Оглавление
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 3 апреля 2018 г. N 55
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Список изменяющих документов
(в ред. Приказов ФСТЭК России от 05.08.2021 N 121, от 19.09.2022 N 172)
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579; 1996, N 18, ст. 2142; 1999, N 14, ст. 1722; 2004, N 52, ст. 5480; 2010, N 18, ст. 2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330, приказываю:
1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации.
2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.
Директор Федеральной службы
по техническому и экспортному контролю
В.СЕЛИН
Утверждено
приказом ФСТЭК России
от 3 апреля 2018 г. N 55
ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
I. Общие положения
1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст. 4673; 2003, N 27, ст. 2700; 2004, N 27, ст. 2711; 2011, N 30, ст. 4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; 2011, N 49, ст. 7025; 2016, N 15, ст. 2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».
2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее — система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее — средства защиты информации), подлежащей сертификации в рамках указанной системы.
3. Сертификации в системе сертификации ФСТЭК России подлежат:
средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.
(абзац введен Приказом ФСТЭК России от 05.08.2021 N 121)
4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее — требования по безопасности информации).
II. Система сертификации ФСТЭК России
5. Участниками системы сертификации ФСТЭК России являются:
федеральный орган по сертификации;
организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее — органы по сертификации);
организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее — испытательные лаборатории);
изготовители средств защиты информации.
6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.
7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее — сертификат соответствия).
8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.
9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.
Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну. <1>
———————————
<1> Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне», Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1540; 1996, N 18, ст. 2142; 1997, N 20, ст. 2283; 1998, N 32, ст. 3899; 2002, N 41, ст. 3983; 2004, N 52, ст. 5479; 2007, N 6, ст. 760; 2008, N 21, ст. 2465; 2010, N 14, ст. 1665; N 40, ст. 5076; 2011, N 46, ст. 6521; 2012, N 20, ст. 2545; 2015, N 1, ст. 262).
Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации <2>.
———————————
<2> Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477; 2014, N 30, ст. 4256; N 42, ст. 5615; 2015, N 1, ст. 11; N 29, ст. 434; N 44, ст. 6047; 2016, N 1, ст. 51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297; 2016, N 26, ст. 4049).
10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.
11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее — техническая поддержка средств защиты информации).
12. Сертификация средств защиты информации осуществляется по следующим схемам:
для единичного образца средства защиты информации — проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;
для партии средства защиты информации — проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;
для серийного производства средства защиты информации — проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.
Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.
Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.
13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.
14. Срок действия сертификата соответствия не может превышать 5 лет. <1>
———————————
<1> Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
(абзац введен Приказом ФСТЭК России от 05.08.2021 N 121)
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
(абзац введен Приказом ФСТЭК России от 05.08.2021 N 121)
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
Абзац утратил силу. — Приказ ФСТЭК России от 05.08.2021 N 121.
16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации. <2>
———————————
<2> Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.
17. Органы по сертификации, испытательные лаборатории должны обеспечивать защиту информации о средствах защиты информации, о требованиях по безопасности информации, методиках сертификационных испытаний в рамках систем менеджмента информационной безопасности.
Органы по сертификации и испытательные лаборатории на основании заключенных договоров обязаны обеспечивать защиту информации, обладателем которой является заявитель.
III. Порядок проведения сертификации средства защиты информации
18. Сертификация средства защиты информации включает следующие процедуры:
подача заявки на сертификацию;
принятие решения о проведении сертификации средства защиты информации;
сертификационные испытания средства защиты информации;
оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия;
выдача (отказ в выдаче) сертификата соответствия;
предоставление дубликата сертификата соответствия;
маркирование средств защиты информации;
внесение изменений в сертифицированное средство защиты информации;
переоформление сертификата соответствия;
продление срока действия сертификата соответствия;
приостановление действия сертификата соответствия;
прекращение действия сертификата соответствия.
Подача заявки на сертификацию
19. Заявитель при намерении сертифицировать средство защиты информации:
1) относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных требованиями по безопасности информации и подлежащих сертификации в системе сертификации ФСТЭК России;
2) определяет требования по безопасности информации, на соответствие которым планируется проведение сертификации средства защиты информации;
3) осуществляет производство (подготовку) образца (образцов) средства защиты информации;
4) готовит конструкторскую, программную и эксплуатационную документацию на средство защиты информации;
5) выбирает для проведения сертификационных испытаний средства защиты информации аккредитованную ФСТЭК России в соответствующей области аккредитации испытательную лабораторию <1>, согласовывает с ней возможность и сроки проведения сертификационных испытаний.
———————————
<1> Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационно-телекоммуникационной сети «Интернет» в соответствии с Порядком ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, утвержденным приказом ФСТЭК России от 18 июня 2015 г. N 67 «Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий» (зарегистрирован Минюстом России 10 июля 2015 г., регистрационный N 37974).
20. Для получения сертификата соответствия заявитель представляет в ФСТЭК России заявку на сертификацию.
В заявке на сертификацию указываются:
наименование средства защиты информации;
назначение средства защиты информации;
полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма;
адрес местонахождения, почтовый адрес заявителя;
номер и дата выдачи имеющейся у заявителя лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (указывается заявителем, являющимся изготовителем);
фамилия, имя и отчество (при наличии) руководителя заявителя;
фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию средства защиты информации;
номер контактного телефона и адрес электронной почты (при наличии) заявителя;
наименование лица (лиц), разработавшего (разработавших) средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц));
номер и дата выдачи имеющейся у разработчика (разработчиков) средства защиты информации лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (для российских юридических лиц);
наименование лица (лиц), обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц));
наименование испытательной лаборатории, в которой планируется проведение сертификационных испытаний средства защиты информации;
тип (типы) средств защиты информации, к которому (которым) относится представляемое на сертификацию средство защиты информации;
документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации;
схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);
заявляемый срок действия сертификата соответствия;
наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний.
Заявка на сертификацию должна быть подписана руководителем заявителя (лицом, которое в силу закона или учредительных документов выступает от его имени) и руководителем испытательной лаборатории.
Рекомендуемый образец заявки на сертификацию приведен в приложении N 1 к настоящему Положению.
21. К заявке на сертификацию прилагаются следующие документы:
технические условия в двух экземплярах;
техническое задание в двух экземплярах (в случае, если планируется проведение сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании);
задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
договор с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации (прилагается в случае, если заявитель не обладает исключительными правами на средство защиты информации).
22. Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России.
Заявка на сертификацию и прилагаемые к ней документы оформляются на русском языке. Допускается указывать на иностранном языке фирменное наименование средства защиты информации, наименования лица, разработавшего средство защиты информации, и лица, обладающего исключительными правами на средство защиты информации, а также адреса их местонахождения.
Принятие решения о проведении сертификации средства защиты информации
23. ФСТЭК России рассматривает заявку на сертификацию и прилагаемые к ней документы в течение 15 календарных дней со дня получения заявки на сертификацию.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
———————————
<1> Сноска исключена. — Приказ ФСТЭК России от 19.09.2022 N 172.
24. Заявка на сертификацию и (или) прилагаемые к ней документы возвращаются для доработки в случае отсутствия сведений или документов, предусмотренных пунктами 20 и 21 настоящего Положения, а также в случае несоответствия документов, прилагаемых к заявке на сертификацию, требованиям по безопасности информации.
25. По итогам рассмотрения заявки на сертификацию и прилагаемых к ней документов в проведении сертификации средства защиты информации может быть отказано.
Основаниями для отказа в проведении сертификации средства защиты информации являются:
несоответствие назначения средства защиты информации компетенции ФСТЭК России;
отсутствие у заявителя и (или) изготовителя лицензии ФСТЭК России в случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации;
наличие в заявке на сертификацию и (или) в прилагаемых к ней документах недостоверных сведений;
наличие в банке данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, сведений об уязвимостях средства защиты информации или поступивших в ФСТЭК России от уполномоченных органов сведений об угрозах безопасности, связанных с применением средства защиты информации.
26. Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемых к ней документов в срок не более трех дней со дня принятия решения подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
27. В случае принятия решения о проведении сертификации средства защиты информации в решении указываются:
номер и дата принятия решения;
наименование средства защиты информации;
назначение средства защиты информации;
полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма, адрес местонахождения заявителя;
наименование испытательной лаборатории, в которой будут проведены сертификационные испытания средства защиты информации;
наименование органа по сертификации, в котором будет проведена сертификация средства защиты информации;
документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации;
схема сертификации средства защиты информации;
наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний.
Решение о проведении сертификации средства защиты информации оформляется в четырех экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказным почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации.
28. В случае сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в технических условиях, техническом задании или задании по безопасности, ФСТЭК России рассматривает и согласовывает технические условия, техническое задание или задание по безопасности, прилагаемые к заявке на сертификацию.
Один экземпляр технических условий, технического задания или задания по безопасности прикладывается к решению о проведении сертификации средства защиты информации и направляется заявителю.
В ходе проведения сертификации средства защиты информации в технические условия, техническое задание или задание по безопасности могут вноситься изменения по согласованию с ФСТЭК России.
29. Не допускается проводить сертификацию (сертификационные испытания) средства защиты информации до принятия решения о проведении сертификации средства защиты информации.
30. Заявитель должен в трехдневный срок письменно известить ФСТЭК России о заключении договоров с испытательной лабораторией и органом по сертификации с указанием определенного договорами срока проведения сертификации средства защиты информации.
31. Решение о проведении сертификации средства защиты информации подлежит переоформлению в случаях:
изменения наименования средства защиты информации;
замены испытательной лаборатории или органа по сертификации, в том числе в связи с приостановлением, прекращением действия аттестатов аккредитации испытательной лаборатории или органа по сертификации;
изменения состава документов, на соответствие которым проводится сертификация средства защиты информации;
изменения схемы сертификации средства защиты информации, в том числе изменения количества образцов в партии средств защиты информации;
изменения места (мест) проведения сертификационных испытаний.
32. Обращение заявителя с обоснованием необходимости переоформления решения о проведении сертификации средства защиты информации направляется в ФСТЭК России заказным почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России.
33. Решение о проведении сертификации средства защиты информации переоформляется в четырех экземплярах в течение 10 рабочих дней со дня поступления обращения заявителя, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации.
34. В случае отказа в переоформлении решения о проведении сертификации средства защиты информации уведомление с обоснованием отказа подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
35. Решение о проведении сертификации средства защиты информации аннулируется в случае:
обращения заявителя о прекращении сертификации средства защиты информации;
незаключения заявителем договоров с испытательной лабораторией и органом по сертификации на проведение сертификации по истечении 1 года с даты принятия решения о проведении сертификации средства защиты информации.
36. Уведомление об аннулировании решения о проведении сертификации средства защиты информации подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается заявителю, испытательной лаборатории и органу по сертификации.
Сертификационные испытания средства защиты информации
37. Для проведения сертификационных испытаний испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации.
При сертификации партии средства, предназначенного для защиты информации от утечки по техническим каналам, для отбора образцов должна быть представлена вся партия образцов средства защиты информации.
При сертификации серийного производства средств защиты информации для осуществления отбора образцов должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов, которое необходимо отобрать для проведения сертификационных испытаний.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от утечки по техническим каналам, объем выборки образцов определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий отбирается один образец средства защиты информации.
Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.
(п. 37 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
37.1. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:
номер и дата решения о проведении сертификации;
дата осуществления отбора образца (образцов) средства защиты информации;
наименование средства защиты информации;
наименование заявителя;
наименование испытательной лаборатории;
фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;
фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;
схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);
количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации;
количество отобранных образцов средства защиты информации с указанием их заводских номеров;
контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).
Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.
(п. 37.1 введен Приказом ФСТЭК России от 05.08.2021 N 121)
37.2. На отобранный образец (образцы) средства защиты информации заявитель представляет в испытательную лабораторию следующую документацию:
технические условия;
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.
В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.
(п. 37.2 введен Приказом ФСТЭК России от 05.08.2021 N 121)
38. Заявитель обязан предоставить возможность ознакомления испытательной лаборатории с образцом средства защиты информации и его производством.
(п. 38 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
39. В случае невозможности представления образца средства защиты информации в испытательную лабораторию по причине его массогабаритных характеристик или необходимости демонтажа, образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
40. Испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.
(п. 40 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
41. Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, испытательная лаборатория представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория в течение 20 календарных дней со дня отбора образца (образцов) разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
Программа и методика сертификационных испытаний средства защиты информации должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации.
43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.
К программе и методике сертификационных испытаний, представляемым на утверждение в орган по сертификации, прилагается следующая документация:
технические условия;
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иная конструкторская (программная) и эксплуатационная документация на средство защиты информации, предусмотренная требованиями по безопасности информации.
Орган по сертификации в течение 10 рабочих дней со дня получения программы и методики сертификационных испытаний рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.
Испытательная лаборатория в течение 10 календарных дней со дня получения программы и методики сертификационных испытаний устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.
При повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.
Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 30 календарных дней со дня получения программы и методики сертификационных испытаний.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.
(п. 43 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
44 — 45. Утратили силу. — Приказ ФСТЭК России от 05.08.2021 N 121.
46. Испытательная лаборатория проводит сертификационные испытания в соответствии с утвержденными органом по сертификации программой и методикой сертификационных испытаний средства защиты информации.
Орган по сертификации осуществляет контроль проведения сертификационных испытаний. Эксперт (эксперты) органа по сертификации может (могут) присутствовать при проведении сертификационных испытаний.
47. Сертификационные испытания включают:
проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации;
проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации;
проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации производства средства защиты информации).
При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
48. По результатам испытаний и проверок оформляются протоколы испытаний (проверок), содержащие основание для проведения испытаний (номер решения о проведении сертификации), даты и места проведения испытаний, описание испытываемого средства защиты информации, описание проведенных испытаний, результаты испытаний по каждому испытываемому параметру или характеристике (функции безопасности информации) средства защиты информации, выводы о соответствии (несоответствии) средства защиты информации, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации.
Протоколы испытаний (проверок) подписываются специалистами испытательной лаборатории, проводившими сертификационные испытания.
49. По завершении испытаний и проверок, предусмотренных программой и методикой сертификационных испытаний средства защиты информации, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации, содержащее основание для проведения испытаний (номер решения о проведении сертификации), описание испытываемого средства защиты информации, требования, на соответствие которым проводились испытания, результаты испытаний, вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.
Техническое заключение утверждается руководителем испытательной лаборатории.
50. В случае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю.
Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации и проинформировать об этом испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний.
Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
51. Повторные сертификационные испытания средства защиты информации проводятся в соответствии с договором на проведение сертификационных испытаний в объеме, необходимом для проверки устранения выявленных при проведении сертификационных испытаний несоответствий средства защиты информации требованиям по безопасности информации.
По результатам повторных сертификационных испытаний оформляются протоколы повторных испытаний (проверок) и техническое заключение.
52. Материалы сертификационных испытаний средства защиты информации представляются испытательной лабораторией в орган по сертификации.
Материалы сертификационных испытаний средства защиты информации должны включать:
программу и методику сертификационных испытаний средства защиты информации, протоколы сертификационных испытаний средства защиты информации и техническое заключение;
протоколы повторных сертификационных испытаний средства защиты информации и техническое заключение (в случае проведения повторных сертификационных испытаний);
акт отбора образца (образцов) средства защиты информации;
технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений);
дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании);
задание по безопасности в двух экземплярах (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации в двух экземплярах;
дополнительную документацию на средство защиты информации, представленную заявителем при проведении сертификационных испытаний.
Все документы, за исключением дополнительной документации на средство защиты информации, представляются на бумажном носителе и в электронном виде. Дополнительная документация на средство защиты информации представляется только в электронном виде.
Оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия
53. Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний средства защиты информации на соответствие требованиям настоящего Положения и требованиям по безопасности информации, в том числе наличие в средстве защиты информации уязвимостей или недекларированных возможностей, несоответствие средства защиты информации требованиям по безопасности информации, наличие информации об угрозах безопасности, связанных с применением средства защиты информации.
Срок проведения оценки материалов сертификационных испытаний устанавливается договором между заявителем и органом по сертификации и не должен превышать 45 календарных дней с даты поступления в орган по сертификации всех документов, предусмотренных пунктом 52 настоящего Положения.
В случае непредставления документов, предусмотренных пунктом 52 настоящего Положения, орган по сертификации запрашивает их в испытательной лаборатории.
54. По результатам оценки материалов сертификационных испытаний средства защиты информации орган по сертификации оформляет экспертное заключение о возможности (невозможности) выдачи сертификата соответствия.
Экспертное заключение оформляется в трех экземплярах, подписывается всеми экспертами органа по сертификации, проводившими сертификацию (присутствовавшими при проведении сертификационных испытаний), и утверждается руководителем органа по сертификации.
Экспертное заключение должно содержать основание для проведения сертификации средства защиты информации (номер решения о проведении сертификации), наименование участников сертификации (заявителя, испытательной лаборатории и органа по сертификации), требования, на соответствие которым проведена сертификация средства защиты информации, результаты оценки материалов сертификационных испытаний, выводы о возможности (невозможности) выдачи сертификата соответствия.
55. В случае наличия в экспертном заключении вывода о возможности выдачи сертификата соответствия орган по сертификации подготавливает проект сертификата соответствия (рекомендуемый образец приведен в приложении N 3 к настоящему Положению).
56. Один экземпляр экспертного заключения, проект сертификата соответствия и материалы сертификационных испытаний, предусмотренные пунктом 52 настоящего Положения, представляются органом по сертификации в ФСТЭК России.
Экспертное заключение и проект сертификата соответствия представляются на бумажном носителе и в электронном виде.
Один экземпляр экспертного заключения направляется заявителю.
Выдача (отказ в выдаче) сертификата соответствия
57. В случае если в экспертном заключении сделан вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия.
58. В случае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 30 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
В случае выявления в материалах по сертификации средства защиты информации недостатков ФСТЭК России направляет материалы в орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению.
Уведомление о выявленных в материалах по сертификации средства защиты информации недостатках с их описанием и предложениями по устранению направляется испытательной лаборатории и заявителю.
59. Орган по сертификации, испытательная лаборатория и заявитель в срок не более 30 календарных дней со дня подписания уведомления должны устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания средства защиты информации и представить в ФСТЭК России доработанные материалы по сертификации средства защиты информации.
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
60. В случае непредставления доработанных материалов по сертификации средства защиты информации ФСТЭК России принимает решение об отказе в выдаче сертификата соответствия.
Решение об отказе в выдаче сертификата соответствия подписывается уполномоченным должностным лицом ФСТЭК России и в течение 5 рабочих дней вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
61. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в государственный реестр сертифицированных средств защиты информации.
Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
Предоставление дубликата сертификата соответствия
62. В случае утраты сертификата соответствия заявитель вправе обратиться в ФСТЭК России с заявлением о выдаче дубликата сертификата соответствия.
В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия ФСТЭК России оформляет дубликат на бланке сертификата соответствия с пометкой «дубликат, оригинал сертификата соответствия признается недействующим» и вручает заявителю или направляет ему заказным почтовым отправлением с уведомлением о вручении.
Маркирование средств защиты информации
63. На основании сертификата соответствия заявитель организует маркирование средства защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, который имеет вид: РОСС RU.01.XXXXX.XXXXXX.
Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России.
Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации.
Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.
Идентификатор может содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации.
(п. 63 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
64. В случае сертификации единичного образца средства защиты информации или партии средства защиты информации идентификатор сертифицированных образцов средства защиты информации указывается в сертификате соответствия.
(п. 64 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
65 — 66. Утратили силу. — Приказ ФСТЭК России от 05.08.2021 N 121.
67. Маркирование средств защиты информации осуществляется только при наличии сертификата соответствия.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
Заявитель маркирует идентификатором каждый образец средства защиты информации, на которое выдан сертификат соответствия.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
Абзац утратил силу. — Приказ ФСТЭК России от 05.08.2021 N 121.
68. Заявитель ведет журнал, в котором регистрирует промаркированные образцы средства защиты информации с указанием идентификаторов.
(в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
69. Идентификатором маркируется корпус изделия (при наличии) или съемный машинный носитель информации, содержащий программное обеспечение сертифицированного средства защиты информации.
Идентификатор заносится в формуляр (паспорт) на средство защиты информации.
(п. 69 в ред. Приказа ФСТЭК России от 05.08.2021 N 121)
70. Маркирование средств защиты информации, являющихся программным обеспечением, распространяемым по сетям связи, осуществляется с применением электронной подписи или любым способом, подтверждающим подлинность средств защиты информации.
70.1. Заявитель ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения о произведенных и (или) промаркированных сертифицированных средствах защиты информации, содержащие наименование средства и присвоенные образцам идентификаторы.
(п. 70.1 введен Приказом ФСТЭК России от 05.08.2021 N 121)
Внесение изменений в сертифицированное средство защиты информации
71. Заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации.
В случае внесения в средство защиты информации иных изменений заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.
71.1. Заявитель, являющийся разработчиком средства защиты информации и имеющий сертификат соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации, в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации или изменением имеющихся функций безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.
(п. 71.1 введен Приказом ФСТЭК России от 19.09.2022 N 172)
72. Заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации устранением уязвимостей (недекларированных возможностей) средства защиты информации.
В случае внесения в средство защиты информации иных изменений заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.
73. В случае внесения в сертифицированное средство защиты информации изменений, связанных с устранением уязвимостей (недекларированных возможностей) средства защиты информации или обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, заявитель информирует потребителей о необходимости обновления средства защиты информации и доводит до потребителей обновления средства защиты информации до проведения испытаний, предусмотренных пунктами 71 и 72 настоящего Положения.
Испытания средства защиты информации в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации.
74. По результатам проведенных испытаний средства защиты информации в связи с внесением в него изменений заявитель представляет в ФСТЭК России материалы испытаний, содержащие:
техническое заключение;
протоколы по результатам проведенных испытаний;
технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений);
дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании, и в случае внесения изменений в техническое задание);
задание по безопасности (при наличии) в двух экземплярах (в случае внесения изменений в задание по безопасности);
формуляр (паспорт) на средство защиты информации и извещение о внесении изменений в формуляр (паспорт) в двух экземплярах (в случае внесения таких изменений).
75. ФСТЭК России в течение 20 календарных дней рассматривает поступившие материалы испытаний, согласовывает технические условия, дополнительное техническое задание (при наличии) или задание по безопасности (при наличии) и формуляр (паспорт) на средство защиты информации, переоформляет сертификат соответствия.
Переоформление сертификата соответствия
76. Сертификат соответствия подлежит переоформлению в случае:
а) реорганизации заявителя в форме преобразования;
б) изменения наименования заявителя;
в) изменения местонахождения заявителя;
г) внесения изменений в сертифицированное средство защиты информации, требующих внесения изменений в сертификат соответствия.
77. Для переоформления сертификата соответствия в случаях, указанных в подпунктах «а», «б» и «в» пункта 76 настоящего Положения, заявитель либо его правопреемник представляют в ФСТЭК России заявление о переоформлении сертификата соответствия.
В заявлении о переоформлении сертификата соответствия указываются новые сведения о заявителе или его правопреемнике.
Заявление о переоформлении сертификата соответствия представляется непосредственно в ФСТЭК России или направляется заказным почтовым отправлением с уведомлением о вручении.
78. ФСТЭК России в срок, не превышающий 10 рабочих дней со дня получения заявления о переоформлении сертификата соответствия, осуществляет проверку достоверности содержащихся в заявлении о переоформлении сертификата соответствия новых сведений и принимает решение о переоформлении сертификата соответствия или об отказе в его переоформлении.
Основаниями для отказа в переоформлении сертификата соответствия являются:
а) наличие в заявлении о переоформлении сертификата соответствия недостоверных сведений;
б) отсутствие у заявителя, занимающегося разработкой и (или) производством средства защиты информации, переоформленной лицензии ФСТЭК России в случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации.
79. ФСТЭК России в случае отказа в переоформлении сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения вручает заявителю или его правопреемнику уведомление об отказе в переоформлении сертификата соответствия с указанием причин отказа или направляет его заказным почтовым отправлением с уведомлением о вручении.
80. Уведомление о переоформлении сертификата соответствия с приложением переоформленного сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения направляется заказным почтовым отправлением с уведомлением о вручении или вручается заявителю или его правопреемнику.
81. Заявитель в течение 5 рабочих дней со дня получения переоформленного сертификата соответствия должен представить (направить) в ФСТЭК России подлинник ранее выданного сертификата соответствия.
Продление срока действия сертификата соответствия
82. В целях производства и реализации сертифицированного средства защиты информации срок действия сертификата соответствия может быть продлен в порядке, предусмотренном для сертификации средств защиты информации в соответствии с пунктами 19 — 61 настоящего Положения.
82.1. При продлении срока действия сертификата соответствия сертификационные испытания проводятся по сокращенной программе:
для средства, предназначенного для защиты информации от утечки по техническим каналам, проводится проверка его производства;
для средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий проводится оценка его соответствия требованиям по безопасности информации, устанавливающим уровни доверия.
(п. 82.1 введен Приказом ФСТЭК России от 05.08.2021 N 121)
Приостановление действия сертификата соответствия
83. Действие сертификата соответствия приостанавливается в случаях:
изменения требований по безопасности информации;
установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей;
прекращения технической поддержки сертифицированного средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований о защите информации при применении средства защиты информации;
обращения заявителя о приостановлении действия сертификата соответствия.
84. Решение о приостановлении действия сертификата соответствия оформляется приказом ФСТЭК России.
Действие сертификата соответствия может быть приостановлено на срок не более 90 календарных дней.
ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации, который не должен превышать 90 календарных дней.
85. В случае приостановления действия сертификата соответствия заявитель должен прекратить производство и реализацию сертифицированного средства защиты информации.
86. Действие сертификата соответствия возобновляется в случае:
устранения несоответствия средства защиты информации требованиям по безопасности информации и представления в ФСТЭК России материалов, подтверждающих устранение несоответствия;
возобновления технической поддержки средства защиты информации;
обращения заявителя о возобновлении действия сертификата соответствия в случае, если решение о приостановлении действия сертификата соответствия было принято по обращению заявителя.
87. Решение о возобновлении действия сертификата соответствия оформляется приказом ФСТЭК России.
ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о возобновлении действия сертификата соответствия.
88. ФСТЭК России вносит сведения о приостановлении и возобновлении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации.
Прекращение действия сертификата соответствия
89. Действие сертификата соответствия прекращается в случае:
непредставления заявителем в установленный срок материалов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации;
невозобновления заявителем в установленный срок технической поддержки средства защиты информации;
обращения заявителя о прекращении действия сертификата соответствия.
90. Решение о прекращении действия сертификата соответствия оформляется приказом ФСТЭК России.
ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о прекращении действия сертификата соответствия.
91. В случае прекращения действия сертификата соответствия заявитель должен прекратить производство и реализацию сертифицированного средства защиты информации, если такие мероприятия не были проведены в связи с приостановлением действия сертификата соответствия.
92. ФСТЭК России вносит сведения о прекращении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации.
Приложение N 1
к Положению о системе
сертификации средств защиты информации,
утвержденному приказом ФСТЭК России
от 3 апреля 2018 г. N 55
Список изменяющих документов
(в ред. Приказа ФСТЭК России от 19.09.2022 N 172)
Рекомендуемый образец
Федеральная служба по техническому и экспортному контролю |
ЗАЯВКАна _________________________________________________________________(сертификацию средства защиты информации, продление срока действия сертификата соответствия) |
Наименование средства защиты информации: | ||
Назначение средства защиты информации: | ||
степень секретности защищаемой информации, категория объекта информатизации, тип и класс защищенности информационной (автоматизированной) системы | ||
Заявитель: | ||
организационно-правовая форма и наименование | ||
Адрес в пределах местонахождения заявителя: | ||
Почтовый адрес заявителя: | ||
Лицензии ФСТЭК России, имеющиеся у заявителя: | ||
номера и даты выдачи лицензий | ||
Ф.И.О. руководителя заявителя: | ||
Ф.И.О. лица, ответственного за сертификацию средства защиты информации: | ||
Контактный телефон (телефоны) заявителя: | ||
Адрес электронной почты заявителя (при наличии): | ||
Разработчик (разработчики) средства защиты информации (при наличии разработчика средства защиты информации): | ||
наименование, адрес местонахождения | ||
Лицензии ФСТЭК России, имеющиеся у разработчика (разработчиков) средства защиты информации: | ||
номера и даты выдачи лицензий | ||
Сертификат соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации (при наличии) | ||
номера и дата выдачи сертификата соответствия | ||
Правообладатель (правообладатели) средства защиты информации (при наличии правообладателя (правообладателей) средства защиты информации): | ||
наименование лица (лиц), обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения | ||
Испытательная лаборатория: | ||
наименование, адрес в пределах местонахождения | ||
Тип средства защиты информации: | ||
наименование типа (наименования типов) средства защиты информации | ||
Требования по безопасности информации: | ||
наименования документов, на соответствие которым планируется проводить сертификацию средства защиты информации | ||
Схема сертификации средства защиты информации: | ||
Заявляемый срок действия сертификата соответствия | ||
Место проведения сертификационных испытаний: | ||
адрес места (адреса мест) проведения сертификационных испытаний, наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации | ||
Приложение | 1. Документы, прилагаемые к заявке2. Опись прилагаемых к заявке документов |
Должность руководителя заявителя (лица, которое в силу закона или учредительных документов выступает от его имени) | М.П.(при наличии) | подпись | инициалы, фамилия»__» ____________ 20__ г. |
Должность руководителя испытательной лаборатории | М.П.(при наличии) | подпись | инициалы, фамилия»__» _____________ 20__ г. |
Приложение N 2
к Положению о системе
сертификации средств защиты информации,
утвержденному приказом ФСТЭК России
от 3 апреля 2018 г. N 55
Рекомендуемый образец
Федеральная служба по техническому и экспортному контролю
РЕШЕНИЕ
о проведении ___________________________________________________
(сертификации средства защиты информации/
сертификационных испытаний для продления срока
действия сертификата соответствия)
N от » » 20… г.
Переоформлено: | |||
дата | |||
Наименование средства защиты информации: | |||
Назначение средства защиты информации: | |||
степень секретности защищаемой информации, категория объекта информатизации, тип и класс защищенности информационной (автоматизированной) системы | |||
Заявитель: | |||
организационно-правовая форма и наименование заявителя | |||
Адрес местонахождения заявителя: | |||
Испытательная лаборатория: | |||
наименование и адрес местонахождения | |||
Орган по сертификации | |||
наименование и адрес местонахождения | |||
Требования по безопасности информации: | |||
наименования документов, на соответствие требованиям которых должна проводиться сертификация средства защиты информации | |||
Схема сертификации средства защиты информации: | |||
Место проведения сертификационных испытаний: | |||
наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний | |||
должность уполномоченного лица ФСТЭК России | подпись | инициалы, фамилия | |
Приложение N 3
к Положению о системе
сертификации средств защиты информации,
утвержденному приказом ФСТЭК России
от 3 апреля 2018 г. N 55
Рекомендуемый образец
Специальный Система сертификации средств защиты
защитный информации ФСТЭК России
знак ФСТЭК ————————————
России
—————————————————————————
СЕРТИФИКАТ СООТВЕТСТВИЯ
N
————————————
номер сертификата соответствия
Выдан: ________________________________________
дата выдачи сертификата соответствия
Действителен до: ______________________________________________________
дата окончания срока действия сертификата соответствия
Переоформлен: ______________________________________________
дата переоформления сертификата соответствия
Дубликат, оригинал сертификата соответствия признается недействующим (в
случае предоставления дубликата)
Настоящий сертификат удостоверяет, что ________________________________
наименование средства защиты
информации
(________________________________________________________________________),
схема сертификации средства защиты информации, заводские номера
и номера знаков соответствия
разработанное ____________________________________________________________,
наименование лица, разработавшего средство защиты информации
произведенное ____________________________________________________________,
наименование лица, осуществляющего производство средства
защиты информации
является _________________________________________________________________,
наименование типа (типов), к которым относится средство защиты
информации
___________________________________________________________________________
соответствует требованиям ________________________________________________.
наименования документов, на соответствие которым
проведена сертификация средства защиты
информации с указанием классов защиты
(при наличии)
Сертификат выдан на основании результатов сертификационных испытаний,
проведенных испытательной лабораторией ____________________________________
наименование испытательной
лаборатории
(аттестат аккредитации ___________________________________________________)
дата выдачи и номер аттестата аккредитации
испытательной лаборатории
техническое заключение от ________________________________________________,
дата утверждения технического заключения
экспертного заключения от _________________________________________________
дата утверждения экспертного заключения
органа по сертификации ____________________________________________________
наименование органа по сертификации
(аттестат аккредитации ___________________________________________________)
дата выдачи и номер аттестата аккредитации органа
по сертификации
и результатов дополнительных сертификационных испытаний, проведенных
испытательной лабораторией ________________________________________________
наименование испытательной лаборатории
(аттестат аккредитации __________________________________________________),
дата выдачи и номер аттестата аккредитации
испытательной лаборатории
технические заключения от ________________________________________________.
даты утверждения технических заключений по
результатам дополнительных сертификационных
испытаний
Должность уполномоченного лица ФСТЭК России
м.п.
подпись инициалы, фамилия