Normas estándar para un laboratorio de pruebas.
U T V E R D E N O
Presidente de la Comisión Técnica Estatal bajo la presidencia de
Presidente de la Federación Rusa
Yushin
» 25» noviembre de 1994
REGULACIONES ESTÁNDAR
en un laboratorio de pruebas
1. DISPOSICIONES GENERALES
1.1. Este Reglamento Estándar establece las principales funciones, derechos, obligaciones, responsabilidades y otros aspectos de las actividades de un laboratorio de pruebas al realizar pruebas de certificación de herramientas de seguridad de la información.
1.2. La disposición estándar se desarrolló de conformidad con las leyes de la Federación de Rusia «Sobre la certificación de productos y servicios» y «Sobre los secretos de Estado», «Reglamento sobre el sistema estatal de protección de la información en la Federación de Rusia frente a la inteligencia técnica extranjera y contra su filtración a través de canales técnicos», basado en el « Sistema de certificación GOST R« y «Reglas para la certificación en la Federación Rusa».
1.3. Los laboratorios de pruebas son una parte integral de la estructura organizativa del sistema de certificación de seguridad de la información, cuyas actividades están organizadas por la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia (Comisión Técnica Estatal de Rusia).
1.4. Los laboratorios de pruebas están acreditados por la Comisión Técnica Estatal de Rusia de acuerdo con el «Reglamento sobre la acreditación de laboratorios de pruebas y organismos de certificación para equipos de seguridad de la información según los requisitos de seguridad de la información».
El laboratorio de pruebas debe ser una persona jurídica o su unidad estructural separada, contar con especialistas capacitados, las instalaciones de prueba, directrices y documentos reglamentarios necesarios para llevar a cabo toda la gama de trabajos de certificación de herramientas de seguridad de la información en su campo de acreditación y cumplir con los requisitos establecidos.
La acreditación se lleva a cabo únicamente si existe una licencia de la Comisión Técnica Estatal de Rusia para los tipos de actividades relevantes.
La acreditación como laboratorio de pruebas de las empresas subordinadas a las autoridades ejecutivas federales se realiza por recomendación de estas autoridades.
1.5. El laboratorio de pruebas en sus actividades se rige por la legislación de la Federación de Rusia, las normas estatales, la documentación reglamentaria y metodológica sobre la certificación de medios de seguridad de la información, aprobados por la Comisión Técnica Estatal de Rusia.
1.6. El laboratorio de pruebas opera de acuerdo con el Reglamento desarrollado sobre la base de este Reglamento Modelo, teniendo en cuenta el estatus legal y el área específica de acreditación.
1.7. Las actividades del laboratorio de pruebas están dirigidas por el director (gerente) del laboratorio de pruebas (ingeniero, educación superior), quien es designado de acuerdo con el organismo de certificación.
1.8. El laboratorio de pruebas debe contar con especialistas en pruebas, automatización de procesos de prueba y medición, soporte metrológico de pruebas, reparación de equipos de prueba e instrumentos de medición, así como en la tecnología de fabricación de equipos de seguridad de la información y realización de cambios en la documentación de diseño.
1.9. El laboratorio de ensayos deberá contar con una base material, técnica y metrológica suficiente para realizar ensayos de certificación dentro del alcance de acreditación establecido.
1.10. La composición y calificaciones del personal del laboratorio de pruebas, la base material y técnica, la documentación reglamentaria y otra información que confirme el cumplimiento del laboratorio de pruebas con los requisitos de esta Disposición Estándar deben reflejarse en el Pasaporte del Laboratorio de Pruebas.
1.11. La forma de la lista de pruebas realizadas por el laboratorio de pruebas y la gama de medios de seguridad de la información asignados al laboratorio de pruebas se dan en el Apéndice de este Reglamento Estándar.
1.12. Los costos del laboratorio de pruebas para realizar las pruebas de certificación corren a cargo de los solicitantes.
El pago por la certificación de medios específicos de seguridad de la información se realiza en la forma establecida por la Comisión Técnica Estatal de Rusia de acuerdo con el Ministerio de Finanzas de la Federación de Rusia, sobre la base de los acuerdos celebrados.
2. TAREAS Y FUNCIONES DEL LABORATORIO DE ENSAYOS
2.1. Las principales tareas del laboratorio de pruebas son:
realizar pruebas de certificación de herramientas de seguridad de la información para verificar el cumplimiento de los requisitos de los documentos reglamentarios aprobados por la Comisión Técnica Estatal de Rusia y las normas estatales;
realizar pruebas individuales de los medios de seguridad de la información en nombre de la Comisión Técnica Estatal de Rusia y los organismos de certificación;
desarrollo y presentación para la aprobación por parte del organismo de certificación de los métodos de prueba necesarios;
realización de un examen de la documentación reglamentaria en términos de indicadores controlados, métodos y medios de prueba.
2.2. El laboratorio de pruebas realiza las siguientes funciones:
realizar pruebas de medios específicos de seguridad de la información, elaborar conclusiones e informes de pruebas de certificación;
seleccionar muestras de equipos de seguridad de la información para las pruebas de certificación;
participar en la verificación preliminar (certificación) de la producción de equipos de seguridad de la información certificados ;
analiza las razones del incumplimiento de los medios de seguridad de la información presentados para pruebas con los requisitos de seguridad de la información;
desarrolla y mejora los métodos y programas de prueba, métodos y herramientas de prueba, documentos regulatorios y tecnológicos para pruebas;
participa en inspecciones para controlar la estabilidad de la calidad de fabricación de los productos de seguridad de la información probados (en nombre de la Comisión Técnica Estatal de Rusia y los organismos de certificación);
participa en las verificación preliminar de las condiciones de producción de los tipos de productos certificados seguridad de la información asignado al laboratorio de pruebas;
participa en la consideración de apelaciones relativas a la certificación de medios de seguridad de la información;
brinda asistencia metodológica y de consultoría a los departamentos de pruebas de las empresas que producen medios de seguridad de la información asignados al laboratorio de pruebas;
recopila, almacena, sistematiza y envía información sobre los medios de seguridad de la información al organismo de certificación (productos) probados en un laboratorio de pruebas. La información recibida debe utilizarse de forma estrictamente confidencial (sin violar los derechos de propiedad del solicitante sobre el producto, incluidos sus derechos de autor y el derecho a proteger secretos comerciales);
analiza la experiencia extranjera en la realización de tipos de pruebas asignadas al laboratorio de pruebas, requisitos para equipos de protección y métodos de prueba.
Con base en los resultados de las pruebas, el laboratorio de pruebas prepara y presenta al organismo de certificación (copias — al solicitante):
informes de prueba con una conclusión sobre el cumplimiento (o incumplimiento) de los medios de seguridad de la información probados con los requisitos de seguridad de prueba establecidos. Los informes de prueba con conclusión son el principal documento obligatorio a la hora de decidir sobre el cumplimiento de un producto con los requisitos de seguridad de la información;
Informe pericial de la documentación reglamentaria.
3. DERECHOS, OBLIGACIONES Y RESPONSABILIDADES DEL LABORATORIO DE ENSAYOS
3.1. El laboratorio de pruebas, dentro del alcance establecido de acreditación, tiene derecho a:
celebrar contratos de trabajo;
desarrollar un formulario de informes de pruebas, el procedimiento para su ejecución y firma, asegurando una evaluación objetiva y un reflejo de los resultados de las pruebas;
en caso de resultados negativos de las pruebas, por iniciativa del solicitante, realizar una encuesta a los fabricantes de equipos de seguridad de la información con el fin de emitir recomendaciones para cambiar la tecnología de su producción, realizando cambios en la documentación técnica y de diseño de los equipos de seguridad de la información;
de acuerdo con el solicitante y el organismo de certificación, subcontratar parte de las pruebas de certificación a otros laboratorios de pruebas;
promover el trabajo del laboratorio de pruebas;
de acuerdo con el solicitante, conservar muestras de herramientas de seguridad de la información certificadas.
3.2. El laboratorio de ensayos está obligado a:
realizar las funciones previstas en este Reglamento Estándar;
asegurar la integridad y objetividad de las pruebas, la confiabilidad y precisión de sus resultados;
cumplir con el procedimiento y los plazos de las pruebas acordados con el solicitante, así como con las condiciones que garanticen la confidencialidad de su realización;
garantizar condiciones que impidan la distribución de un producto certificado en violación del procedimiento establecido por la ley;
garantizar la seguridad de los secretos de estado de acuerdo con los requisitos de los documentos reglamentarios vigentes;
proporcionar, si es necesario, acceso a los representantes del solicitante, a las autoridades reguladoras a las instalaciones o sitios de prueba (sitios) para observar las pruebas que se llevan a cabo;
presentar anualmente un informar sobre los resultados de sus actividades a la autoridad de certificación;
asegurar que la condición técnica de la instrumentación y el equipo de prueba cumpla con los requisitos de la documentación operativa, garantizar su verificación oportuna y certificación;
garantizar el mantenimiento de las instalaciones de producción para las pruebas de acuerdo con las normas y reglas sanitarias e higiénicas, los requisitos de seguridad y ambientales y los requisitos de los métodos de prueba; notificar inmediatamente al organismo de certificación sobre cualquier cambio en el estado y el equipo técnico del laboratorio de pruebas.
Para cada categoría de especialistas en el laboratorio de pruebas debe haber descripciones de trabajo que establezcan sus funciones, deberes, derechos y responsabilidades, requisitos de calidad del trabajo, educación, conocimientos técnicos y experiencia laboral.
Los empleados del laboratorio de pruebas directamente involucrados en las pruebas deben estar certificados para tener derecho a realizarlas en el marco del procedimiento de certificación vigente.
Se debe garantizar una formación avanzada sistemática de los especialistas del laboratorio de pruebas mediante prácticas en institutos, laboratorios y centros de formación avanzada pertinentes.
El laboratorio de pruebas debe disponer de documentación que incluya:
Documentos regulatorios estatales e internacionales que regulan los requisitos técnicos y los métodos de prueba para equipos de protección para el cumplimiento de los requisitos de seguridad de la información;
programas y métodos para pruebas de certificación de equipos de protección para el cumplimiento de los requisitos de seguridad de la información;
cronogramas para la verificación y certificación de instrumentación y equipos de prueba;
métodos para la certificación de equipos de prueba y verificación de instrumentos de medición no estandarizados;
documentación sobre el funcionamiento de los instrumentos de prueba (equipos de prueba );
registros de trabajo, informes de pruebas y copias de las conclusiones emitidas basadas en los resultados de las pruebas.
El laboratorio de pruebas debe contar con locales equipados para recibir, almacenar y enviar muestras enviadas para pruebas, en de acuerdo con los requisitos de la documentación reglamentaria para los mismos.
3.3. El laboratorio de pruebas es responsable de:
corrección e integridad del desempeño de las funciones y responsabilidades asignadas al laboratorio de pruebas;
corrección e integridad de las pruebas, objetividad,
exactitud y confiabilidad de sus resultados y conclusiones;
cumplimiento de los requisitos de los documentos regulatorios (estatales e internacionales) para los procedimientos y reglas de prueba;
condiciones operativas y de seguridad de los equipos de seguridad de la información presentados para pruebas de certificación;
cumplimiento de los plazos establecidos para las pruebas, procesamiento y registro de sus resultados;
renovación oportuna de la acreditación para el derecho a realizar pruebas de certificación;
seguridad de la información que constituye secretos de estado o comerciales del solicitante;
cumplimiento de los derechos de propiedad del solicitante sobre las medidas de seguridad de la información que se están probando, incluidos sus derechos de autor.
La responsabilidad se rige por la legislación vigente, los decretos del Gobierno de Rusia y las regulaciones del Estado. Comisión Técnica de Rusia.
JEFE DEL DEPARTAMENTO DE LA COMISIÓN TÉCNICA DEL ESTADO BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA
Virkovsky
» 24» Noviembre de 1994