Общий подход к «Обновлению сертифицированных СрЗИ»

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()
Опубликовано в:

 

  • Речь в документе должна идти в первую очередь о порядке подтверждения соответствия сертифицируемой продукции после внесения в нее изменений, и только потом о рекомендациях для участников.

    • При этом, рекомендовать может ИЛ, Орган и т.п. Но процедура должна быть четкой.
  • В процессе проведения сертификационных испытаний, испытательная лаборатория формирует порядок, условия и объем изменений допустимых для внесения в сертифицируемую продукцию не ухудшающих ее сертифицированные параметры.
    • По сути на этапе сертификации определяется допустимый объем изменений, не требующих проведение повторных испытаний, обоснований, и т.п.
    • Конечно к таким изменениям могут относиться:

      • антивирусные базы;
      • файлы настроек, которые меняются применительно к конкретному объекту эксплуатации (например, setup.ini, config.ini и т.п. в зависимости от продукции)
      • элементы интерфейса, при условии что они могут быть идентифицированы аттестаторами (например, нельзя менять интерфейсы если они зашиты в исполняемые модули. Можно если лежать отдельными файлами картинок, web-формами и т.п. с указанием ограничений по их изменению и т.п.)
    • важно что эти процедуры проводятся на этапе сертификации. Если уже сертифицировано, но нужно вносить — проводится ИК и в процессе его проведения уточняются все моменты на будущее.
  • Сформированный порядок, условия и объем допустимых изменений наряду с условиями по эксплуатации и ограничениями по эксплуатации включаются в эксплуатационную документацию на сертифицируемую продукцию (Формуляр на продукцию).

    • По сути, порядок включается в эксплуатационную документацию для допустимого объема изменений.
  • Все остальные процедуры связанные с внесением изменений должны проходить в рамках сертификации по упрощенной схеме — «Инспекционный контроль».

    • Это связано с тем, что любые изменения за рамками установленных как допустимые — выпадают и требуют подтверждения ИЛ.
  • Как в таком случае должен проходить инспекционный контроль:

    • Заявитель формирует перечень изменений с обоснованием необходимости внесения изменений (устранение уязвимостей, расширение функционала и т.п.).

      • Напоминаю, что эта процедура для сертифицированной продукции, когда изменения выходят за рамки установленных допустимых.
    • Заявитель указывает предполагаемый порядок обновления сертифицированной продукции для потребителей.
    • Заявитель пишет письмо в ФСТЭК и в ИЛ с указанием о необходимости проведения ИК и прилагает перечень изменений, обоснование, порядок обновления.
    • Испытательная лаборатория проводит:

      • идентификацию изменений (проверяет что заявленные в перечне изменения соответствуют действительности)
      • рассматривает обоснование внесения изменений
      • проводит предварительную оценку влияния внесенных изменений на сертифицированные параметры сертифицированной ранее продукции (определяет степень влияния)
      • по результатам предварительной оценки формирует (при необходимости) перечень испытаний продукции для подтверждения не влияния или не ухудшения сертифицированных параметров.
      • формирует или обосновывает использование старых утвержденных программно-методических материалов
      • проводит (при необходимости) испытания и подтверждает соответствие продукции после внесения изменений заявленным требованиям.
    • ФСТЭК России распространяет действие сертификата соответствия на продукцию с внесенными изменениями или выпускает новый сертификат соответствия.
Оцените материал:
Total votes: 60
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.