Приказ Федеральной службы по техническому и экспортному контролю В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 52, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, № 274, ст. 2579; 1996, № 18, ст. 2142; 1999, № 14, ст. 1722; 2004, № 52, ст. 5480; 2010, № 18, ст. 2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, приказываю: 1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации. 2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.
Положение о системе сертификации средств защиты информации (утв. приказом ФСТЭК России от 3 апреля 2018 г. № 55) I. Общие положения1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. № 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, № 41, ст. 4673; 2003, № 27, ст. 2700; 2004, № 27, ст. 2711; 2011, № 30, ст. 4596), статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, № 52, ст. 5140; 2007, № 19, ст. 2293; 2011, № 49, ст. 7025; 2016, № 15, ст. 2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" и постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения". 2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (далее - система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы. 3. Сертификации в системе сертификации ФСТЭК России подлежат: средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам; средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации; средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации. 4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее - требования по безопасности информации). II. Система сертификации ФСТЭК России5. Участниками системы сертификации ФСТЭК России являются: федеральный орган по сертификации; организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации); организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории); изготовители средств защиты информации. 6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, выполняет функции федерального органа по сертификации. 7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия). 8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов. 9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации. Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну.1 _______________ 1 Статья 27 Закона Российской Федерации от 21 июля 1993 г. № 5485-1 "О государственной тайне", Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333 (Собрание законодательства Российской Федерации, 1995, № 17, ст. 1540; 1996, № 18, ст. 2142; 1997, № 20, ст. 2283; 1998, № 32, ст. 3899; 2002, № 41, ст. 3983; 2004, № 52, ст. 5479; 2007, № 6, ст. 760; 2008, № 21, ст. 2465; 2010, № 14, ст. 1665; № 40, ст. 5076; 2011, № 46, ст. 6521; 2012, № 20, ст. 2545; 2015, № 1, ст. 262). Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.2 _______________ 2 Статья 12 Федерального закона от 4 мая 2011 г. № 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, № 19, ст. 2716; № 48, ст. 6728; 2012, № 26, ст. 3446; № 31, ст. 4322; 2013, № 9, ст. 874; № 27, ст. 3477; 2014, № 30, ст. 4256; № 42, ст. 5615; 2015, № 1, ст. 11; № 29, ст. 434; № 44, ст. 6047; 2016, № 1, ст. 51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171 (Собрание законодательства Российской Федерации, 2012, № 11, ст. 1297; 2016, № 26, ст. 4049). 10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации. 11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации). 12. Сертификация средств защиты информации осуществляется по следующим схемам: для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки; для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки; для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки. Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации. Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации. 13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации. 14. Срок действия сертификата соответствия не может превышать 5 лет.3 _______________ 3 Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608. Сертификат соответствия выдается на срок, указанный в заявке на сертификацию. 15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия. Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки. 16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации.4 _______________ 4 Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608. 17. Органы по сертификации, испытательные лаборатории должны обеспечивать защиту информации о средствах защиты информации, о требованиях по безопасности информации, методиках сертификационных испытаний в рамках систем менеджмента информационной безопасности. Органы по сертификации и испытательные лаборатории на основании заключенных договоров обязаны обеспечивать защиту информации, обладателем которой является заявитель. III. Порядок проведения сертификации средства защиты информации18. Сертификация средства защиты информации включает следующие процедуры: подача заявки на сертификацию; принятие решения о проведении сертификации средства защиты информации; сертификационные испытания средства защиты информации; оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия; выдача (отказ в выдаче) сертификата соответствия; предоставление дубликата сертификата соответствия; маркирование средств защиты информации; внесение изменений в сертифицированное средство защиты информации; переоформление сертификата соответствия; продление срока действия сертификата соответствия; приостановление действия сертификата соответствия; прекращение действия сертификата соответствия. Подача заявки на сертификацию19. Заявитель при намерении сертифицировать средство защиты информации: 1) относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных требованиями по безопасности информации и подлежащих сертификации в системе сертификации ФСТЭК России; 2) определяет требования по безопасности информации, на соответствие которым планируется проведение сертификации средства защиты информации; 3) осуществляет производство (подготовку) образца (образцов) средства защиты информации; 4) готовит конструкторскую, программную и эксплуатационную документацию на средство защиты информации; 5) выбирает для проведения сертификационных испытаний средства защиты информации аккредитованную ФСТЭК России в соответствующей области аккредитации испытательную лабораторию5, согласовывает с ней возможность и сроки проведения сертификационных испытаний. _______________ 5 Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационно-телекоммуникационной сети "Интернет" в соответствии с Порядком ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, утвержденным приказом ФСТЭК России от 18 июня 2015 г. № 67 "Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий" (зарегистрирован Минюстом России 10 июля 2015 г., регистрационный № 37974). 20. Для получения сертификата соответствия заявитель представляет в ФСТЭК России заявку на сертификацию. В заявке на сертификацию указываются: наименование средства защиты информации; назначение средства защиты информации; полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма; адрес местонахождения, почтовый адрес заявителя; номер и дата выдачи имеющейся у заявителя лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (указывается заявителем, являющимся изготовителем); фамилия, имя и отчество (при наличии) руководителя заявителя; фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию средства защиты информации; номер контактного телефона и адрес электронной почты (при наличии) заявителя; наименование лица (лиц), разработавшего (разработавших) средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц)); номер и дата выдачи имеющейся у разработчика (разработчиков) средства защиты информации лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (для российских юридических лиц); наименование лица (лиц), обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц)); наименование испытательной лаборатории, в которой планируется проведение сертификационных испытаний средства защиты информации; тип (типы) средств защиты информации, к которому (которым) относится представляемое на сертификацию средство защиты информации; документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации; схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии); заявляемый срок действия сертификата соответствия; наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний. Заявка на сертификацию должна быть подписана руководителем заявителя (лицом, которое в силу закона или учредительных документов выступает от его имени) и руководителем испытательной лаборатории. Рекомендуемый образец заявки на сертификацию приведен в приложении № 1 к настоящему Положению. 21. К заявке на сертификацию прилагаются следующие документы: технические условия в двух экземплярах; техническое задание в двух экземплярах (в случае, если планируется проведение сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании); задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации; договор с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации (прилагается в случае, если заявитель не обладает исключительными правами на средство защиты информации). 22. Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России. Заявка на сертификацию и прилагаемые к ней документы оформляются на русском языке. Допускается указывать на иностранном языке фирменное наименование средства защиты информации, наименования лица, разработавшего средство защиты информации, и лица, обладающего исключительными правами на средство защиты информации, а также адреса их местонахождения. Принятие решения о проведении сертификации средства защиты информации23. ФСТЭК России рассматривает заявку на сертификацию и прилагаемые к ней документы в течение месяца6 со дня получения заявки на сертификацию. _______________ 6 Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608. 24. Заявка на сертификацию и (или) прилагаемые к ней документы возвращаются для доработки в случае отсутствия сведений или документов, предусмотренных пунктами 20 и 21 настоящего Положения, а также в случае несоответствия документов, прилагаемых к заявке на сертификацию, требованиям по безопасности информации. 25. По итогам рассмотрения заявки на сертификацию и прилагаемых к ней документов в проведении сертификации средства защиты информации может быть отказано. Основаниями для отказа в проведении сертификации средства защиты информации являются: несоответствие назначения средства защиты информации компетенции ФСТЭК России; отсутствие у заявителя и (или) изготовителя лицензии ФСТЭК России в случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации; наличие в заявке на сертификацию и (или) в прилагаемых к ней документах недостоверных сведений; наличие в банке данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, сведений об уязвимостях средства защиты информации или поступивших в ФСТЭК России от уполномоченных органов сведений об угрозах безопасности, связанных с применением средства защиты информации. 26. Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемых к ней документов в срок не более трех дней со дня принятия решения подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении. 27. В случае принятия решения о проведении сертификации средства защиты информации в решении указываются: номер и дата принятия решения; наименование средства защиты информации; назначение средства защиты информации; полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма, адрес местонахождения заявителя; наименование испытательной лаборатории, в которой будут проведены сертификационные испытания средства защиты информации; наименование органа по сертификации, в котором будет проведена сертификация средства защиты информации; документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации; схема сертификации средства защиты информации; наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний. Решение о проведении сертификации средства защиты информации оформляется в четырёх экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказным почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации. 28. В случае сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в технических условиях, техническом задании или задании по безопасности, ФСТЭК России рассматривает и согласовывает технические условия, техническое задание или задание по безопасности, прилагаемые к заявке на сертификацию. Один экземпляр технических условий, технического задания или задания по безопасности прикладывается к решению о проведении сертификации средства защиты информации и направляется заявителю. В ходе проведения сертификации средства защиты информации в технические условия, техническое задание или задание по безопасности могут вноситься изменения по согласованию с ФСТЭК России. 29. Не допускается проводить сертификацию (сертификационные испытания) средства защиты информации до принятия решения о проведении сертификации средства защиты информации. 30. Заявитель должен в трехдневный срок письменно известить ФСТЭК России о заключении договоров с испытательной лабораторией и органом по сертификации с указанием определенного договорами срока проведения сертификации средства защиты информации. 31. Решение о проведении сертификации средства защиты информации подлежит переоформлению в случаях: изменения наименования средства защиты информации; замены испытательной лаборатории или органа по сертификации, в том числе в связи с приостановлением, прекращением действия аттестатов аккредитации испытательной лаборатории или органа по сертификации; изменения состава документов, на соответствие которым проводится сертификация средства защиты информации; изменения схемы сертификации средства защиты информации, в том числе изменения количества образцов в партии средств защиты информации; изменения места (мест) проведения сертификационных испытаний. 32. Обращение заявителя с обоснованием необходимости переоформления решения о проведении сертификации средства защиты информации направляется в ФСТЭК России заказным почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России. 33. Решение о проведении сертификации средства защиты информации переоформляется в четырёх экземплярах в течение 10 рабочих дней со дня поступления обращения заявителя, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации. 34. В случае отказа в переоформлении решения о проведении сертификации средства защиты информации уведомление с обоснованием отказа подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении. 35. Решение о проведении сертификации средства защиты информации аннулируется в случае: обращения заявителя о прекращении сертификации средства защиты информации; незаключения заявителем договоров с испытательной лабораторией и органом по сертификации на проведение сертификации по истечении 1 года с даты принятия решения о проведении сертификации средства защиты информации. 36. Уведомление об аннулировании решения о проведении сертификации средства защиты информации подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается заявителю, испытательной лаборатории и органу по сертификации. Сертификационные испытания средства защиты информации37. В целях подготовки к проведению сертификационных испытаний средства защиты информации заявитель представляет для предварительного рассмотрения в испытательную лабораторию и орган по сертификации следующую документацию на средство защиты информации: технические условия; задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации; иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации. В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации. 38. Заявитель обязан предоставить возможность предварительного ознакомления испытательной лаборатории и органа по сертификации с образцом средства защиты информации. 39. В случае невозможности представления образца средства защиты информации в испытательную лабораторию и орган по сертификации по причине его массогабаритных характеристик или необходимости демонтажа, образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации. 40. Испытательная лаборатория и орган по сертификации осуществляют предварительное рассмотрение образца средства защиты информации и документации на средство защиты информации в срок не более 45 календарных дней. Перечень выявленных недостатков с предложениями по их устранению направляется заявителю. 41. Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, орган по сертификации представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя. 42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. Программа и методика сертификационных испытаний средства защиты информации должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации. 43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации. Орган по сертификации в течение 30 календарных дней рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их. В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя. Испытательная лаборатория в течение 10 календарных дней устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение. Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней. Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации. 44. Испытательная лаборатория осуществляет отбор образца (образцов) средств защиты информации, необходимых для проведения сертификационных испытаний. При сертификации партии средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена вся партия средства защиты информации. При сертификации серийного производства средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов средства защиты информации, которое необходимо отобрать для проведения сертификационных испытаний. Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен (должны) соответствовать образцам средства защиты информации, предназначенным для реализации потребителю. Объем выборки образцов средства защиты информации определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации. 45. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются: номер и дата решения о проведении сертификации; дата осуществления отбора образца (образцов) средства защиты информации; наименование средства защиты информации; наименование заявителя; наименование испытательной лаборатории; фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации; фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации; схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии); количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации; количество отобранных образцов средства защиты информации, с указанием их заводских номеров; контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации). Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории. 46. Испытательная лаборатория проводит сертификационные испытания в соответствии с утвержденными органом по сертификации программой и методикой сертификационных испытаний средства защиты информации. Орган по сертификации осуществляет контроль проведения сертификационных испытаний. Эксперт (эксперты) органа по сертификации может (могут) присутствовать при проведении сертификационных испытаний. 47. Сертификационные испытания включают: проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации; проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации; проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации производства средства защиты информации). При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения. Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией. 48. По результатам испытаний и проверок оформляются протоколы испытаний (проверок), содержащие основание для проведения испытаний (номер решения о проведении сертификации), даты и места проведения испытаний, описание испытываемого средства защиты информации, описание проведенных испытаний, результаты испытаний по каждому испытываемому параметру или характеристике (функции безопасности информации) средства защиты информации, выводы о соответствии (несоответствии) средства защиты информации, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации. Протоколы испытаний (проверок) подписываются специалистами испытательной лаборатории, проводившими сертификационные испытания. 49. По завершении испытаний и проверок, предусмотренных программой и методикой сертификационных испытаний средства защиты информации, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации, содержащее основание для проведения испытаний (номер решения о проведении сертификации), описание испытываемого средства защиты информации, требования, на соответствие которым проводились испытания, результаты испытаний, вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации. Техническое заключение утверждается руководителем испытательной лаборатории. 50. В случае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю. Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации и проинформировать об этом испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний. Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией. 51. Повторные сертификационные испытания средства защиты информации проводятся в соответствии с договором на проведение сертификационных испытаний в объеме, необходимом для проверки устранения выявленных при проведении сертификационных испытаний несоответствий средства защиты информации требованиям по безопасности информации. По результатам повторных сертификационных испытаний оформляются протоколы повторных испытаний (проверок) и техническое заключение. 52. Материалы сертификационных испытаний средства защиты информации представляются испытательной лабораторией в орган по сертификации. Материалы сертификационных испытаний средства защиты информации должны включать: программу и методику сертификационных испытаний средства защиты информации, протоколы сертификационных испытаний средства защиты информации и техническое заключение; протоколы повторных сертификационных испытаний средства защиты информации и техническое заключение (в случае проведения повторных сертификационных испытаний); акт отбора образца (образцов) средства защиты информации; технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений); дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании); задание по безопасности в двух экземплярах (в случае его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации в двух экземплярах; дополнительную документацию на средство защиты информации, представленную заявителем при проведении сертификационных испытаний. Все документы, за исключением дополнительной документации на средство защиты информации, представляются на бумажном носителе и в электронном виде. Дополнительная документация на средство защиты информации представляется только в электронном виде. Оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия53. Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний средства защиты информации на соответствие требованиям настоящего Положения и требованиям по безопасности информации, в том числе наличие в средстве защиты информации уязвимостей или недекларированных возможностей, несоответствие средства защиты информации требованиям по безопасности информации, наличие информации об угрозах безопасности, связанных с применением средства защиты информации. Срок проведения оценки материалов сертификационных испытаний устанавливается договором между заявителем и органом по сертификации и не должен превышать 45 календарных дней с даты поступления в орган по сертификации всех документов, предусмотренных пунктом 52 настоящего Положения. В случае непредставления документов, предусмотренных пунктом 52 настоящего Положения, орган по сертификации запрашивает их в испытательной лаборатории. 54. По результатам оценки материалов сертификационных испытаний средства защиты информации орган по сертификации оформляет экспертное заключение о возможности (невозможности) выдачи сертификата соответствия. Экспертное заключение оформляется в трех экземплярах, подписывается всеми экспертами органа по сертификации, проводившими сертификацию (присутствовавшими при проведении сертификационных испытаний), и утверждается руководителем органа по сертификации. Экспертное заключение должно содержать основание для проведения сертификации средства защиты информации (номер решения о проведении сертификации), наименование участников сертификации (заявителя, испытательной лаборатории и органа по сертификации), требования, на соответствие которым проведена сертификация средства защиты информации, результаты оценки материалов сертификационных испытаний, выводы о возможности (невозможности) выдачи сертификата соответствия. 55. В случае наличия в экспертном заключении вывода о возможности выдачи сертификата соответствия орган по сертификации подготавливает проект сертификата соответствия (рекомендуемый образец приведен в приложении № 3 к настоящему Положению). 56. Один экземпляр экспертного заключения, проект сертификата соответствия и материалы сертификационных испытаний, предусмотренные пунктом 52 настоящего Положения, представляются органом по сертификации в ФСТЭК России. Экспертное заключение и проект сертификата соответствия представляются на бумажном носителе и в электронном виде. Один экземпляр экспертного заключения направляется заявителю. Выдача (отказ в выдаче) сертификата соответствия57. В случае если в экспертном заключении сделан вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия. 58. В случае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 45 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия. В случае выявления в материалах по сертификации средства защиты информации недостатков ФСТЭК России направляет материалы в орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению. Уведомление о выявленных в материалах по сертификации средства защиты информации недостатках с их описанием и предложениями по устранению направляется испытательной лаборатории и заявителю. 59. Орган по сертификации, испытательная лаборатория и заявитель в срок не более 90 календарных дней со дня подписания уведомления должны устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания средства защиты информации и представить в ФСТЭК России доработанные материалы по сертификации средства защиты информации. 60. В случае непредставления доработанных материалов по сертификации средства защиты информации ФСТЭК России принимает решение об отказе в выдаче сертификата соответствия. Решение об отказе в выдаче сертификата соответствия подписывается уполномоченным должностным лицом ФСТЭК России и в течение 5 рабочих дней вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении. 61. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в государственный реестр сертифицированных средств защиты информации. Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении. Предоставление дубликата сертификата соответствия62. В случае утраты сертификата соответствия заявитель вправе обратиться в ФСТЭК России с заявлением о выдаче дубликата сертификата соответствия. В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия ФСТЭК России оформляет дубликат на бланке сертификата соответствия с пометкой "дубликат, оригинал сертификата соответствия признается недействующим" и вручает заявителю или направляет ему заказным почтовым отправлением с уведомлением о вручении. Маркирование средств защиты информации63. На основании сертификата соответствия заявитель организует маркирование средств защиты информации знаками соответствия. 64. В случае сертификации единичного образца средства защиты информации или партии средства защиты информации знаки соответствия направляются или выдаются заявителю вместе с сертификатом соответствия. Номера знаков соответствия указываются в сертификате соответствия. 65. В случае сертификации серийного производства средства защиты информации заявитель направляет в ФСТЭК России заявку на получение знаков соответствия, в которой указывает: наименование заявителя; наименование сертифицированного средства защиты информации; номер сертификата соответствия, дату его выдачи; количество знаков соответствия, необходимое для маркирования средства защиты информации. 66. ФСТЭК России рассматривает заявку на получение знаков соответствия в течение 5 рабочих дней. Знаки соответствия вручаются заявителю или направляются ему заказным почтовым отправлением с уведомлением о вручении. В случае наличия в заявке ошибочных или недостоверных сведений ФСТЭК России отказывает в предоставлении знаков соответствия, о чем уведомляет заявителя. 67. Маркирование средств защиты информации осуществляется только при наличии действующего сертификата соответствия. Заявитель маркирует знаками соответствия каждый образец средства защиты информации, на которое выдан сертификат соответствия. В случае прекращения производства и реализации средства защиты информации неиспользованные знаки соответствия подлежат возврату в ФСТЭК России. Маркирование иных, в том числе сертифицированных, средств защиты информации неиспользованными знаками соответствия не допускается. 68. Заявитель ведет журнал, в котором регистрирует промаркированные образцы средства защиты информации с указанием заводских номеров образцов средства защиты информации и номеров знаков соответствия. 69. Знаком соответствия маркируется корпус изделия (при наличии) или формуляр (паспорт) на средство защиты информации. В формуляре (паспорте) на средство защиты информации указывается номер знака соответствия. 70. Маркирование средств защиты информации, являющихся программным обеспечением, распространяемым по сетям связи, осуществляется с применением электронной подписи или любым способом, подтверждающим подлинность средств защиты информации. Внесение изменений в сертифицированное средство защиты информации71. Заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации. В случае внесения в средство защиты информации иных изменений заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории. 72. Заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации и устранением уязвимостей (недекларированных возможностей) средства защиты информации. В случае внесения в средство защиты информации иных изменений заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории. 73. В случае внесения в сертифицированное средство защиты информации изменений, связанных с устранением уязвимостей (недекларированных возможностей) средства защиты информации или обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, заявитель информирует потребителей о необходимости обновления средства защиты информации и доводит до потребителей обновления средства защиты информации до проведения испытаний, предусмотренных пунктами 71 и 72 настоящего Положения. Испытания средства защиты информации в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации. 74. По результатам проведенных испытаний средства защиты информации в связи с внесением в него изменений заявитель представляет в ФСТЭК России материалы испытаний, содержащие: техническое заключение; протоколы по результатам проведенных испытаний; технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений); дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании, и в случае внесения изменений в техническое задание); задание по безопасности (при наличии) в двух экземплярах (в случае внесения изменений в задание по безопасности); формуляр (паспорт) на средство защиты информации и извещение о внесении изменений в формуляр (паспорт) в двух экземплярах (в случае внесения таких изменений). 75. ФСТЭК России течение 20 календарных дней рассматривает поступившие материалы испытаний, согласовывает технические условия, дополнительное техническое задание (при наличии) или задание по безопасности (при наличии) и формуляр (паспорт) на средство защиты информации, переоформляет сертификат соответствия. Переоформление сертификата соответствия76. Сертификат соответствия подлежит переоформлению в случае: а) реорганизации заявителя в форме преобразования; б) изменения наименования заявителя; в) изменения местонахождения заявителя; г) внесения изменений в сертифицированное средство защиты информации, требующих внесения изменений в сертификат соответствия. 77. Для переоформления сертификата соответствия в случаях, указанных в подпунктах "а", "б" и "в" пункта 76 настоящего Положения, заявитель либо его правопреемник представляют в ФСТЭК России заявление о переоформлении сертификата соответствия. В заявлении о переоформлении сертификата соответствия указываются новые сведения о заявителе или его правопреемнике. Заявление о переоформлении сертификата соответствия представляется непосредственно в ФСТЭК России или направляется заказным почтовым отправлением с уведомлением о вручении. 78. ФСТЭК России в срок, не превышающий 10 рабочих дней со дня получения заявления о переоформлении сертификата соответствия, осуществляет проверку достоверности содержащихся в заявлении о переоформлении сертификата соответствия новых сведений и принимает решение о переоформлении сертификата соответствия или об отказе в его переоформлении. Основаниями для отказа в переоформлении сертификата соответствия являются: а) наличие в заявлении о переоформлении сертификата соответствия недостоверных сведений; б) отсутствие у заявителя, занимающегося разработкой и (или) производством средства защиты информации, переоформленной лицензии ФСТЭК России в случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации. 79. ФСТЭК России в случае отказа в переоформлении сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения вручает заявителю или его правопреемнику уведомление об отказе в переоформлении сертификата соответствия с указанием причин отказа или направляет его заказным почтовым отправлением с уведомлением о вручении. 80. Уведомление о переоформлении сертификата соответствия с приложением переоформленного сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения направляется заказным почтовым отправлением с уведомлением о вручении или вручается заявителю или его правопреемнику. 81. Заявитель в течение 5 рабочих дней со дня получения переоформленного сертификата соответствия должен представить (направить) в ФСТЭК России подлинник ранее выданного сертификата соответствия. Продление срока действия сертификата соответствия82. В целях производства и реализации сертифицированного средства защиты информации срок действия сертификата соответствия может быть продлен в порядке, предусмотренном для сертификации средств защиты информации в соответствии с пунктами 19 - 61 настоящего Положения. Приостановление действия сертификата соответствия83. Действие сертификата соответствия приостанавливается в случаях: изменения требований по безопасности информации; установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей; прекращения технической поддержки сертифицированного средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований о защите информации при применении средства защиты информации; обращения заявителя о приостановлении действия сертификата соответствия. 84. Решение о приостановлении действия сертификата соответствия оформляется приказом ФСТЭК России. Действие сертификата соответствия может быть приостановлено на срок не более 90 календарных дней. ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации, который не должен превышать 90 календарных дней. 85. В случае приостановления действия сертификата соответствия заявитель должен прекратить производство и реализацию сертифицированного средства защиты информации. 86. Действие сертификата соответствия возобновляется в случае: устранения несоответствия средства защиты информации требованиям по безопасности информации и представления в ФСТЭК России материалов, подтверждающих устранение несоответствия; возобновления технической поддержки средства защиты информации; обращения заявителя о возобновлении действия сертификата соответствия в случае, если решение о приостановлении действия сертификата соответствия было принято по обращению заявителя. 87. Решение о возобновлении действия сертификата соответствия оформляется приказом ФСТЭК России. ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о возобновлении действия сертификата соответствия. 88. ФСТЭК России вносит сведения о приостановлении и возобновлении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации. Прекращение действия сертификата соответствия89. Действие сертификата соответствия прекращается в случае: непредставления заявителем в установленный срок материалов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации; невозобновления заявителем в установленный срок технической поддержки средства защиты информации; обращения заявителя о прекращении действия сертификата соответствия. 90. Решение о прекращении действия сертификата соответствия оформляется приказом ФСТЭК России. ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о прекращении действия сертификата соответствия. 91. В случае прекращения действия сертификата соответствия заявитель должен прекратить производство и реализацию сертифицированного средства защиты информации, если такие мероприятия не были проведены в связи с приостановлением действия сертификата соответствия. 92. ФСТЭК России вносит сведения о прекращении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации. Приложение № 1к Положению о системе сертификации средств Рекомендуемый образец
Приложение № 2к Положению о системе сертификации средств Рекомендуемый образец
Приложение № 3к Положению о системе сертификации средств Рекомендуемый образец
|