2. Испытательные лаборатории: понятия, назначения, функции. Требования к материально технической базе и персоналу испытательных лабораторий. Нормативные документы, регламентирующие эти требования
Испытательные лаборатории являются составной частью организационной структуры системы сертификации средств защиты информации, деятельность которой организует Государственная технической комиссии при Президенте Российской Федерации (Гостехкомиссия России).
Испытательные лаборатории аккредитуются Гостехкомиссией России в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации».
Испытательная лаборатория должна быть юридическим лицом или его отдельным структурным подразделением, располагать подготовленными специалистами, необходимой испытательной базой, руководящими и нормативными документами для проведения всего комплекса работ по сертификации средств защиты информации в своей области аккредитации и отвечать установленным требованиям.
Аккредитация производится только при наличии лицензии Гостехкомиссии России на соответствующие виды деятельности.
Аккредитация в качестве испытательной лаборатории предприятий, подведомственных федеральным органам исполнительной власти, осуществляется по представлению этих органов власти.
Испытательная лаборатория в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами, нормативной и методической документацией по вопросам сертификации средств защиты информации, утвержденной Гостехкомиссией России. Испытательная лаборатория осуществляет свою деятельность в соответствии с Положением, разработанным на основе настоящего Типового положения с учетом юридического статуса и конкретной области аккредитации.
Руководство деятельностью испытательной лаборатории осуществляет начальник (руководитель) испытательной лаборатории (инженер, образование высшее), который назначается по согласованию с органом по сертификации.
Испытательная лаборатория должна быть укомплектована специалистами по проведению испытаний, по автоматизации процессов испытаний и измерений, по метрологическому обеспечению испытаний, по ремонту испытательного оборудования и средств измерений, а также по технологии изготовления средств защиты информации и по внесению изменений в конструкторскую документацию.
Испытательная лаборатория должна располагать материально-технической и метрологической базой, достаточной для проведения сертификационных испытаний в пределах установленной области аккредитации.
Состав и квалификация персонала испытательной лаборатории, материально-техническая база, нормативная документация и другие сведения, подтверждающие соответствие испытательной лаборатории требованиям настоящего Типового положения, должны быть отражены в Паспорте испытательной лаборатории.
Форма перечня испытаний, проводимых испытательной лабораторией, и номенклатура закрепленных за испытательной лабораторией средств защиты информации, приведены в Приложении к настоящему Типовому положению. Расходы испытательной лаборатории по проведению сертификационных испытаний оплачивают заявители.
Оплата работ по сертификации конкретных средств защиты информации производится в порядке, установленном Гостехкомиссией России по согласованию с Министерством Финансов Российской Федерации, на основании заключенных договоров.
Испытательная лаборатория осуществляет следующие функции:
- осуществляют испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний;
- осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
- участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации;
- анализирует причины несоответствия представленных на испытания средств защиты информации требованиям безопасности информации;
- разрабатывает и совершенствует методики и программы испытаний, методы и средства испытаний, нормативные и технологические документы по проведению испытаний;
- участвует в проведении проверок с целью контроля стабильности качества изготовления испытываемых средств защиты информации (по поручению Гостехкомиссии России и органов по сертификации);
- участвует в предварительной проверке условий производства видов сертифицируемых средств защиты информации, закрепленных за испытательной лабораторией;
- участвует в рассмотрении апелляций по вопросам сертификации средств защиты информации;
- оказывает методическую и консультационную помощь испытательным подразделениям предприятий, выпускающих закрепленные за испытательной лабораторией средства защиты информации;
- осуществляет сбор, хранение, систематизацию и представление органу по сертификации информации о средствах защиты информации (изделиях), проходивших испытания в испытательной лаборатории. Полученная информация должна использоваться строго конфиденциально (без нарушения прав собственности заявителя на изделие, включая его авторское право и право на защиту коммерческой тайны);
- анализирует зарубежный опыт по проведению закрепленных за испытательной лабораторией видов испытаний, по требования к средствам защиты и по методикам испытаний.
Испытательная лаборатория по результатам проведенных испытаний готовит и представляет органу по сертификации (копии – заявителю):
- протоколы испытаний с заключением о соответствии (или несоответствии) испытанных средств защиты информации установленным требованиям безопасности испытаний. Протоколы испытаний с заключением является основным обязательным документом при принятии решения о соответствии изделия предъявляемым требованиям по безопасности информации;
- акт экспертизы нормативной документации.
Испытательная лаборатория обязана:
- выполнять функции, предусмотренные Типовым положением;
- обеспечивать полноту и объективность проведения испытаний, достоверность и точность их результатов;
- соблюдать порядок и сроки проведения испытаний, согласованные с заявителем, а также условия, обеспечивающие конфиденциальность их проведения;
- обеспечивать условия, предотвращающие распространение сертифицированного продукта с нарушениями порядка, установленного законодательством;
- обеспечивать сохранность государственных секретов согласно требованиям действующих нормативных документов;
- обеспечивать в необходимых случаях доступ представителям заявителя, контролирующих органов в помещения или на испытательные участки (площадки) для наблюдения за проводимыми испытаниями;
- ежегодно представлять отчет о результатах своей деятельности в орган по сертификации;
- обеспечивать соответствие технического состояния контрольно-измерительной аппаратуры и испытательного оборудования требованиям эксплуатационной документации, обеспечивать их своевременную поверку и аттестацию;
- обеспечивать содержание производственных помещений для проведения испытаний в соответствии с санитарно-гигиеническими нормами и правилами, требованиями техники безопасности и охраны окружающей среды, требованиями методик испытаний; незамедлительно уведомлять орган по сертификации о любых изменениях в статусе и технической оснащенности испытательной лаборатории.
Для каждой категории специалистов в испытательной лаборатории должны быть должностные инструкции, устанавливающие их функции, обязанности, права и ответственность, требования к качеству проведения работ, к образованию, техническим знаниям и опыту работы.
Сотрудники испытательной лаборатории, непосредственно участвующие в проведении испытаний, должны быть аттестованы на право их проведения в рамках действующего порядка аттестации.
Должно быть обеспечено систематическое повышение квалификации специалистов испытательной лаборатории путем стажировки в соответствующих институтах повышения квалификации, лабораториях и центрах.
Испытательная лаборатория должна располагать документацией, включающей:
- государственные и международные нормативные документы, регламентирующие технические требования и методы испытаний средств защиты на соответствие требованиям безопасности информации;
- программы и методики сертификационных испытаний средств защиты на соответствие требованиям безопасности информации;
- графики поверки и аттестации контрольно-измерительной аппаратуры и испытательного оборудования;
- методики аттестации испытательного оборудования и проверки нестандартизованных средств измерений;
- документацию по эксплуатации средств испытаний (испытательного оборудования);
- рабочие журналы, протоколы испытаний и копии выданных заключений по результатам испытаний.
Испытательная лаборатория должна располагать оборудованными помещениями для приема, хранения и отправки образцов, представляемых на испытания, в соответствии с требованиями нормативной документации на них.
Испытательная лаборатория несет ответственность за:
- правильность и полноту выполнения функций и обязанностей, возложенных на испытательную лабораторию;
- правильность и полноту проведения испытаний, объективность, точность и достоверность их результатов и выводов;
- соблюдение требований нормативных документов (государственных и международных), предъявляемых к порядку и правилам испытаний;
- сохранность и работоспособное состояние предъявляемых на сертификационные испытания средств защиты информации;
- выполнение установленных сроков проведения испытаний, обработки и оформления их результатов;