его готовности к
аккредитации.
39/37

40.

«Типовое положение об испытательной лаборатории»
Утверждено приказом председателя Государственной
технической комиссии при Президенте Российской
Федерации от 25 ноября 1994 г.
Устанавливает
основные
функции,
права,
обязанности,
ответственность и другие аспекты деятельности испытательной
лаборатории при проведении сертификационных испытаний средств
защиты информации.
Ответственность регулируется действующим законодательством,
постановлениями
Правительства
России,
нормативными
актами Гостехкомиссии России.
40/37

41.

только при наличии
лицензии ФСТЭК на
соответствующие виды
деятельности
ДОЛЖНА
РАСПОЛАГАТЬ
подготовленными
специалистами
необходимой
испытательной
базой
41/37
Аккредитуется
ФСТЭК
Юридическое
лицо
Испытательная
лаборатория
руководящими и
нормативными
документами для
проведения всего
комплекса работ по
сертификации СЗИ в
своей области
аккредитации
и
л
и
Отдельное
структурное
подразделение
юридического
лицо

42.

Основными задачами испытательной лаборатории
являются:
• проведение сертификационных испытаний средств защиты
информации на соответствие требованиям нормативных
документов и Государственных стандартов;
• проведение
отдельных
испытаний
средств
защиты
информации по поручению ФСТЭК и органов по
сертификации;
• разработка и представление на согласование в орган по
сертификации необходимых методик испытаний;
• проведение экспертизы нормативной документации в части
контролируемых показателей, методов и средств испытаний.
42/37

43.

осуществляют испытания конкретных СЗИ, оформляют заключения и
протоколы сертификационных испытаний
осуществляют отбор образцов СЗИ для проведения сертификационных
испытаний
участвуют в предварительной проверке (аттестации) производства
сертифицируемых СЗИ
анализируют причины несоответствия представленных на испытания
СЗИ требованиям безопасности информации
Испытательные
лаборатории
осуществляет
следующие функции
разрабатывают и совершенствует методики и программы испытаний,
методы и средства испытаний, документы по проведению испытаний
участвуют в проведении проверок качества изготовления испытываемых
СЗИ
участвуют в предварительной проверке условий производства видов
сертифицируемых СЗИ, закрепленных за испытательной лабораторией
участвуют в рассмотрении апелляций по вопросам сертификации СЗИ
оказывают методическую и консультационную помощь испытательным
подразделениям
осуществляют сбор, хранение, систематизацию и представление органу
по сертификации информации о СЗИ, проходивших испытания в
испытательной лаборатории
анализируют зарубежный опыт по проведению испытаний
43/37

44.

заключать договоры на проведение работ;
Испытательная
лаборатория в пределах
установленной области
аккредитации имеет
право:
разрабатывать форму протоколов испытаний, порядок их оформления и
подписания, обеспечивающих объективную оценку и отражение
результатов проведенных испытаний
по согласованию с заявителем и органом по сертификации передавать
часть сертификационных испытаний на условиях субподряда другим
испытательным лабораториям;
пропагандировать работу испытательной лаборатории;
по согласованию с заявителем оставлять у себя образцы
сертифицируемых средств защиты информации.
44/37

45.

выполнять функции, предусмотренные настоящим Типовым положением;
обеспечивать полноту и объективность
достоверность и точность их результатов
проведения
испытаний,
соблюдать порядок и сроки проведения испытаний, согласованные с
заявителем, а также условия, обеспечивающие конфиденциальность их
проведения
обеспечивать
условия,
предотвращающие
распространение
сертифицированного продукта с нарушениями порядка, установленного
законодательством
Испытательная
лаборатория обязана:
обеспечивать
сохранность
государственных
секретов
требованиям действующих нормативных документов
согласно
обеспечивать в необходимых случаях доступ представителям заявителя,
контролирующих органов в помещения или на испытательные участки
(площадки) для наблюдения за проводимыми испытаниями
ежегодно представлять отчет о результатах своей деятельности в орган по
сертификации
обеспечивать
соответствие
технического
состояния
контрольноизмерительной аппаратуры и испытательного оборудования требованиям
эксплуатационной документации, обеспечивать их своевременную
поверку и аттестацию
обеспечивать содержание производственных помещений для проведения
испытаний
45/37

46.

правильность и полноту выполнения функций и обязанностей,
возложенных на испытательную лабораторию
правильность и полноту проведения испытаний, объективность
точность и достоверность их результатов и выводов
Испытательная
лаборатория несет
ответственность за:
соблюдение требований нормативных документов (государственных и
международных), предъявляемых к порядку и правилам испытаний
сохранность и работоспособное состояние предъявляемых на
сертификационные испытания средств защиты информации
выполнение установленных сроков проведения испытаний, обработки и
оформления их результатов
своевременное продление аккредитации на право проведения
сертификационных испытаний
сохранность сведений, составляющих государственную или коммерческую
тайны заявителя
соблюдение прав собственности заявителя на испытываемые средства
защиты информации, включая его авторское право
46/37