Вопрос № 1. Понятие сертификации. Обзор существующих правовых документов

Правовой базой работ по. сертификации информационных технологий являются законы РФ " О сертификации продукции и услуг", " О стандартизации", " О защите прав потребителей", " Об информации, информатизации и защите информации", " О государственной тайне", Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. В свою очередь, Госстандартом в 1994 г. утверждены " Правила по проведению сертификации в Российской Федерации", которые устанавливают цели, принципы, общие положения и рекомендации по практическому осуществлению сертификации. При этом под сертификацией понимается деятельность третьей стороны, независимой от изготовителя (продавца) и потребителя продукции по подтверждению соответствия продукции установленным требованиям, а совокупность участников сертификации, осуществляющих сертификацию по установленным правилам, образует систему сертификации. Основными целями сертификации определены:

• создание условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

• содействие потребителям в компетентном выборе продукции;

• содействие экспорту и повышение конкурентоспособности продукции;

• защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

• контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;

• подтверждение показателей качества продукции, заявленных изготовителями.

Актуальность решения проблемы сертификации АС на государственном уровне отражена в ряде документов. Так, законом РФ " Об информации, информатизации и защите информации" введена обязательная сертификация информационных систем государственных органов и организаций, которые обрабатывают документированную информацию с ограниченным доступом. При этом риск, связанный с использованием несертифицированных систем и получаемой из них информации, полностью ложится на потребителя. Сертификация качества функционирования АС принципиально может осуществляться в нескольких системах сертификации. Система сертификации предназначена для осуществления обязательной и добровольной сертификации. Эта система имеет многолетнюю историю и насчитывает десятки органов и испытательных лабораторий в области информационных технологий, ее центральным органом является Госстандарт РФ. В свою очередь, согласно Указу Президента РФ от 17.2.94г. № 328 на Роскоминформ совместно с Комитетом РФ по стандартизации, метрологии и сертификации возложено обеспечение проведения работ по стандартизации средств и систем информатизации, включая разработку проектов государственных стандартов, организацию их внедрения и контроля за их соблюдением, а также учету и сертификации информационных, информационно-вычислительных и автоматизированных систем и сетей, программных средств для ЭВМ, баз и банков данных. Одной из главных задач Роскоминформа является разработка предложений по обеспечению единой государственной политики в области добровольной сертификации средств и систем в сфере информатизации и их реализация. На базе Роскоминформа создана система сертификации средств и систем в сфере информатизации (система РОСИНФОСЕРТ).

С целью организации разработки основных механизмов реализации Закона РФ " О государственной тайне" Президентом РФ был принят Указ от 30.03.94г. № 614, временно возлагающий на Гостехкомиссию при Президенте РФ функции межведомственной комиссии по защите гостайны. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.Об.95г. № 608 " О сертификации средств защиты информации" созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Вместе с тем, Указом Президента РФ от 03.04.95г. № 334 запрещено использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата ФАПСИ, как центрального органа системы сертификации средств криптографической защиты информации.

В общем случае системы сертификации Гостехкомиссии, Министерства обороны и ФАПСИ предназначены с учетом специфики своей деятельности для обеспечения обязательной сертификации средств защиты информации, в том числе технических, криптографических, программных средств, средств контроля эффективности защиты информации, информационных систем, обрабатывающих и хранящих информацию, составляющих государственную тайну, а также технологий их разработки и применения. Наряду с перечисленными системами сертификации в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи..Перечень систем обязательной и добровольной сертификации определен Госреестром Госстандарта России.

Аналогичные правовые акты действуют и за рубежом. При этом в мировой практике сложились два основных способа становления и развития национальных систем сертификации.

Первый способ характеризуется внедрением децентрализованной системы испытаний. К примеру, в США не существует единой системы аккредитации испытательных лабораторий, эти лаборатории, как правило, действуют под эгидой фирм и компаний сферы услуг (торговля, страхование, банковское дело и т.д.) или принадлежат промышленным фирмам. Так, высокий престиж завоевала сеть научно-исследовательских испытательных лабораторий страховых компаний в области безопасности электрического и электронного оборудования и других изделий, известная под сокращенным названием UL (Under-writes Laboratories Inc.). В США не существует федерального законодательства, которое устанавливало бы обязательность сертификационных испытаний продукции в UL, однако местные инспекционные органы вправе этого потребовать. UL самостоятельно разрабатывает стандарты, в соответствии с которыми она проводит сертификацию.

Представительские функции национальной службы проверки США в международной системе сертификации изделий электронной техники МЭК закреплены за Национальным институтом стандартов и технологии (NIST). В настоящее время наиболее широким признанием в США пользуются две национальные системы: Американская Ассоциация по аккредитации лабораторий (AALA) и Национальная добровольная программа аккредитации лабораторий (NVLAP).

Применение централизованного способа регламентации сертификации характерно для таких стран, как Япония и Австралия.

Во Франции создана Национальная сеть испытательных лабораторий (RNE), охватывающая все виды испытательной деятельности, осуществляющая оценку и аккредитацию испытательных лабораторий.

В Германии метрологическое обеспечение сертификации и одновременно функции национальной службы надзора выполняет институт по испытаниям и приемке Союза электротехников (VDE).

Обращает на себя внимание тот факт, что в правовых документах других стран особое внимание уделяется проблемам обеспечения информационной безопасности АС.

Так, федеральные законы США:

• требуют от федеральных систем обработки данных твердо придерживаться определенных процедур хранения документов и передачи внутренней информации (PrivacyAct of 1974);

• объявляют преступлением несанкционированный доступ к федеральным компьютерам, перехват телекоммуникационной информации, в том числе электронных платежей и почты;

предписывают правительственным компьютерным системам обязательное выполнение требований по безопасности, разработанным NIST, возлагают ответственность за защиту грифованных данных на NSA-National Security Agency.

Великобритания имеет два аналогичных законодательных акта о безопасности информации:

• Data Protection Act - 1984 - предназначен для пресечения несанкционированного получения информации, обязывает пользователей вырабатывать и выполнять политику в области информационной безопасности АС;

• Computer Misuse ACT - 1990 - настоятельно требует проверять служебные записи, связанные с несанкционированным доступом.

Анализ существующих правовых документов показывает, что в целом они могут быть положены в основу организации и развития в России работ по сертификации.

При этом непосредственно сертификация может осуществляться лишь после аккредитации соответствующих органов и испытательных лабораторий в рамках зарегистрированной системы сертификации.

Вопрос № 2. Порядок аккредитации испытательных лабораторий и органов по сертификации

В Международной организации по стандартизации (ISO) вопросами развития испытательной деятельности и аккредитации центров (лабораторий) занимается Комитет по оценке соответствия (САSСО), который утвердил ряд взаимосвязанных документов по аккредитации сертификационных лабораторий. Эти руководства охватывают центры сертификации для изделий любых видов и специально не выделяют особенности АС. Одной из международных организаций, способствующих расширению сотрудничества в области взаимного признания результатов испытаний и аккредитации лабораторий в целях снижения технических барьеров в торговле, является Международная конференция по аккредитации лабораторий (ILАС). По инициативе ILАС были приняты некоторые международные документы, касающиеся аккредитации испытательных лабораторий. Среди них руководства ISО/IЕС 49, ISО/IЕС 54, ISО/IЕС 55. К базовым международным документам в области аккредитации сертификационных центров любого назначения относится описываемая ниже группа стандартизированных руководств ISO/IЕС.

Руководство ISО/IЕС 00002 Общие термины и определения в области стандартизации и смежных видов деятельности. Cодержит основные термины и определения в области аттестации и аккредитации испытательных лабораторий, дает определения функций органов по аккредитации испытательных лабораторий и межлабораторных сравнительных испытаний. Является основополагающим для развития таких важных работ, как сертификация продукции и аккредитация испытательных лабораторий на различных уровнях.

Руководство ISO/IЕС 00025 Общие требования к оценке технической компетентности испытательной лаборатории. Устанавливает основные требования, предъявляемые к испытательным лабораториям с юридической, технической, организационной и профессиональной точек зрения. Указано, что достоверность результатов испытаний проверяется с помощью метода межлабораторных сравнительных испытаний. Сформулированы общие требования к системе обеспечения качества испытаний и к содержанию руководства по качеству. Значительное внимание уделено требованиям к испытательному оборудованию и к его аттестации. Приводятся общие требования к окружающей среде, к регистрации результатов и содержанию отчетов об испытаниях.

Руководство ISО/IЕС 00038 Общие требования к приемке испытательных лабораторий. Рассчитано на использование органами по аккредитации и сертификации. В руководстве описываются процедуры и регламенты признания компетентности испытательных лабораторий и отмены признания. Организация, кадры и критерии оценки компетентности должны соответствовать стандарту ISО/IЕС 00025. Сформулирован ряд дополнительных требований, необходимых для признания компетентности лаборатории и предложена форма заявки на признание.

Руководство ISО/IЕС 00043 - - Организация и проведение проверки на компетентность. Разработано в помощь органам, проводящим приемку испытательной лаборатории на компетентность с помощью межлабораторных испытаний. В нем отмечены факторы, на которые необходимо обратить внимание при проверке на компетентность, а также даются рекомендации по использованию результатов проверки. Особое значение придается наличию и качеству методик проведения статистических сопоставлений результатов меж лабораторных испытаний, их повторяемости и воспроизводимости.

Руководство ISО/IЕС 00045 Руководящие положения по представлению результатов испытаний. Устанавливает требования к представлению результатов испытаний и другой сопутствующей документации. Подробно описана информация, представляемая в отчете об испытаниях, и рекомендуемая структура разделов отчета. Предложены процедуры выполнения исправлений и дополнений к отчету при повторных испытаниях.

Руководство ISО/IЕС 00049 - - Руководящие положения по разработке. Руководство по качеству для испытательной лаборатории. Содержит конкретные требования, которые необходимо предъявлять к системе обеспечения качества испытательной лаборатории. Оно дополняет руководство ISО/IЕС 00025 в вопросах, относящихся к системам обеспечения качества. Документ содержит руководящие положения по разработке методов и процедур, позволяющих испытательной лаборатории обеспечивать качество испытаний и доверие к выполняемой работе. Разделы руководства по качеству должны содержать точную и достоверную информацию о методах и средствах, обеспечивающих функционирование системы качества. Указывается, что эффективность системы обеспечения качества заключается не в самом факте ее разработки, а в точном ее применении сверху донизу.

Руководство ISО/IЕС 00054 Общие требования к приемке органов по аккредитации. Распространяется на органы, осуществляющие аттестацию и аккредитацию испытательных лабораторий и признанные на национальном или международном уровне. Описываются права и обязанности органов по аккредитации, подчеркивается необходимость разработки ими программы обеспечения качества, отвечающей виду, масштабу и объему выполняемых работ. Орган по аккредитации должен вырабатывать свою политику в отношении всех организаций, участвующих в деятельности по аккредитации, уметь четко разграничивать работы по аккредитации от работ по сертификации.

В Руководстве ISО/IЕС 00055 Системы аккредитации испытательных лабораторий. Общие требования к управлению деятельностью - описываются функции, которые должны осуществляться органом по аккредитации и всей системой в целом при выполнении работ по аттестации и последующей аккредитации лаборатории. Особое значение придается квалификации экспертов, занимающихся аккредитацией, и дальнейшему надзору за деятельностью аккредитованной лаборатории.

Перечисленные стандарты охватывают, в основном, проблемы регламентирования аккредитации испытательных лабораторий (центров). Близким по тематике является еще ряд стандартов ISО/IЕС (00007, 00016, 00023, 00028, 00039, 00042, 00044), в которых рассматриваются организационные процедуры взаимодействия органов сертификации, процессы перехода на международные системы сертификации, требования к стандартам и т.п. В процессе развития совокупности стандартов некоторые из них потеряли актуальность и их содержание в значительной степени аккумулировалось в последующих руководствах.

Работы по аккредитации испытательного центра предполагают формирование и представление в Центральный орган по сертификации заявки и комплекта документов для принятия решения о целесообразности аккредитации конкретного центра сертификации (ЦС). Центральным органом проводится экспертиза представленных материалов и принимается решение о назначении Комиссии для проверки создаваемого ЦС. При положительных результатах проверки оформляется и выдается аттестат аккредитации ЦС.

Номенклатура документов, необходимых для аккредитации ЦС (органа), включает, как правило:

• Заявку на аккредитацию;

• проект Положения о ЦС (органе);

• Паспорт ЦС (органа);

• проект Руководства по качеству;

• Порядок сертификации.

В Заявке на проведение аккредитации ЦС (органа по сертификации) указываются атрибуты заявителя и предполагаемая область признания полномочий на сертификацию.

Положение о ЦС (органе по сертификации) является основным документом, устанавливающим область аккредитации, юридический статус, функции, структуру, права и обязанности центра, методы, средства и организацию испытаний.

Паспорт ЦС (органа по сертификации) содержит сведения об оснащенности центра средствами вычислительной техники, необходимыми для проведения испытаний, о персонале и кадровом составе центра, состоянии производственных помещений, оснащенности центра программно-инструментальными средствами проведения испытаний, обеспечении центра нормативно-техническими и методическими документами, а также другими ресурсами, необходимыми для испытаний.

Руководство по качеству содержит изложение принципов, описание методов и процедур, связанных с выполнением основных функций и задач ЦС (органа по сертификации), обеспечивающих качество проводимых испытаний и доверие к результатам испытаний и экспертиз. Руководство по качеству в соответствии со стандартом ISО/IЕС 00049, как правило, включает разделы:

• политика в области обеспечения качества проведения испытаний и экспертиз;

• оснащение центра актуальными методологическими материалами и программно-инструментальными средствами испытаний;

• формализация требований к объектам испытаний;

• политика в области технической оснащенности центра и повышения квалификации персонала;

• архивация и контроль сохранности документации.

При необходимости содержание документа дополняется и корректиру­ется с учетом современных достижений теории и практики испытаний и сертификации.

Порядок сертификации устанавливает:

• номенклатуру сертифицируемой продукции и состав нормативных документов, в соответствии с которыми проводится сертификация;

• перечень организаций-участников системы сертификации, с которыми взаимодействует ЦС (орган по сертификации) с указанием реквизитов этих организаций, функций, делегированных им органом, а также договорных документов;

• порядок подготовки и проведения сертификационных испытаний.(для ЦС) и сертификации (для органа), в том числе схему сертификации и особенности порядка выдачи сертификата и использования знака соответствия;

• содержание процедуры оценки результатов первичных и последующих испытаний продукции;

• порядок проведения инспекционного контроля;

• состав информационного обеспечения сертификации;

• порядок подачи и рассмотрения апелляций.

Более подробно порядок проведения сертификации изложен ниже.