Обзор существующих правовых документов
Правовой базой работ по сертификации информационных технологий являются законы РФ «О сертификации продукции и услуг», «О стандартизации», «О защите прав потребителей», «Об информации, информатизации и защите информации», «О государственной тайне», Указы Президента РФ, постановления Правительства РФ, а также ряд других подзаконных актов. Основные термины и определения
Аккредитация — процедура, посредством которой аккредитующий орган официально признает компетентность лица выполнять работы в определенной области оценки соответствия; безопасность продукции, процессов (методов) производства, эксплуатации и утилизации (далее — безопасность) — отсутствие недопустимого риска, связанного с причинением вреда жизни, здоровью граждан, окружающей среде, в том числе жизни и здоровью животных или растений, имуществу физических и юридических лиц, государственному или муниципальному имуществу.
Подтверждение соответствия — процедура, результатом которой является документальное удостоверение (в идее декларации о соответствии или сертификата соответствия) того, что продукция, процессы (методы) производства, эксплуатации и утилизации работы или услуги соответствуют установленным требованиям технических регламентов или положениям стандартов, условиям гражданско-правовых договоров.
Продукция — результат деятельности, представленный в вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях.
Сертификация — форма подтверждения соответствия, в ходе которого орган по сертификации документально удостоверяет, что продукция, процессы (методы) производства, эксплуатации и утилизации работы или услуги соответствуют установленным требованиям, техническим регламентам или положениям стандартов.
Сертификат соответствия — документ, удостоверяющий, что сертифицированные продукция, процессы (методы) производства, эксплуатации и утилизации работы или услуги соответствуют установленным требованиям технических регламентов, положениям стандартов или условиям договора.
Техническое регулирование — деятельность по установлению обязательных требований, добровольных правил, общих принципов, характеристик в отношении продукции, процессов (методов) производства, эксплуатации и утилизации работы или услуг, оценки соответствия, а также по контролю за соблюдением соответствующих требований.
Технический регламент — федеральный закон или постановление Правительства Российской Федерации, а в случае, прямо предусмотренным настоящим Федеральным законом, указ Президента Российской Федерации, устанавливающий обязательные для применения и соблюдения требования к объектам технического регулирования (продукции, в том числе к зданиям и сооружениям, процессам и методам производства, эксплуатации и утилизации), а также устанавливающий в случае необходимости процедуры оценки соответствия обязательным требованиям, и (или) требования к терминологии, упаковке, конструкции, способу исполнения, маркировке или этикетированию, если это необходимо для достижения целей принятия технических регламентов.
Национальным органом по сертификации определен Госстандарт РФ. В свою очередь, Госстандартом в 1994 г. утверждены «Правила по проведению сертификации в Российской Федерации», которые устанавливают цели, принципы, общие положения и рекомендации по практическому осуществлению сертификации. При этом под сертификацией понимается деятельность третьей стороны, независимой от изготовителя (продавца) и потребителя продукции, по подтверждению соответствия продукции установленным требованиям. А совокупность участников сертификации, осуществляющих сертификацию по установленным правилам, образует систему сертификации. Основными целями сертификации определены:
• создание условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;
• содействие потребителям в компетентном выборе продукции;
• содействие экспорту и повышение конкурентоспособности продукции;
• защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
• контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;
• подтверждение показателей качества продукции, заявленных изготовителями.
Актуальность решения проблемы сертификации АИС на государственном уровне отражена в ряде документов. Так, законом РФ «Об информации, информатизации и защите информации» введена обязательная сертификация информационных систем государственных органов и организаций, которые обрабатывают документированную информацию с ограниченным доступом. При этом риск, связанный с использованием несертифицированных систем и получаемой из них информации, полностью ложится на потребителя. Сертификация качества функционирования АИС принципиально может осуществляться в нескольких системах сертификации. Система сертификации ГОСТ Р предназначена для осуществления обязательной и добровольной сертификации. Эта система имеет многолетнюю историю и насчитывает десятки органов и испытательных лабораторий в области информационных технологий, ее центральным органом является Госстандарт РФ. В свою очередь, согласно Указу Президента РФ от 17.2.94 г. № 328 на Роскоминформ совместно с Комитетом РФ по стандартизации, метрологии и сертификации возложено обеспечение проведения работ по стандартизации средств и систем информатизации, включая разработку проектов государственных стандартов, организацию их внедрения и контроля за их соблюдением, а также учету и сертификации информационных, информационно-вычислительных и автоматизированных систем и сетей, программных средств для ЭВМ, баз и банков данных. Одной из главных задач Роскоминформа является разработка предложений по обеспечению единой государственной политики в области добровольной сертификации средств и систем в сфере информатизации и их реализация. На базе Роскоминформа создана система сертификации средств и систем в сфере информатизации (система РОСИНФОСЕРТ).
С целью организации разработки основных механизмов реализации Закона РФ «О государственной тайне» Президентом РФ был принят Указ от 30.03.94 г. № 614, временно возлагающий на Гостехкомиссию при Президенте РФ функции межведомственной комиссии по защите государственной тайны. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95 г. № 608 «О сертификации средств защиты информации» созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащие обязательной сертификации в этих системах. Вместе с тем, Указом Президента РФ от 03.04.95 г. № 334 запрещено использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств (в том числе электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата Федерального агентства правительственной связи и информатизации (ФАПСИ), как центрального органа системы сертификации средств криптографической защиты информации.
В общем случае системы сертификации Гостехкомиссии, Министерства обороны и ФАПСИ предназначены с учетом специфики своей деятельности для обеспечения обязательной сертификации средств защиты информации, в том числе технических, криптографических, программных средств, средств контроля эффективности защиты информации, информационных систем, обрабатывающих и хранящих информацию, составляющих государственную тайну, а также технологий их разработки и применения. Наряду с перечисленными системами сертификации в области информационных технологий действуют системы доб-ровольной сертификации банковских технологий (МЕКАС) и средств связи. Перечень систем обязательной и добровольной сертификации определен Госреестром Госстандарта России.
3.3.2. Порядок проведения сертификации
Сертификация качества функционирования АИС включает:
· подачу заявки на сертификацию;
· принятие решения по заявке, в том числе выбор схемы сертификации;
· отбор, идентификацию образцов и их испытания;
· оценку производства (если это предусмотрено схемой);
· анализ полученных результатов и принятие решения о возможности выдачи сертификата соответствия;
· выдачу сертификата и лицензии на применение знака соответствия;
· осуществление инспекционного контроля за сертифицированной продукцией (в соответствии со схемой сертификации);
· проведение корректирующих мероприятий при нарушении соответствия продукции установленным требованиям и неправильном применении знака соответствия;
· информацию о результатах сертификации. Сертификацию проводит аккредитованный орган по сертификации.
Заявитель продукции, подлежащей сертификации, направляет в орган по сертификации заявку по форме, принятой в Системе сертификации.
Орган по сертификации проводит работу по подготовке сертификации продукции по заявке.
Указанная работа включает в себя:
· выбор схемы сертификации с учетом специфики продукции (объем, технология, требования нормативных документов и пр.) и предложений разработчика;
· определение количества и порядка отбора образцов, подлежащих испытаниям, если это не указано в стандартах;
· определение аккредитованной испытательной лаборатории, которая должна проводить испытания (если испытания не были проведены ранее);
· подготовку проекта договора на выполнение работ.
Подготовительная часть работы по сертификации заканчивается выпуском решения по заявке по форме, принятой в Системе сертификации. Решение вместе с проектами договора на выполнение работ направляется заявителю.
При организации сертификационных испытаний осуществляется подбор и изучение действующих нормативных документов на продукцию, заявленную к сертификации, методов ее испытаний и оценки результатов.
Испытания для сертификации проводятся в технически компетентных испытательных лабораториях, аккредитованных на право проведения тех испытаний, которые предусмотрены в нормативных документах, используемых при сертификации АИС.
Протоколы испытаний представляются заявителю и в орган по сертификации. Заявитель может представить в орган по сертификации протоколы испытаний с учетом сроков их действия, проведенных при разработке и постановке продукции на производство, или документы об испытаниях, выполненных отечественными или зарубежными испытательными лабораториями, аккредитованными или признанными в Системе сертификации.
На основании протоколов сертификационных испытаний оцениваются полученные результаты и обосновываются сделанные выводы о соответствии или несоответствии продукции требованиям нормативных документов. По результатам сертификационных испытаний и экспертизы документации принимается решение о выдаче сертификата. Решение подписывается экспертом и утверждается руководителем органа по сертификации. Решение о выдаче сертификата соответствия направляется пред-приятию-заявителю.
В случае получения отрицательных результатов сертификационных испытаний принимается решение об отказе в выдаче сертификата соответствия. Кроме того, предприятию-заявителю могут быть направлены предложения по устранению предполагаемых причин отрицательных результатов испытаний, после доработки сертифицируемой продукции испытания могут быть повторены.
В зависимости от схемы сертификации проводится предварительный анализ состояния производства продукции, сертификация системы качества, реализованной на предприятии-разработчике АИС. Сведения о проведенном анализе состояния производства, сертификации производства или сертификации системы качества приводятся в сертификате на продукцию.
Орган по сертификации после анализа протоколов испытаний, оценки производства, сертификации производства или системы качества (если это установлено схемой сертификации), анализа документации, указанной в решении по заявке, осуществляет оценку соответствия продукции установленным требованиям, оформляет сертификат на основании заключения экспертов и регистрирует его. Если испытания продукции по отдельным параметрам проводились в разных аккредитованных испытательных лабораториях, то сертификат выдается при наличии всех необходимых протоколов с положительными результатами испытаний. В этом случае в сертификате перечисляются все протоколы испытаний с указанием испытательных лабораторий, выдавших эти протоколы, а также признанные сертификаты (при их наличии).
Срок действия сертификата устанавливает орган по сертификации с учетом срока действия нормативных документов на продукцию, а также срока, на который сертифицировано производство или система качества, но, как правило, не более, чем на три года. При внесении изменений в конструкторскую или эксплуатационную документацию АИС, которые могут повлиять на качество функционирования АИС, удостоверяемое при сертификации, заявитель должен известить об этом орган по сертификации, выдавший сертификат, для принятия решения о необходимости проведения новых испытаний. После регистрации сертификат вступает в силу и направляется предприятию-заявителю. Одновременно с выдачей сертификата предприятию-заявителю выдается лицензия на право применения знака соответствия.
За сертифицированными АИС в процессе их эксплуатации в течение всего срока действия сертификата соответствия осуществляется инспекционный контроль. Инспекционный контроль проводится в форме периодических и внеплановых проверок соблюдения требований к качеству сертифицированной продукции (как правило, не реже 1 раза в год). Объектами контроля в зависимости от схемы сертификации являются сертифицированная продукция, система качества или стабильность производства предприятия-разработчика.
Инспекционный контроль, как правило, включает:
· анализ поступающей информации о сертифицированной продукции;
· проведение испытаний и анализ их результатов;
· оформление результатов контроля и принятие решений.
Результаты инспекционного контроля оформляют актом, вкотором дается оценка результатов испытаний образцов и других проверок, делается общее заключение о состоянии производства сертифицированной продукции и возможности сохранения действия выданного сертификата. Акт хранится в органе по сертификации, а его копии направляются разработчику (продавцу) и в организации, принимавшие участие в инспекционном контроле. По результатам инспекционного контроля орган по сертификации может приостановить или отменить действие сертификата и аннулировать лицензию на право применения знака соответствия в случае несоответствия продукции требованиям нормативных документов, контролируемых при сертификации, а также в случаях:
· принципиальных изменений нормативного документа на продукцию или метода испытаний; изменения конструкции (состава), комплектности продукции;
· изменения организации и (или) технологии разработки и производства;
· изменения (невыполнения) требований технологии, методов контроля и испытаний, системы качества, если перечисленные изменения могут вызвать несоответствие продукции требованиям, контролируемым при сертификации.
Решение о приостановлении действия сертификата и лицензии на право применения знака соответствия не принимается в том случае, если путем корректирующих мероприятий, согласованных с органом по сертификации, его выдавшим, заявитель может устранить обнаруженные причины несоответствия и подтвердить без повторных испытаний в аккредитованной лаборатории соответствие продукции нормативным документам. Если этого сделать нельзя, то действие сертификата отменяется и лицензия на право применения знака соответствия аннулируется.
Информация о приостановлении действия или отмене действия сертификата доводится органом по сертификации, его выдавшим, до сведения заявителя, потребителей, Центрального органа Системы сертификации и других заинтересованных организаций.
Несоответствия сертифицируемых параметров продукции могут быть выявлены в процессе сертификационных испытаний или инспекционного контроля. В каждом случае несоответствия должны быть подтверждены документально (протоколы испытаний, акты проверки предприятия-разработчика независимыми организациями и т. д.). Заявитель разрабатывает план проведения корректирующих мероприятий, согласовывает с органом по сертификации и выполняет его. После осуществления корректирующих мероприятий могут быть проведены повторные сертификационные испытания, результаты которых считаются окончательными.
Действие сертификата и право маркирования продукции знаком соответствия могут быть возобновлены при выполнении предприятием-разработчиком следующих условий:
· выявлении причин несоответствия и их устранение;
· представлении в орган по сертификации отчета о проделанной работе по улучшению и обеспечению качества продукции;
· проведении по методикам и под контролем органа по сертификации испытаний продукции и получении положительных результатов.
В этом случае орган по сертификации информирует заинтересованные предприятия и Центральный орган Системы сертификации о решении возобновить действие сертификата и право маркирования продукции знаком соответствия.
Документы и материалы, подтверждающие сертификацию продукции, находятся на хранении в органе по сертификации, выдавшем сертификат.
Состав и содержание документов сертификации представлены в табл. 3.2. Содержание документов должно соответствовать их информационному и организационному статусу и назначению.
Документы заявителя. Исходный документ — Заявка на проведение сертификации — должен содержать следующую информацию:
· фамилия, имя, отчество, телефон, должность, полный почтовый адрес заявителя;
· фамилия, имя, отчество, телефон представителя заявителя, ответственного за связь с органом по сертификации (при необходимости );
· наименование органа по сертификации;
· виды сертификационных испытаний, которым должна быть подвергнуты АС;
· обозначение и наименование нормативно-технических документов, на соответствие которым должны быть проведены сертификационные испытания;
· обязательства заявителя об оплате рассмотрения заявки и проведения сертификации;
· обязательства заявителя по выпуску сертифицированной продукции в соответствии с образцом, прошедшим сертификацию;
· личные подписи заявителя и его представителя (при необходимости).
Предъявляемая на сертификацию АИС должна представляться в комплекте, соответствующем поставляемому пользователю при приобретении данного изделия в соответствии с формуляром. В случае различной комплектации поставки пользователем предъявляемого объекта заявитель должен в Договоре на проведение сертификации оговорить условия комплектности поставки данных АИС на сертификацию.