Сертификация информационной безопасности (ОУД1-ОУД7) СТ РК ISO/IEC 15408-2017

Сертификация информационной безопасности (ОУД1-ОУД7) СТ РК ISO/IEC 15408-2017

  Сертификат информационной безопасности не ниже 4 уровня доверия (ОУД4) обеспечивает вхождение в реестр доверенного программного обеспечения. В 2019 году приняты поправки в законодательство «О государственных закупках», согласно которым продукция электронной промышленности и программного обеспечения, включенная в реестр, закупается с 1 января 2020 года в приоритетном порядке. Реестр создан для обеспечения информационной безопасности в государственных органах и бюджетных организациях.

  Таким образом, присутствие в реестре дает производителям приоритетное право участие в государственных закупках способом предварительного квалификационного отбора, поставщиками которых являются отечественные производители из реестра. Реестр позволит снизить долю зависимости представленных иностранных решений на рынке Казахстана доверенными отечественными ИКТ-продуктами в работе государственных органов, тем самым увеличив долю местного содержания.

  Подтверждение соответствия с требованиями стандарта СТ РК ISO/IEC 15408-2017 оценочные уровни доверия, определяющие шкалу требований, которые позволяют оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.

  Целью данных работ является подтверждение соответствия с требованиями стандарта СТ РК ISO/IEC 15408-2017 оценочные уровни доверия, определяющие шкалу требований, которые позволяют оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
    СТ РК ISO/IEC 15408-2017 состоит из трех частей:
     - СТ РК ISO/IEC 15408-1 устанавливает общий подход к формированию требований и оценке безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).
  - СТ РК ISO/IEC 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
    - СТ РК ISO/IEC 15408-3 включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.
Часто задаваемые вопросы

Согласно Закону Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V ЗРК. Статья 1. Подпункт 52-1) реестр доверенного программного обеспечения и продукции электронной промышленности – перечень программного обеспечения и продукции электронной промышленности, соответствующих требованиям информационной безопасности, созданный для целей обеспечения обороны страны и безопасности государства.

Согласно Приказу Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 сентября 2022 года № 354/НҚ «О внесении изменения в приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 53/НҚ «Об утверждении Правил формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериев по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности»». Глава 2. П.10)

1) исключительное право на программное обеспечение на территории Республики Казахстан или право использования исключительных имущественных прав программного обеспечения на территории Республики Казахстан на весь срок действия исключительного права, принадлежащего одному либо нескольким из следующих лиц: физическому/им лицу/ам или юридическому лицу Республики Казахстан;

      2) выполнение требований информационной безопасности в соответствии с СТ РК ISO/IEC 15408-3-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты" (далее - СТ РК ISO/IEC 15408-3) не ниже 4 уровня доверия для программного обеспечения или наличие акта по результатам испытаний на соответствие требованиям информационной безопасности (далее – акт испытаний), выданного уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с Правилами проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ ;

      3) доля внутристрановой ценности в программном обеспечении составляет не менее 70%.

Для включения ПО в Реестр Компания-заявитель должна иметь:

  • Индустриальный сертификат (документ, подтверждающий наличие заявителя в реестре отечественных производителей товаров, работ и услуг). Выдается НПП «Атамекен».
  • Сертификат соответствия требованиям информационной безопасности не ниже 4 уровня доверия для программного обеспечения в соответствии с СТ РК ISO/IEC 15408-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты» (далее - СТ РК ISO/IEC 15408-3) или акт по результатам испытаний на соответствие требованиям информационной безопасности, выданного уполномоченным органом в сфере обеспечения информационной безопасности                    

В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.

Общий порядок работ и услуг
При положительном решении ОПС направляет Заказчику решение установленной формы.
При отрицательных результатах направляет Заказчику решение об отказе в выдаче Сертификата соответствия с указанием причин
Отказ выдается заявителю если:
• выявленное в процессе сертификации несоответствие неисправимо, если заявитель отказывается выполнять корректирующие действия по результатам проведенных испытаний продукции;
• к заявке прилагается неполный пакет документов;
• в представленных документах содержится недостоверная информация;
• невозможно однозначно распознать продукцию по отличительным признакам в процессе ее идентификации;
• отсутствует информация для потребителя.
В случае отрицательных результатов Заявитель имеет право подать апелляцию в Комиссию по жалобам и апелляциям ТОО «Sertsoft».
   ОПС принимает решение о приостановлении действия сертификата соответствия в следующих случаях:
• отрицательных результатов инспекционного контроля (планового или внепланового);
• если путем корректирующих действий, согласованных с ОПС, Заказчик устраняет обнаруженные причины несоответствия и подтверждает без дополнительных испытаний соответствие продукции техническим регламентам в испытательной лаборатории при повторном инспекционном контроле;
• выявления нарушения правил использования сертификата и применения знака соответствия;
• добровольного запроса Заказчика о приостановлении действия сертификата;
• изменения технических регламентов на продукцию или метода испытаний без соответствующего уведомления ОПС;
• изменения конструкции (состава), комплектности продукции, организации и (или) технологии производства, без соответствующего уведомления ОПС;
• изменения (невыполнения) требований технологии производства продукции;
• изменения (невыполнения) методов контроля и испытаний без согласования с ОПС.
 Решение о приостановлении действия сертификата соответствия принимается в том случае, если путем корректирующих мероприятий,согласованных с органом по сертификации, владелец сертификата соответствия не может в установленный срок устранить обнаруженные несоответствия и их причины.
   В случае, если владелец сертификата соответствия может выполнить корректирующие действия по устранению выявленных несоответствий в срок не более 10 календарных дней, решение о приостановлении сертификата соответствия не принимается.
   Приостановление действия сертификата соответствия вступает в силу с даты принятия решения ОПС.
Период приостановления действия сертификата соответствия не превышает одного месяца. Действия ОПС:
• оформляет решение о приостановлении действия сертификата соответствия;
• временно запрещает применение Знака соответствия;
• вносит соответствующую информацию в Реестр;
• согласовывает сроки выполнения корректирующих мероприятий;
• контролирует выполнение Заказчиком корректирующих мероприятий.
Решение об отмене действия сертификата соответствия принимается в следующих случаях:
• если выявленное несоответствие продукции неисправимо;
• невыполнения Заказчиком обязательств, предусмотренных Договором (соглашением по сертификации);
• не выполнения запланированных корректирующих действий по устранению несоответствий;
• отказ исполнителя услуг от проведения инспекционного контроля (или от оплаты по его проведению);
•при не проведении необходимых корректирующих действий в установленные сроки или их не результативности;
• если выпускаемая продукция создает реальную угрозу безопасности жизни и здоровью потребителя и безопасности окружающей среды;
• при неоднократном поступлении претензий к выпускаемой продукции;
• при прекращении деятельности Заказчика (если производство продукции прекращено, передано другому производству или произошла ликвидация предприятия).
Отмена действия сертификата соответствия вступает в силу с момента принятия соответствующего решения ОПС.
Информация об отмене действия сертификата соответствия с указанием причин предоставляется Заказчику письменно в течение трех рабочих дней с момента принятия решения.
Заказчик в трехдневный срок возвращает оригинал отмененного сертификата в ОПС.
ОПС в течение семи рабочих дней с момента принятия решения направляет отмененный сертификат соответствия в уполномоченный орган.
Заказчик вправе подать заявку на сертификацию услуг после реализации корректирующих мероприятий по устранению несоответствий, повлекших отмену действия сертификата соответствия.
В этом случае работы по повторной сертификации проводятся без учета результатов предыдущей сертификации.
При возникновении необходимости в прекращении действия выданного сертификата соответствия Заказчик направляет в ОПС заявление с указанием причин. Вместе с заявлением предоставляется подлинник сертификата соответствия и документы, которые могут являться основанием для прекращения действия выданного сертификата соответствия.
ОПС в срок до 5 рабочих дней после получения заявления принимает решение о прекращении действия сертификата соответствия, вносит соответствующие записи в Реестр.
Прекращение действия сертификата соответствия вступает в силу с даты принятия решения ОПС.
Номер схемы Способы подтверждения соответствия Проверка производства Периодическая оценка*** Срок действия сертификата соответствия Примечание
1 Испытания типа     6 месяцев Маркировка не производится
2 Испытания типа Анализ состояния производства Испытания образцов,взятых у продавца. Анализ состояния производства 12 месяцев Маркируется вся выпускаемая продукция данного типа
3 Испытания типа Анализ состояния производства Испытания образцов,взятых у изготовителя. Анализ состояния производства 12 месяцев Маркируется вся выпускаемая продукция данного типа
4 Испытания типа Анализ состояния производства Испытания образцов,взятых у продавца. Испытания образцов,взятых у изготовителя. Анализ состояния производства 18 месяцев Маркируется вся выпускаемая продукция данного типа
5 Испытания типа Испытания образцов,*взятых у продавца. Испытания образцов,взятых у изготовителя. Контроль производства (системы менеджмента качества)**   36 месяцев Маркируется вся выпускаемая продукция данного типа
6 Испытания типа Контроль системы менеджмента качества**   36 месяцев Маркировка не производится
7 Испытания типа     Устанавливается, но не более срока годности продукции Маркировка не производится
8 Испытания типа     Устанавливается, но не более срока годности продукции Маркируется каждое изделие
9 Рассмотрение заявки с прилагаемыми документами     Устанавливается, но не более срока годности продукции Маркировка не производится
10 Рассмотрение заявки с прилагаемыми документами Анализ состояния производства   12 месяцев Маркировка не производится

Примечания:

* – необходимость и объем испытаний определяет ОПС продукции по результатам контроля за сертифицированной системой менеджмента качества (производством);

** – осуществляет ОПС, выдавший сертификат соответствия на систему менеджмента качества;

*** – при наличии сертификата соответствия на систему менеджмента качества конкретной продукции и положительных результатов периодической оценки, анализ условий для выпуска продукции стабильного качества не проводится;

критериями для определения периодичности и объема периодической оценки являются информация о результатах испытаний и проверок продукции и ее производства, проведенных изготовителем, органами государственного контроля и надзора, включая информацию об аналогичной продукции, выпускаемой тем же изготовителем, результаты работ, предшествовавшие выдаче сертификата соответствия, а также требования, установленные Приказом.

Порядок применения схем сертификации продукции

Рассмотрение апелляций, жалоб и претензий осуществляется в соответствии с требованиями Процедуры СМК.ТОО-ДП-07.

При возникновении спорных вопросов по деятельности, осуществляемой ТОО, потребитель (заявитель, клиент и другие заинтересованные стороны) имеет право подать апелляцию. В этом случае приказом Генерального директора ТОО создается апелляционная Комиссия.

Решения, принимаемые апелляционной Комиссией, должны осуществляться в строгом соответствии с требованиями НД государственной системы технического регулирования и обеспечения единства измерений.

Не подлежат рассмотрению апелляции, жалобы, претензии заявителей, поданные анонимно, в которых не указаны фамилия, имя, отчество, нет подписи, а также не изложена суть вопроса. Если условия, послужившие основанием для оставления обращения без рассмотрения, в последующем были устранены, субъект или должностное лицо обязаны рассматривать указанное обращение.

Срок рассмотрения апелляций, жалоб и претензий не позднее 15 календарных дней, требующие дополнительного изучения, рассматриваются в срок до одного месяца. При необходимости дополнительной проверки, сроки могут быть продлены Генеральным директором, но не более чем на один месяц. Продление срока исполнения оформляется в виде служебной записки ответственного исполнителя. Сроки исполнения исчисляются со дня их поступления и регистрации.

Апелляции, жалобы и претензии, поступившие от заинтересованных сторон на бумажных, электронных носителях или в устной форме (в том числе внутренние жалобы), а также опубликованные в средствах массовой информации, регистрируются в день их поступления в журналерегистрации апелляций, жалоб и претензий потребителей. Апелляции, жалобы и претензии, поступающие в электронном виде, распечатываются делопроизводителем на бумажный носитель и регистрируются в журналерегистрации апелляций, жалоб и претензий потребителей.

Генеральный директор принимает решение в отношении поступившей жалобы, либо претензии, либо апелляции. В зависимости от принятого решения, Генеральный директор направляет жалобы и претензии руководителям подразделений, апелляции – в апелляционную Комиссию.

Рассмотрение жалоб и претензий

Получив жалобу или претензию, руководитель подразделения определяет, касается ли данная жалоба или претензия деятельности ОПС/ИЦ/ТОО, и если да, то начинает работу с ней.

Зарегистрированная жалоба или претензия анализируется руководителем подразделения. Анализ производится на основании нормативных документов, определяющих требования к соответствующей работе или услуге.Результаты анализа претензии или жалобы являются основанием для принятия решения. Решение, сообщаемое подателю жалобы или претензии, принимается лицом (-ами), не задействованным (-ими) в предмете жалобы или претензии. Результаты анализа и обработки жалобы или претензии в письменном виде доводятся до сведения подателя жалобы или претензии, от которого данная жалоба или претензия поступила.

Рассмотрение апелляций

Действия по управлению поступившей апелляцией поручаются апелляционной Комиссии, состоящей из лиц, не задействованных в проведении данных работ или оказанных услуг, и действующей в соответствии с положением СМК.ТОО-ПЛ-01. Апелляционная Комиссия несет ответственность за сбор и подготовку документов по предмету апелляции и их предварительный анализ.

Предварительный анализ апелляции проводится совместно с руководителем подразделения, к компетенции которого относится данная апелляция, с целью определения обоснованности апелляции, установления причины появления апелляции и определения необходимых действий в отношении полученной апелляции. При этом определяется, может ли апелляция быть удовлетворена с учетом мер, предложенных подавшим апелляцию.

Анализ апелляции производится на базе нормативных документов, определяющих требования к соответствующей работе, услуге или документу.

Апелляция может носить необоснованный характер, т.к. может быть подана на заведомо правильные действия и результаты деятельности ОПС/ИЦ/ТОО.

В случае обоснованности апелляции разрабатывается план необходимых действий, определяются конкретные сроки.

Разработанные действия и сроки их выполнения фиксируются в протоколе несоответствий и Журнале регистрации несоответствий, руководитель подразделения несет ответственность за выполнение всех разработанных действий в установленные сроки и подготовку отчета о выполненных действиях.

По результатам анализа и разработанных действий по апелляциям апелляционной Комиссией принимается окончательное решение.

Принятое апелляционной Комиссией решение, а также результаты анализа и обработки апелляции со стороны подразделения в письменном виде доводятся до заявителя апелляции.

В случае несогласия с решением апелляционной Комиссии заявитель имеет право обратиться в уполномоченные органы в области технического регулирования или аккредитации.

В случае необоснованности апелляции ответственное лицо подготавливает официальный ответ в адрес заявителя с доказательствами правильности действий ТОО применительно к случаю, на который была подана апелляция. В ответе должны быть приведены ссылки на нормативные документы, в соответствии с требованиями которых принималось решение о подтверждении соответствия.

Информация о полученных апелляциях на действия ТОО в целом и результатах управления этими апелляциями рассматривается при проведении анализа систем менеджмента ТОО и включается в отчет об анализе систем менеджмента качества ТОО.

*ИЛ - Испытательная Лаборатория
*ОПС - Орган по сертификации

Порядок подтверждения соответствия продукции включает следующие этапы:
  • регистрация и рассмотрение поступившей заявки на сертификацию;
  • составление плана действий по оценке;
  • принятие решения по заявке, в том числе выбор схемы;
  • заключение договора на проведение работ по подтверждению соответствия;
  • отбор образцов и идентификацию образцов;
  • составление программы сертификационных испытаний;
  • проведение испытаний;
  • оценку производства (если это предусмотрено схемой сертификации);
  • анализ протоколов испытаний, экспертное заключение;
 • анализ данных и принятие решения о выдаче (об отказе в выдаче) Сертификата соответствия;
 • оформление и регистрацию Сертификата соответствия в реестре государственной системы технического регулирования;
  • выдачу Сертификата соответствия;
  • осуществление инспекционного контроля за сертифицированной продукцией (если это предусмотрено схемой сертификации);
Услуги
Политики
Сертификаты
SertSoft 2025. Все права защишены.
×