Iii. проведение работ по аттестации объектов информатизации
11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:
а) технический паспорт на объект информатизации по форме согласно приложениям № 1, 2 к настоящему Порядку;
б) акт классификации информационной (автоматизированной) системы по форме согласно приложению № 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее – акт категорирования значимого объекта);
в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);
д) проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);
е) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;
ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца объекта информатизации);
з) документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.
12. На основе анализа документов, предусмотренных пунктом 11 настоящего Порядка, и предварительного ознакомления с объектом информатизации в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний.
13. Программа и методики аттестационных испытаний объекта информатизации состоят из следующих разделов:
а) общие положения;
б) программа аттестационных испытаний объекта информатизации;
в) методики аттестационных испытаний объекта информатизации.
13.1. Раздел, касающийся общих положений, должен включать следующие сведения:
а) наименование и краткое описание архитектуры объекта информатизации, класс защищенности информационной (автоматизированной) системы, категорию значимого объекта;
б) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, назначенных для проведения аттестации объекта информатизации;
в) наименование и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводится аттестация объекта информатизации;
г) угрозы безопасности информации, актуальные для объекта информатизации, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации.
13.2. Раздел, касающийся программы аттестационных испытаний объекта информатизации, должен включать перечень работ по аттестации объекта информатизации, в том числе работы по обследованию объекта информатизации в условиях его эксплуатации, проведению аттестационных испытаний в соответствии с разрабатываемыми методиками испытаний, оформлению результатов аттестационных испытаний, а также общий срок проведения аттестации объекта информатизации и сроки выполнения каждой работы по аттестации объекта информатизации, фамилию и инициалы эксперта органа по аттестации, ответственного за проведение каждой работы.
13.3. Раздел, касающийся методик аттестационных испытаний объекта информатизации, должен включать для каждого аттестационного испытания порядок, условия, исходные данные и методы испытаний, применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование.
14. Программа и методики аттестационных испытаний объекта информатизации согласовываются органом по аттестации с владельцем объекта информатизации и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.
В ходе аттестационных испытаний объекта информатизации орган по аттестации может вносить изменения в программу и методики аттестационных испытаний объекта информатизации по согласованию с владельцем объекта информатизации.
15. Аттестационные испытания включают следующие мероприятия и работы:
а) оценку соответствия технического паспорта объекта информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и настоящему Порядку;
б) проверку наличия и согласования с ФСТЭК России в соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2021 г.
№ 676 (Собрание законодательства Российской Федерации, 2021, № 28, ст. 4241; 2020, № 42, ст. 6615; 2021, № 23, ст. 4079), модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);
в) обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации, а также документам, предусмотренным пунктом 11 настоящего Порядка;
г) проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;
д) проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2021 г.
№ 55 (зарегистрирован Минюстом России 11 мая 2021 г., регистрационный № 51063) (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;
е) проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;
ж) оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;
з) оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
и) оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
к) оценку эффективности защиты (защищенности) информации от утечки по техническим каналам (только для защищаемых помещений).
16. При проведении аттестационных испытаний органом по аттестации проводятся:
а) при проведении мероприятий и работ, предусмотренных подпунктами «а» – «з» пункта 15 настоящего Порядка, – оценка соответствия системы защиты информации объекта информатизации требованиям по защите информации на основе анализа экспертами органа по аттестации документов, предусмотренных пунктом 15 настоящего Порядка;
б) при проведении работ, предусмотренных подпунктом «и» пункта 15 настоящего Порядка, – испытания системы защиты информации путем осуществления тестирования ее функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования;
в) при проведении работ, предусмотренных подпунктом «к» пункта 15 настоящего Порядка, – оценка показателей эффективности защиты информации с применением контрольно-измерительного и испытательного оборудования.
17. В ходе аттестационных испытаний объекта информатизации владельцем объекта информатизации могут вноситься изменения в объект информатизации, в том числе в архитектуру его системы защиты информации, в целях приведения объекта информатизации в соответствие с требованиями по защите информации.
18. По результатам аттестационных испытаний орган по аттестации оформляет заключение по результатам аттестационных испытаний объекта информатизации (далее – заключение), включающее следующие сведения:
а) наименование объекта информатизации и его назначение, состав программно-технических, программных средств и средств защиты информации;
б) класс защищенности информационной (автоматизированной) системы, категория значимости значимого объекта;
в) фамилии, имена, отчества (при наличии), должности экспертов органа по аттестации, проводивших аттестацию объекта информатизации;
г) дату утверждения программы и методик аттестационных испытаний объекта информатизации;
д) срок проведения аттестационных испытаний;
д) наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась аттестация объекта информатизации;
е) результаты испытаний, предусмотренных пунктом 15 настоящего Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о соответствии (несоответствии) требованиям по защите информации по каждой проведенной работе и испытанию;
ж) рекомендации по устранению несоответствий системы защиты информации объекта информатизации требованиям по защите информации (далее – недостатки) в случае их выявления при проведении аттестационных испытаний;
з) вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации объекта информатизации.
Заключение подписывается экспертами органа по аттестации, проводившими аттестацию объекта информатизации, и утверждается руководителем органа по аттестации.
19. По результатам испытаний, предусмотренных подпунктами «и» и «к» пункта 15 настоящего Порядка, органом по аттестации наряду с заключением по результатам аттестационных испытаний оформляются протоколы аттестационных испытаний объекта информатизации (далее – протоколы), содержащие:
а) наименование испытания в соответствии с программой и методикой испытаний;
б) дату утверждения программы и методик аттестационных испытаний объекта информатизации;
в) дату и место проведения аттестационных испытаний;
г) критерии выполнения требований по защите информации, в отношении которых проводились испытания;
д) условия и исходные данные для проведения испытаний;
е) применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа, а также контрольно-измерительное и испытательное оборудование;
ж) описание порядка испытаний по оценке критериев выполнения требований по защите информации;
з) результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.
Протоколы подписываются экспертами органа по аттестации, проводившими аттестационные испытания объекта информатизации.
20. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.
21. В случае выявления в ходе аттестационных испытаний недостатков, которые можно устранить в процессе аттестации объекта информатизации, владелец объекта информатизации обеспечивает их устранение, а орган по аттестации оценивает качество такого устранения.
По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации (далее – аттестат соответствия) на объект информатизации.
22. Аттестат соответствия оформляется органом по аттестации по форме согласно приложению № 4 к настоящему Порядку.
Аттестат соответствия подписывается руководителем органа по аттестации и заверяется печатью органа по аттестации (при наличии).
Аттестат соответствия вручается органом по аттестации владельцу объекта информатизации или направляется ему заказным почтовым отправлением с уведомлением о вручении.
23. В случае выявления при проведении аттестационных испытаний недостатков, которые невозможно устранить в процессе аттестации объекта информатизации, работы по аттестации объекта информатизации завершаются, аттестат соответствия не оформляется.
24. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия (далее – обращение)
в ФСТЭК России. Обращения федеральных органов государственной власти или государственных корпораций направляются в центральный аппарат ФСТЭК России, обращения иных владельцев объектов информатизации направляются в управление ФСТЭК России по федеральному округу, на территории которого расположен объект информатизации (далее – территориальный орган ФСТЭК России).
К обращению прилагаются в электронном виде копии следующих документов:
а) технического паспорта на объект информатизации;
б) акта классификации информационной (автоматизированной) системы (акта категорирования значимого объекта);
в) программы и методик аттестационных испытаний объекта информатизации;
г) заключения и протоколов.
25. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов, указанных в пункте 24 настоящего Порядка, на предмет соответствия проведенных органом по аттестации аттестационных испытаний и выводов, содержащихся в заключении, требованиям по защите информации и настоящему Порядку.
По согласованию с владельцем объекта информатизации работники ФСТЭК России (территориального органа ФСТЭК России) проводят контрольные испытания на объекте информатизации в соответствии с пунктами 15 и 16 настоящего Порядка.
26. Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, установлено несоответствие аттестационных испытаний и (или) выводов, содержащихся в заключении или протоколах, требованиям по защите информации или настоящему Порядку, ФСТЭК России (территориальный орган ФСТЭК России) направляет в орган по аттестации уведомление о необходимости устранения выявленных недостатков в указанный в уведомлении срок.
Если по результатам оценки, проведенной в соответствии с пунктом 25 настоящего Порядка, ФСТЭК России (территориальным органом ФСТЭК России) подтвержден вывод органа по аттестации о невозможности выдачи аттестата соответствия, аттестат соответствия на объект информатизации органом по аттестации не оформляется.
27. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
а) аттестата соответствия объекта информатизации;
б) технического паспорта на объект информатизации;
в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;
г) программы и методик аттестационных испытаний объекта информатизации;
д) заключения и протоколов.
Копии технического паспорта на объект информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем объекта информатизации в орган по аттестации.
28. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 20 пункта 9 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
29. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.
30. В случае выявления по результатам экспертно-документальной оценки представленных материалов недостатков, которые свидетельствуют о несоответствии принятых на объекте информатизации мер требованиям по защите информации и (или) их недостаточности для защиты от актуальных для объекта информатизации угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных недостатков, а также рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации.
Об устранении недостатков владелец объекта информатизации информирует ФСТЭК России (территориальный орган ФСТЭК России). Неустранение недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России), в указанный в заключении срок является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34 – 37 настоящего Порядка.
В случае выявления по результатам проведенной оценки недостатков, не приводящих к возникновению угроз безопасности информации, ФСТЭК России (территориальный орган ФСТЭК России) направляет письмо в орган по аттестации с целью учета при проведении работ по аттестации объектов информатизации.
31. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.
Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34-37 настоящего Порядка.
33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком.
В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация в соответствии с настоящим Порядком.
34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) установления факта несоответствия аттестованного объекта информатизации требованиям по защите информации, в результате чего имеется или имелась возможность возникновения угроз безопасности информации;
б) неустранения недостатков, выявленных ФСТЭК России (территориальным органом ФСТЭК России) в соответствии с пунктом 30 настоящего Порядка;
в) непредставления протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;
г) изменений архитектуры системы защиты информации аттестованного объекта информатизации, которые приводят к несоответствию этого объекта аттестату соответствия;
д) обращения владельца объекта информатизации о приостановлении действия аттестата соответствия.
Установление фактов несоответствия аттестованного объекта информатизации требованиям по защите информации, неустранения недостатков и изменений архитектуры осуществляется на основании:
результатов контроля за состоянием работ по технической защите информации, осуществляемого ФСТЭК России в соответствии с подпунктом 7 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085;
результатов контроля за реализацией настоящего Порядка.
35. Решение о приостановлении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
Действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней.
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о приостановлении действия аттестата соответствия.
36. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о приостановлении действия аттестата соответствия в реестр аттестованных объектов информатизации.
37. В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации.
38. Действие аттестата соответствия возобновляется ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) устранения несоответствия объекта информатизации требованиям по защите информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих устранение недостатков;
б) представления в ФСТЭК России протоколов контроля уровня защиты информации на аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;
в) проведения аттестации объекта информатизации в соответствии с настоящим Порядком для измененной архитектуры системы защиты информации и представления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) материалов, подтверждающих проведение аттестации;
г) обращения владельца объекта информатизации о возобновлении действия аттестата соответствия на объект информатизации в случае, если решение о приостановлении его действия было принято по обращению владельца объекта информатизации.
39. Решение о возобновлении действия аттестата соответствия на объект информатизации оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о возобновлении действия аттестата соответствия.
40. Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае:
а) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих устранение недостатков;
б) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;
в) непредставления владельцем объекта информатизации в установленный в уведомлении о приостановлении действия аттестата соответствия срок материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;
г) обращения владельца объекта информатизации о прекращении действия аттестата соответствия.
41. Решение о прекращении действия аттестата соответствия оформляется приказом ФСТЭК России (территориального органа ФСТЭК России).
Приказ территориального органа ФСТЭК России о прекращении действия аттестата соответствия подлежит согласованию со структурным подразделением ФСТЭК России, на которое возложены вопросы организации аттестации объектов информатизации.
ФСТЭК России (территориальный орган ФСТЭК России) в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает владельцу объекта информатизации уведомление о прекращении действия аттестата соответствия.
42. В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено.
43. ФСТЭК России (территориальный орган ФСТЭК России) вносит сведения о прекращении действия аттестата соответствия в реестр аттестованных объектов информатизации.
44. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.
В течение 20 рабочих дней со дня получения заявления о выдаче дубликата аттестата соответствия орган по аттестации оформляет дубликат аттестата соответствия с пометкой «дубликат, оригинал аттестата соответствия признается недействующим» и вручает его владельцу объекта информатизации или направляет заказным почтовым отправлением с уведомлением о вручении.
45. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.
Приложение № 1к Порядку организации и проведенияработ по аттестации объектовинформатизации на соответствиетребованиям о защите информации,не составляющей государственную тайну,утвержденному приказом ФСТЭК Россииот 29 апреля 2021 г. № 77
Форма
УТВЕРЖДАЮ
___________________________________
(руководитель (уполномоченное лицо)
владельца объекта информатизации)
___________________________________
(подпись, инициалы и фамилия)
“___”______________ 20__ г.
ТЕХНИЧЕСКИЙ ПАСПОРТ
информационной (автоматизированной) системы
_________________________________________________________________________
(наименование информационной (автоматизированной) системы)
1. Общие сведения об информационной (автоматизированной) системе.
1.1. Наименование и назначение информационной (автоматизированной)
системы: _______________________________________________________________.
1.2. Расположение программно-технических средств информационной
(автоматизированной) системы: __________________________________________.
(указываются адреса расположения средств)
1.3. Установленный класс защищенности информационной
(автоматизированной) системы (категория значимого объекта, уровень
защищенности персональных данных): _____________________________________.
(указываются реквизиты документа)
1.4. Сведения о вводе информационной (автоматизированной) системы в
эксплуатацию: __________________________________________________________.
(указываются номер и дата приказа о вводе в эксплуатацию)
2. Условия эксплуатации информационной (автоматизированной) системы
2.1. Сведения об архитектуре информационной (автоматизированной)
системы, включающие описание структуры и состава (типовых компонентов),
структурную (топологическую) схему с указанием информационных связей
между компонентами информационной (автоматизированной) системы и иными
информационными системами, в том числе с сетью Интернет ________________.
2.2. Описание технологического процесса обработки информации и
режимы доступа к информационным ресурсам, включающее описание всех типов
внешних, внутренних пользователей (привилегированных,
непривилегированных), полномочий пользователей и тип доступа к
информационным ресурсам ________________________________________________.
2.3. Сведения об аттестате соответствия информационно-
телекоммуникационной инфраструктуры центра обработки данных, на базе
которой функционирует информационная (автоматизированная) система, а
также о модели услуг, по которой предоставляются вычислительные услуги
(заполняется при условии аттестации информационной (автоматизированной)
системы на базе аттестованной на соответствие требованиям по защите
информации информационно-телекоммуникационной инфраструктуры центра
обработки данных): _____________________________________________________.
(указываются реквизиты аттестата соответствия и модель услуг)
3. Состав информационной (автоматизированной) системы.
3.1. Состав программно-технических средств информационной
(автоматизированной) системы: __________________________________________.
(указываются типы технических средств, их
наименования и модели)
3.2. Состав общесистемного и прикладного программного обеспечения
информационной (автоматизированной) системы:
________________________________________________________________________.
(указываются типы программного обеспечения, их наименования и основные
(мажорные) версии)
3.3. Состав телекоммуникационного оборудования информационной
(автоматизированной) системы и используемые для передачи информации линии
связи: _________________________________________________________________.
(указываются типы оборудования, их наименования и основные (мажорные)
версии)
3.4. Состав средств защиты информации, используемых в информационной
(автоматизированной) системе: ___________________________________________
________________________________________________________________________.
(указываются типы средств их наименования и основные (мажорные) версии,
сведения о сертификатах соответствия)
4. Сведения о соответствии информационной (автоматизированной)
системы требованиям по защите информации.
4.1. Сведения о протоколах аттестационных испытаний информационной
(автоматизированной) системы ___________________________________________.
(реквизиты протоколов и дата их выдачи)
4.2. Сведения о заключении по результатам аттестационных испытаний
информационной (автоматизированной) системы ____________________________.
(реквизиты заключения и дата выдачи)
4.3. Сведения об аттестате соответствия информационной
(автоматизированной) системы на соответствие требованиям о защите
информации: ____________________________________________________________.
(реквизиты аттестата соответствия, дата выдачи)
5. Сведения о проведении контроля за обеспечением уровня защиты
информации, содержащейся в информационной (автоматизированной) системе,
приведены в таблице 1.
Таблица 1
6. Сведения об изменениях информационной (автоматизированной)
системы и средств защиты информации приведены в таблице 2.
Таблица 2
Ответственный за обеспечение защиты информации в ходе эксплуатации
информационной (автоматизированной) системы
_________________________ ________________________________
(должность) (подпись, фамилия и инициалы)
“___”______________ 20__ г.
Приложение № 2к Порядку организации и проведенияработ по аттестации объектовинформатизации на соответствиетребованиям о защите информации,не составляющей государственную тайну,утвержденному приказом ФСТЭК Россииот 29 апреля 2021 г. № 77
Форма
УТВЕРЖДАЮ
___________________________________________
(руководитель (уполномоченное лицо) владельца
объекта информатизации)
___________________________________
(подпись, инициалы и фамилия)
“___”______________ 20__ г.
ТЕХНИЧЕСКИЙ ПАСПОРТ
защищаемого помещения
_________________________________________________________________________
(наименование защищаемого помещения)
1. Общие сведения о защищаемом помещении
1.1. Наименование и назначение защищаемого помещения: _____________.
1.2. Расположение защищаемого помещения: __________________________.
(указываются адрес, строение, этаж, номер)
1.3. Сведения о проведении проверок защищаемого помещения с целью
выявления возможно внедренных электронных устройств перехвата информации:
________________________________________________________________________.
(указываются реквизиты заключения, наименование организации, проводившей
проверки)
1.4. Сведения об аттестации защищаемого помещения:
________________________________________________________________________.
(указываются реквизиты аттестата соответствия требованиям по безопасности
информации)
1.5. Сведения о вводе защищаемого помещения в эксплуатацию:
________________________________________________________________________.
(указываются номер и дата приказа о вводе в эксплуатацию защищаемого
помещения)
2. Условия расположения и эксплуатации защищаемого помещения
2.1. Сведения и схема расположения защищаемого помещения
относительно границ контролируемой зоны с указанием расстояний до ее
границ, сведения и схема основных технических средств и систем (в случае
их наличия), вспомогательных технических средств и систем, средств защиты
информации, а также линий, имеющих выход за пределы контролируемой зоны,
относительно границ контролируемой зоны с указанием расстояний до ее
границ.
2.2. Сведения и схемы электроснабжения и заземления основных
технических средств и систем (в случае их наличия) и вспомогательных
технических средств и систем, установленных в защищаемом помещении,
включая место расположения трансформаторной подстанции и заземляющего
устройства, с указанием расстояний до границ контролируемой зоны,
сведения о сопротивлении заземляющего устройства (при наличии основных
технических средств и систем).
3. Состав защищаемого помещения
3.1. Состав основных технических средств и систем, установленных в
защищаемом помещении, представлен в таблице 1.
Таблица 1
3.2. Состав вспомогательных технических средств и систем,
установленных в защищаемом помещении, представлен в таблице 2.
Таблица 2
3.3. Состав средств защиты информации, используемых в защищаемом
помещении, представлен в таблице 3.
Таблица 3
4. Сведения о периодическом контроле защищаемого помещения
представлены в таблице 4.
Таблица 4
5. Сведения об изменениях состава, условий размещения и эксплуатации
защищаемого помещения представлены в таблице 5.
Таблица 5
Ответственный за эксплуатацию защищаемого помещения
___________________________ _______________________________
(должность) (подпись, фамилия и инициалы)
“___”____________ 20__ г.
Приложение № 3к Порядку организации и проведенияработ по аттестации объектовинформатизации на соответствиетребованиям о защите информации,не составляющей государственную тайну,утвержденному приказом ФСТЭК Россииот 29 апреля 2021 г. № 77
Форма
УТВЕРЖДАЮ
___________________________________________
(руководитель (уполномоченное лицо) владельца
объекта информатизации)
___________________________________
(подпись, инициалы и фамилия)
“___”______________ 20__ г.
АКТ
классификации информационной (автоматизированной) системы
_________________________________________________________________________
(наименование информационной (автоматизированной) системы)
Комиссия, назначенная приказом ____________________________, провела
классификацию информационной (автоматизированной) системы
________________________________________________________________________.
Комиссия установила:
1. Масштаб информационной (автоматизированной)
системы ________________________________________________________________.
2. Уровень значимости информации, содержащейся в информационной
(автоматизированной) системе ___________________________________________.
3. Класс защищенности информационной (автоматизированной)
системы ________________________________________________________________.
Члены комиссии:
_______________________________ _____________________________________
(должность) (подпись, фамилия и инициалы)
_______________________________ _____________________________________
(должность) (подпись, фамилия и инициалы)
Приложение № 4к Порядку организации и проведенияработ по аттестации объектовинформатизации,утвержденному приказом ФСТЭК Россииот 29 апреля 2021 г. № 77
Форма
АТТЕСТАТ СООТВЕТСТВИЯ
требованиям по защите информации
№ ________________________________________________________
(номер аттестата соответствия в формате ХХХХ.ХХХХХ.ХХХХ)6
Выдан: _________________________________________________________________.
(дата выдачи аттестата соответствия)
1. Настоящим АТТЕСТАТОМ удостоверяется, что
________________________________________________________________________,
(наименование объекта информатизации, класс защищенности информационной
(автоматизированной) системы, категория значимого объекта)
принадлежащий __________________________________________________________,
(наименование владельца объекта информатизации)
соответствует __________________________________________________________.
(наименование требований по защите информации, на соответствии
которым проводилась аттестация)
2. Состав программных, программно-технических средств и средств
защиты информации приведен в техническом паспорте на объект
информатизации от “___”____________ 20__ г.
3. Организационные и технические условия, имеющиеся у владельца
объекта информатизации, обеспечивают поддержку безопасности
аттестованного объекта информатизации в процессе эксплуатации в
соответствии с требованиями по защите информации.
4. Аттестат соответствия выдан на основании результатов
аттестационных испытаний, проведенных органом по аттестации ____________.
(наименование органа по аттестации)
Аттестация проведена в соответствии с программой и методиками
аттестационных испытаний, утвержденными органом по аттестации
_________________________________________ от ____ _______________ 20__ г.
(наименование органа по аттестации)
В соответствии с результатами аттестационных испытаний в
_________________________________________________________________________
(наименование объекта информатизации)
разрешается обработка информации, не содержащей сведения, составляющие
государственную тайну (информации конфиденциального характера).
5. Результаты аттестационных испытаний приведены в заключении по
результатам аттестационных испытаний от ” ” 20 г.
6. При эксплуатации аттестованного объекта информатизации не
допускается:
вносить несанкционированные изменения в конфигурацию программных,
программно-технических средств, средств защиты информации;
осуществлять несанкционированную замену программных,
программно-технических средств, средств защиты информации на аналогичные
средства;
вносить изменения в архитектуру системы защиты информации, изменять
состав, структуру системы защиты информации;
проводить обработку информации в случае приостановки действия
аттестата соответствия в соответствии с решением ФСТЭК России;
проводить обработку информации в случае обнаружения неисправностей в
системе защиты информации объекта информатизации;
проводить обработку информации в случае обнаружения инцидента
безопасности.
7. Контроль за уровнем защиты информации на объекте информатизации
возлагается на _________________________________________________________.
(наименование подразделения (ответственного работника)
Руководитель органа по аттестации
М.П.
_________________________________
(подпись, фамилия и инициалы)
——————————
1 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2021 г. № 17 (зарегистрирован Минюстом России 31 мая 2021 г., регистрационный № 28608), с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2021 г.
№ 27 (зарегистрирован Минюстом России 14 марта 2021 г., регистрационный № 45933), приказом ФСТЭК России от 28 мая 2021 г. № 106 (зарегистрирован Минюстом России 13 сентября 2021 г., регистрационный № 55924), приказом ФСТЭК России от 27 апреля 2020 г. № 61 (зарегистрирован Минюстом России 12 мая 2020 г., регистрационный № 58322).
Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2021 г. № 31 (зарегистрирован Минюстом России 18 мая 2021 г., регистрационный № 46769), с изменениями, внесенными приказом ФСТЭК России от 14 января 2021 г.
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2021 г. № 239 (зарегистрирован Минюстом России 26 марта 2021 г., регистрационный № 50524), с изменениями, внесенными приказом ФСТЭК России от 9 августа 2021 г.
№ 138 (зарегистрирован Минюстом России 5 сентября 2021 г., регистрационный № 52071), приказом ФСТЭК России от 26 марта 2021 г. № 60 (зарегистрирован Минюстом России 18 апреля 2021 г., регистрационный № 54443), приказом ФСТЭК России от 20 февраля 2020 г. № 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный № 59793).
Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объекта, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2021 г.
№ 31 (зарегистрирован Минюстом России 30 июня 2021 г., регистрационный № 46769), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2021 г. № 49 (зарегистрирован Минюстом России 25 апреля 2021 г., регистрационный № 46487), приказом ФСТЭК России от 9 августа 2021 г. № 138 (зарегистрирован Минюстом России 5 сентября 2021 г., регистрационный № 52071).
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2021 г. № 21 (зарегистрирован Минюстом России 14 мая 2021 г., регистрационный № 28375), с изменениями, внесенными приказом ФСТЭК России от 23 марта 2021 г.
Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. № 191 (зарегистрирован Минюстом России 6 июля 2009 г., регистрационный № 14230).
2 Пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. № 374-ст. (Москва: Стандартинформ, 2007).
3 Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2021 г. № 79 (Собрание законодательства Российской Федерации, 2021, № 7, ст. 863; 2020, № 49, ст. 7943).
4 В случае отсутствия необходимости специальной проверки технических средств пункт не заполняется.
5 В случае отсутствия необходимости применения сертифицированных средств защиты информации пункт не заполняется.
6 Первая группа знаков содержит число от 0001 до 9999, указывающие на номер лицензии ФСТЭК России на деятельность по технической защите информации, выданной органу по аттестации. Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер аттестованного объекта информатизации в системе учета органа по аттестации. Третья группа знаков содержит число, указывающее на год выдачи аттестата соответствия.
Гост р 52361-2021 контроль объекта аналитический. термины и определения от 22 июня 2021 –
ГОСТ Р 52361-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОКС 01.040.17
Дата введения 2021-09-01
1 РАЗРАБОТАН Ассоциацией аналитических центров (ААЦ) “Аналитика”
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 325 “Аналитический контроль”
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 июня 2021 г. N 354-ст
4 ВЗАМЕН ГОСТ Р 52361-2005
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2021 г. N 162-ФЗ “О стандартизации в Российской Федерации”. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе “Национальные стандарты”, а официальный текст изменений и поправок – в ежемесячном указателе “Национальные стандарты”. В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя “Национальные стандарты”. Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Установленные в настоящем стандарте термины расположены в систематизированном порядке, отражающем систему понятий в области аналитического контроля.
Для каждого понятия установлен один стандартизованный термин.
Нерекомендуемые к применению термины-синонимы приведены в круглых скобках после стандартизованного термина и обозначены пометой “Нрк”.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два термина, имеющие общие терминоэлементы.
В алфавитных указателях термины приведены отдельно с указанием номера статьи.
Помета, указывающая на область применения многозначного термина, приведена в круглых скобках светлым шрифтом после термина. Помета не является частью термина.
Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в данном стандарте.
В стандарте приведены иноязычные эквиваленты стандартизованных терминов на английском языке.
Стандартизованные термины набраны полужирным шрифтом, их краткие формы и иноязычные эквиваленты стандартизованных терминов на английском языке – светлым, а синонимы – курсивом.
Настоящий стандарт устанавливает термины и определения понятий в области аналитического контроля объектов.
Термины, установленные настоящим стандартом, рекомендуются для применения во всех видах документации и литературы в области аналитического контроля, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.
Общие понятия
1 аналитический контроль (объекта): Определение химического состава и в отдельных случаях структуры и свойств вещества и материала объекта аналитического контроля с последующим оцениванием соответствия объекта установленным требованиям при их наличии. Примечания 1 Аналитический контроль может быть частью других видов контроля, например экологического, санитарного и т.д. 2 Примеры объектов аналитического контроля: партия минерального или вторичного сырья, химического продукта, материала, образец грунта, питьевая вода, воздух рабочей зоны, изделие из ювелирного сплава, товарная нефть из резервуара. | analytical control of the object |
2 аналитические работы (в области исследования веществ и материалов): Деятельность, связанная с определением химического состава и в отдельных случаях структуры и свойств вещества и материала объекта аналитического контроля. Примечание – Аналитические работы в общем случае включают отбор и подготовку пробы, аналитическую идентификацию, химический анализ и в отдельных случаях определение структуры и свойств вещества и материалов объекта аналитического контроля. | analytical works |
3 аналитическая лаборатория: Организация или структурное подразделение организации, выполняющие аналитические работы в области исследования веществ и материалов. | analytical laboratory |
4 методикааналитического контроля (объекта): Документированная совокупность операций и правил проведения аналитического контроля конкретных объектов. Примечание – Методика аналитического контроля объекта может состоять из нескольких документов: методики отбора проб, методики подготовки проб, методики химического анализа, методики испытаний, методики измерений, правил приемки и т.п. | test method |
5 требования к химическому составу [структуре; свойствам] вещества [материала] (объекта аналитического контроля): Перечень определяемых или контролируемых компонентов химического состава, характеристик структуры и/или свойств вещества [материала] объекта аналитического контроля, а также установленных для них норм, представленный в документе, регламентирующем требования к объекту. Примечание – Документами, регламентирующими требования к объекту аналитического контроля, считают технические регламенты, стандарты, технические условия, технологическую документацию, контракты, фармакопейные статьи, санитарные нормы и правила, строительные нормы и правила и т.п. | |
6 нормасодержания компонента (в объекте аналитического контроля): Установленный документом диапазон содержания компонента или максимальное и/или минимальное содержание компонента в объекте аналитического контроля, с которым сопоставляется результат анализа. |
Отбор и подготовка проб | |
7 проба вещества [материала] (объекта аналитического контроля): Часть вещества [материала] объекта аналитического контроля, отобранная для анализа, и/или исследования его структуры, и/или определения свойств, отражающая его химический состав, и/или структуру, и/или свойства. Примечания 1 В зависимости от способа получения различают следующие виды проб: разовая, точечная (единичная, частная), мгновенная, суточная и т.п. 2 В зависимости от стадии первичной обработки пробы различают следующие виды проб: исходная, промежуточная, объединенная, средняя, сокращенная, лабораторная, аналитическая и т.п. 3 В зависимости от назначения различают следующие виды проб: контрольная, рабочая, резервная, арбитражная и др. | sample |
8 представительная проба вещества [материала] (объекта аналитического контроля): Проба вещества [материала], которая по химическому составу, и/или свойствам, и/или структуре принимается идентичной объекту аналитического контроля, от которого она отобрана. | representative sample |
9 отбор пробы вещества [материала] (объекта аналитического контроля) (Нрк. пробоотбор): Отделение части вещества [материала] объекта аналитического контроля с целью формирования пробы для последующего определения ее состава, структуры и/или свойств. | sampling |
10 погрешность отбора пробы вещества [материала] (объекта аналитического контроля): Отклонение значения величины, характеризующей состав, структуру, свойства пробы вещества [материала], от значения этой же величины, характеризующей состав, структуру, свойства объекта аналитического контроля в целом. Примечание – Погрешность отбора проб вещества или материала включает: погрешность, обусловленную неоднородностью вещества или материала; погрешность результатов сопутствующих измерений; погрешность, обусловленную изменением состава, и/или структуры, и/или свойств пробы в процессе процедуры отбора пробы и др. | sampling error |
11 неопределенностьотбора пробы вещества [материала] (объекта аналитического контроля): Составляющая суммарной неопределенности, обусловленная процедурой отбора пробы вещества [материала] объекта аналитического контроля. | uncertainty of sampling |
12 подготовка пробы вещества [материала] (объекта аналитического контроля) (Нрк. пробоподготовка): Совокупность процедур, проводимых с целью подготовки пробы вещества [материала] объекта аналитического контроля к определению ее состава, и/или структуры, и/или свойств. Примечание – Процедура подготовки пробы вещества или материала может включать две стадии – предварительную и окончательную. | sample preparation |
13 аналитическаянавеска: Часть пробы вещества или материала установленной массы, целиком используемая при выполнении единичного определения. Примечание – В отдельных случаях в качестве аналитической навески используют всю пробу вещества или материала. | analytical sample |
14 аликвота: Определенный объем жидкого, газообразного или сыпучего гомогенного вещества, представляющий собой часть целого. | aliquot quantity |
Анализ веществ и материалов | |
15 количественный анализ вещества [материала] (объекта аналитического контроля): Экспериментальное определение содержания одного или нескольких аналитов в веществе [материале] объекта аналитического контроля. Примечание – Количественный анализ веществ или материалов рассматривают как специфический вид измерений. | quantitative analysis |
16 качественный анализ вещества [материала] (объекта аналитического контроля): Экспериментальное установление факта присутствия или отсутствия аналита в пробе вещества [материала] объекта аналитического контроля при заданном пороговом значении его содержания или экспериментальное установление факта проявления свойства вещества [материала] на заданном уровне. | qualitative analysis |
17 химическийанализ вещества [материала] (объекта аналитического контроля): Определение компонентов химического состава вещества [материала] объекта аналитического контроля. Примечания 1 По природе определяемых компонентов различают элементный анализ, вещественный анализ, изотопный анализ, структурно-групповой, в т.ч. функциональный анализ, молекулярный анализ, фазовый анализ и др. 2 По природе объекта анализа различают анализ неорганических и органических веществ [материалов]. | chemical analysis [assay] |
18 принцип анализа вещества [материала] (объекта аналитического контроля): Физическое явление или эффект, положенные в основу метода анализа вещества [материала] объекта аналитического контроля. | |
19 химический состав вещества [материала] (объекта аналитического контроля): Совокупность компонентов, из которых состоит вещество [материал] объекта аналитического контроля. Примечание – Под компонентом понимают химический элемент, химическое соединение, радикал, изотоп, функциональную группу, группу, класс веществ, обладающих разными свойствами и т.д. | chemical composition |
20 аналит: Компонент, искомый или определяемый в пробе вещества или материала объекта аналитического контроля. | analyte |
21 качественное свойство вещества [материала] (объекта аналитического контроля): Свойство вещества [материала] объекта аналитического контроля, которое не может быть измерено. Примечание – Примерами качественных свойств являются последовательность аминокислот в полипептиде, запах воды, структура белка и др. | nominal property |
22 метод анализа вещества [материала] (объекта аналитического контроля): Способ получения информации о химическом составе вещества [материала] объекта аналитического контроля на основе одного или нескольких принципов анализа вещества [материала]. Примечание – Примеры методов анализа веществ и материалов: фотометрический, титриметрический, гравиметрический, масс-спектрометрический, потенциометрический, вольтамперометрический, кулонометрический, хроматографический, атомно-абсорбционный, атомно-эмиссионный, рентгенофлуоресцентный, рентгенофазовый, рентгеноструктурный, активационный, иммунно-ферментный, изотопного разбавления и др. | method of analysis [analytical technique] |
23 методика анализа вещества [материала] (объекта аналитического контроля): Документированная совокупность операций и правил, выполнение которых обеспечивает получение результата анализа вещества [материала] объекта аналитического контроля с установленными характеристиками точности (характеристиками погрешности или показателями неопределенности), а для методик определения качественных свойств – с установленной достоверностью. Примечание – Различают методики количественного анализа веществ [материалов] объектов аналитического контроля, методики качественного анализа веществ [материалов] объектов аналитического контроля. | method of analysis [analytical procedure, analytical protocol] |
24 единичное определение: Однократное проведение всей последовательности операций, предусмотренной методикой анализа вещества или материала объекта аналитического контроля. | single determination |
25 параллельные определения: Серия единичных определений, выполненных в условиях повторяемости. | multiple determinations |
26 аналитический сигнал: Сигнал, содержащий количественную информацию о величине, функционально связанной с содержанием аналита и регистрируемой в ходе анализа вещества или материала объекта аналитического контроля. | analytical signal [response] |
27 аналитическое оборудование: Оборудование, используемое в ходе анализа вещества [материала] объекта аналитического контроля. | analytical equipment |
28 градуировкав химическом анализе вещества [материала] (объекта аналитического контроля): Экспериментальное установление градуировочной характеристики в химическом анализе вещества [материала] объекта аналитического контроля. | calibration |
29 градуировочная характеристика: Функциональная зависимость аналитического сигнала от содержания аналита, выраженная в виде формулы, графика или таблицы. Примечание – В зависимости от вида выражения градуировочной характеристики используют словосочетания: градуировочная функция; градуировочный график; градуировочная таблица. | calibration function |
30 градуировочный образец (Нрк. образец для градуировки): Образец сравнения или набор таких образцов, используемый для градуировки в химическом анализе вещества или материала объекта аналитического контроля. Примечание – Разновидностями градуировочного образца являются градуировочный раствор и градуировочная смесь. | calibration sample |
31 образец сравнения (Нрк. образцовое вещество): Материал или вещество объекта аналитического контроля, достаточно однородные в отношении одной или нескольких надежно установленных характеристик, чтобы быть использованными при калибровке прибора, оценке метода измерений или для приписывания значений этих характеристик материалам или веществам. | reference material |
32 холостой опыт: Проведение процедуры анализа вещества или материала объекта аналитического контроля без аналитической пробы или с холостой пробой. | blank experiment |
33 холостая проба вещества [материала] (объекта аналитического контроля): Проба вещества [материала] объекта аналитического контроля, аналогичная аналитической пробе, но не содержащая аналита. | blank (sample) |
34 результат холостого опыта: Содержание аналита, полученное при проведении холостого опыта, используемое при вычислении результата анализа вещества или материала объекта аналитического контроля. Примечание – Результат холостого опыта в качестве поправки может вычитаться из неисправленного результата анализа или использоваться в качестве поправочного множителя. | |
35 чувствительность (в анализе вещества и материала): Значение первой производной градуировочной характеристики при данном содержании аналита. Примечание – Для линейной градуировочной характеристики чувствительность выражается значением тангенса угла наклона градуировочной прямой. | sensitivity |
36 предел обнаружения (аналита): Наименьшее содержание аналита, при котором он может быть обнаружен по данной методике анализа вещества или материала объекта аналитического контроля с заданной доверительной вероятностью. Примечание – Пределом обнаружения обычно считают содержание аналита, равное сумме результата холостого опыта и его стандартного отклонения, умноженного на коэффициент, соответствующий заданной доверительной вероятности. | limit of detection |
37 предел определения (аналита): Наименьшее содержание аналита, которое может быть количественно определено с помощью данной методики анализа вещества или материала объекта аналитического контроля с установленными значениями характеристик погрешности или неопределенности. | limit of determination [limit of quantitation] |
38 диапазон определяемого содержания (аналита): Область значений содержания аналита в пробе вещества или материала объекта аналитического контроля, которые могут быть определены по данной методике анализа вещества или материала. | concentration range |
39 верхняя [нижняя] граница диапазона определяемого содержания (аналита): Максимальное [минимальное] значение содержания аналита в пробе вещества или материала объекта аналитического контроля, которое может быть определено по данной методике анализа вещества или материала. | upper [lower] limit of concentration range |
40 аналитическая идентификация: Отнесение объекта аналитического контроля или его компонентов к конкретному веществу, материалу, классу веществ или материалов. | analytical identification |
41 матрицахимического состава вещества [материала] (объекта аналитического контроля): Компонент или совокупность компонентов, образующих данное вещество или материал объекта аналитического контроля и являющихся его основой. Представление результатов анализа | matrix |
42 результат анализа пробы вещества [материала] (объекта аналитического контроля): Информация о химическом составе пробы вещества или материала объекта аналитического контроля, полученная в ходе анализа вещества или материала. Примечания 1 Если результат анализа вещества или материала является количественным, то он может быть представлен как результат единичного определения или среднее значение результатов параллельных определений (среднеарифметическое значение, медиана). 2 Если результат анализа вещества или материала не является количественным, то он может быть выражен в виде заключения о наличии (отсутствии) аналита относительно некоего порогового значения или в виде словесного описания (“следы”, “положительная реакция”, “отсутствие”, “не обнаружено” и т.п.). | result of analysis |
43 результат аналитического контроля (объекта): Заключение о соответствии или несоответствии объекта аналитического контроля установленным требованиям к его химическому составу, структуре, свойствам, представленное в виде документа. Примечания 1 В качестве результата аналитического контроля объекта может также рассматриваться удостоверение (подтверждение) химического состава (структуры, свойств) объекта. 2 Примерами документов, содержащих результат аналитического контроля объекта, являются сертификат соответствия, сертификат химического состава, паспорт качества, протокол анализа и т.п. | |
44 промах (в анализе вещества или материала): Результат анализа пробы вещества или материала объекта аналитического контроля, резко отличающийся от других результатов анализа этой же пробы. Примечание – Промахом считают теоретически невозможные или маловероятные результаты. | blunder |
45 протокол анализа (отчет об испытаниях) вещества [материала] (объекта аналитического контроля): Документ, содержащий результат(ы) анализа вещества или материала объекта аналитического контроля и информацию, необходимую для правильного и однозначного понимания этих результатов. Примечание – Протокол анализа вещества или материала может быть выполнен на любом носителе (бумажном, электронном, магнитном и т.д.). | test report |
46 сертификатхимического состава [структуры, свойств] вещества [материала] (объекта аналитического контроля): Документ, удостоверяющий химический состав [структуру, свойства] вещества [материала] объекта аналитического контроля. Обеспечение качества анализа | certificate |
47 внутреннийконтроль качества результатов анализа вещества [материала] (объекта аналитического контроля): Совокупность действий, предпринимаемых аналитической лабораторией с целью подтверждения соответствия характеристик качества результатов анализа вещества [материала] объекта аналитического контроля установленным требованиям. Примечание – К внутреннему контролю качества результатов анализа вещества или материала относят анализ идентичных проб в регламентированных условиях; анализ образцов сравнения; использование альтернативных методик; проверку корреляции значений различных физических величин; использование приемов разбавления пробы и внесения добавок; контроль стабильности результатов с применением контрольных карт и т.п. | internal quality control of analysis results |
48 валидацияметодики анализа вещества [материала] (объекта аналитического контроля) (Нрк. оценка пригодности): Подтверждение на основе представления объективных свидетельств того, что методика анализа вещества [материала] объекта аналитического контроля может быть применена для конкретного объекта или группы объектов. Примечание – Валидация методики анализа вещества или материала включает спецификацию требований, определение характеристик методики, проверку того, что требования могут быть удовлетворены при использовании данной методики, и объявление о применимости. | method validation |