Artiks Артикс - 1с, Консультант плюс, журналы, обслуживание
Консультант Плюс. Системы КонсультантПлюс 1С: Франчайзи Электронная отчётность
Раздел Консультант Плюс. Все о системах КонсультантПлюс Отдел Консультант Плюс. Системы КонсультантПлюс

Справочные правовые системы
"Консультант Плюс"



Справочно правовые системы Консультант плюс Правовые системы
Консультант Плюс
Журналы Главная книга и Главная Книга: Конференц-Зал Журналы "Главная книга"
Новое в законодательстве - недельные обзоры документов законодательства России. Подготовлены специалистами КонсультантПлюс Новое в законодательстве
Документ недели - каждую неделю выбирается самый важный документ из вновь появившихся и подробно комментируется. Оригинал рассматриваемого документа можно бесплатно скачать Документ недели
Спецпроект - Тематические подборки документов Спецпроект
Ответы специалиста на Ваши вопросы Консультации
Для клиентов - информация для пользователей систем Консультант Для клиентов
Форма заказа на покупку или демонстрацию справочно правовых систем консультант плюс Заказ на покупку / демонстрацию
Заказ документа - форма заказа нормативных документов Заказ документа
Антивирусы - прейскурант на антивирусные программы. Антивирус Касперского, Доктор Вэб, Norton Antivirus. Описание антивирусов. Форма заказа Антивирусы
Полезные советы по работе с правовыми системами консультант Полезные советы


Контактная информация

тел: (495) 721-35-86
e-mail: написать письмо

Документ недели

[15.05.2018-21.05.2018]

Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"

Скачать (26 kb, rar-архив)


Содержание :

сертификация средств защиты информации - ответы в Консультант Плюс

   С 1 августа 2018 года вступает в силу Положение о системе сертификации средств защиты информации (..)

   Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26.06.1995 N 608, а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, являющейся государственным информационным ресурсом или персональными данными, продукции, сведения о которой составляют государственную тайну, подлежащей сертификации в рамках указанной системы.

   Сертификации в системе ФСТЭК России подлежат, в том числе:

   - средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

   - средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации.

   Регламентированы процедуры проведения сертификации средства защиты информации (в частности, подача заявки на сертификацию, принятие решения о проведении сертификации, выдача (отказ в выдаче) сертификата соответствия, переоформление сертификата соответствия, прекращение его действия и др.).

   Приведем здесь текст положения:

   Положение о системе сертификации средств защиты информации (..)

   I. Общие положения

   1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст. 4673; 2003, N 27, ст. 2700; 2004, N 27, ст. 2711; 2011, N 30, ст. 4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; 2011, N 49, ст. 7025; 2016, N 15, ст. 2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".

   2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее - система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы.

   3. Сертификации в системе сертификации ФСТЭК России подлежат: средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам; средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации; средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

   4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее - требования по безопасности информации).

   II. Система сертификации ФСТЭК России

   5. Участниками системы сертификации ФСТЭК России являются: федеральный орган по сертификации; организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации); организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории); изготовители средств защиты информации.

   6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.

   7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия).

   8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

   9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации. Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну. <1>

   <1> Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1540; 1996, N 18, ст. 2142; 1997, N 20, ст. 2283; 1998, N 32, ст. 3899; 2002, N 41, ст. 3983; 2004, N 52, ст. 5479; 2007, N 6, ст. 760; 2008, N 21, ст. 2465; 2010, N 14, ст. 1665; N 40, ст. 5076; 2011, N 46, ст. 6521; 2012, N 20, ст. 2545; 2015, N 1, ст. 262).

   Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации <2>.

   <2> Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477; 2014, N 30, ст. 4256; N 42, ст. 5615; 2015, N 1, ст. 11; N 29, ст. 434; N 44, ст. 6047; 2016, N 1, ст. 51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297; 2016, N 26, ст. 4049).

   10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.

   11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации).

   12. Сертификация средств защиты информации осуществляется по следующим схемам: для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки; для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки; для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки. Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации. Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.

   13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.

   14. Срок действия сертификата соответствия не может превышать 5 лет. <1>

   <1> Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

   Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

   15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия. Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

   16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации. <2>

   <2> Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

   17. Органы по сертификации, испытательные лаборатории должны обеспечивать защиту информации о средствах защиты информации, о требованиях по безопасности информации, методиках сертификационных испытаний в рамках систем менеджмента информационной безопасности. Органы по сертификации и испытательные лаборатории на основании заключенных договоров обязаны обеспечивать защиту информации, обладателем которой является заявитель.

   III. Порядок проведения сертификации средства защиты информации

   18. Сертификация средства защиты информации включает следующие процедуры: подача заявки на сертификацию; принятие решения о проведении сертификации средства защиты информации; сертификационные испытания средства защиты информации; оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия; выдача (отказ в выдаче) сертификата соответствия; предоставление дубликата сертификата соответствия; маркирование средств защиты информации; внесение изменений в сертифицированное средство защиты информации; переоформление сертификата соответствия; продление срока действия сертификата соответствия; приостановление действия сертификата соответствия; прекращение действия сертификата соответствия.

   Подача заявки на сертификацию

   19. Заявитель при намерении сертифицировать средство защиты информации:

   1) относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных требованиями по безопасности информации и подлежащих сертификации в системе сертификации ФСТЭК России;

   2) определяет требования по безопасности информации, на соответствие которым планируется проведение сертификации средства защиты информации;

   3) осуществляет производство (подготовку) образца (образцов) средства защиты информации;

   4) готовит конструкторскую, программную и эксплуатационную документацию на средство защиты информации;

   5) выбирает для проведения сертификационных испытаний средства защиты информации аккредитованную ФСТЭК России в соответствующей области аккредитации испытательную лабораторию <1>, согласовывает с ней возможность и сроки проведения сертификационных испытаний.

   <1> Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационно-телекоммуникационной сети "Интернет" в соответствии с Порядком ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, утвержденным приказом ФСТЭК России от 18 июня 2015 г. N 67 "Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий" (зарегистрирован Минюстом России 10 июля 2015 г., регистрационный N 37974).

   20. Для получения сертификата соответствия заявитель представляет в ФСТЭК России заявку на сертификацию. В заявке на сертификацию указываются: наименование средства защиты информации; назначение средства защиты информации; полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма; адрес местонахождения, почтовый адрес заявителя; номер и дата выдачи имеющейся у заявителя лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (указывается заявителем, являющимся изготовителем); фамилия, имя и отчество (при наличии) руководителя заявителя; фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию средства защиты информации; номер контактного телефона и адрес электронной почты (при наличии) заявителя; наименование лица (лиц), разработавшего (разработавших) средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц)); номер и дата выдачи имеющейся у разработчика (разработчиков) средства защиты информации лицензии ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, и (или) лицензии ФСТЭК России по разработке и производству средств защиты конфиденциальной информации (для российских юридических лиц); наименование лица (лиц), обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц)); наименование испытательной лаборатории, в которой планируется проведение сертификационных испытаний средства защиты информации; тип (типы) средств защиты информации, к которому (которым) относится представляемое на сертификацию средство защиты информации; документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации; схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии); заявляемый срок действия сертификата соответствия; наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний. Заявка на сертификацию должна быть подписана руководителем заявителя (лицом, которое в силу закона или учредительных документов выступает от его имени) и руководителем испытательной лаборатории. Рекомендуемый образец заявки на сертификацию приведен в приложении N 1 к настоящему Положению.

   21. К заявке на сертификацию прилагаются следующие документы: технические условия в двух экземплярах; техническое задание в двух экземплярах (в случае, если планируется проведение сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании); задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации; договор с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации (прилагается в случае, если заявитель не обладает исключительными правами на средство защиты информации).

   22. Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России. Заявка на сертификацию и прилагаемые к ней документы оформляются на русском языке. Допускается указывать на иностранном языке фирменное наименование средства защиты информации, наименования лица, разработавшего средство защиты информации, и лица, обладающего исключительными правами на средство защиты информации, а также адреса их местонахождения.

   Принятие решения о проведении сертификации средства защиты информации

   23. ФСТЭК России рассматривает заявку на сертификацию и прилагаемые к ней документы в течение месяца <1> со дня получения заявки на сертификацию.

   <1> Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

   24. Заявка на сертификацию и (или) прилагаемые к ней документы возвращаются для доработки в случае отсутствия сведений или документов, предусмотренных пунктами 20 и 21 настоящего Положения, а также в случае несоответствия документов, прилагаемых к заявке на сертификацию, требованиям по безопасности информации.

   25. По итогам рассмотрения заявки на сертификацию и прилагаемых к ней документов в проведении сертификации средства защиты информации может быть отказано. Основаниями для отказа в проведении сертификации средства защиты информации являются: несоответствие назначения средства защиты информации компетенции ФСТЭК России; отсутствие у заявителя и (или) изготовителя лицензии ФСТЭК России в случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации; наличие в заявке на сертификацию и (или) в прилагаемых к ней документах недостоверных сведений; наличие в банке данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, сведений об уязвимостях средства защиты информации или поступивших в ФСТЭК России от уполномоченных органов сведений об угрозах безопасности, связанных с применением средства защиты информации.

   26. Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемых к ней документов в срок не более трех дней со дня принятия решения подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.

   27. В случае принятия решения о проведении сертификации средства защиты информации в решении указываются: номер и дата принятия решения; наименование средства защиты информации; назначение средства защиты информации; полное и сокращенное (в случае, если имеется) наименование заявителя, его организационно-правовая форма, адрес местонахождения заявителя; наименование испытательной лаборатории, в которой будут проведены сертификационные испытания средства защиты информации; наименование органа по сертификации, в котором будет проведена сертификация средства защиты информации; документы, на соответствие требованиям которых должна проводиться сертификация средства защиты информации; схема сертификации средства защиты информации; наименование лица, на материально-технической базе которого планируется проводить сертификационные испытания средства защиты информации, адрес места (адреса мест) проведения сертификационных испытаний. Решение о проведении сертификации средства защиты информации оформляется в четырех экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказным почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации.

   28. В случае сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в технических условиях, техническом задании или задании по безопасности, ФСТЭК России рассматривает и согласовывает технические условия, техническое задание или задание по безопасности, прилагаемые к заявке на сертификацию. Один экземпляр технических условий, технического задания или задания по безопасности прикладывается к решению о проведении сертификации средства защиты информации и направляется заявителю. В ходе проведения сертификации средства защиты информации в технические условия, техническое задание или задание по безопасности могут вноситься изменения по согласованию с ФСТЭК России.

   29. Не допускается проводить сертификацию (сертификационные испытания) средства защиты информации до принятия решения о проведении сертификации средства защиты информации.

   30. Заявитель должен в трехдневный срок письменно известить ФСТЭК России о заключении договоров с испытательной лабораторией и органом по сертификации с указанием определенного договорами срока проведения сертификации средства защиты информации.

   31. Решение о проведении сертификации средства защиты информации подлежит переоформлению в случаях: изменения наименования средства защиты информации; замены испытательной лаборатории или органа по сертификации, в том числе в связи с приостановлением, прекращением действия аттестатов аккредитации испытательной лаборатории или органа по сертификации; изменения состава документов, на соответствие которым проводится сертификация средства защиты информации; изменения схемы сертификации средства защиты информации, в том числе изменения количества образцов в партии средств защиты информации; изменения места (мест) проведения сертификационных испытаний.

   32. Обращение заявителя с обоснованием необходимости переоформления решения о проведении сертификации средства защиты информации направляется в ФСТЭК России заказным почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России.

   33. Решение о проведении сертификации средства защиты информации переоформляется в четырех экземплярах в течение 10 рабочих дней со дня поступления обращения заявителя, подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается по одному экземпляру заявителю, испытательной лаборатории и органу по сертификации.

   34. В случае отказа в переоформлении решения о проведении сертификации средства защиты информации уведомление с обоснованием отказа подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.

   35. Решение о проведении сертификации средства защиты информации аннулируется в случае: обращения заявителя о прекращении сертификации средства защиты информации; незаключения заявителем договоров с испытательной лабораторией и органом по сертификации на проведение сертификации по истечении 1 года с даты принятия решения о проведении сертификации средства защиты информации.

   36. Уведомление об аннулировании решения о проведении сертификации средства защиты информации подписывается уполномоченным должностным лицом ФСТЭК России и направляется заказными почтовыми отправлениями с уведомлением о вручении или вручается заявителю, испытательной лаборатории и органу по сертификации.

   Сертификационные испытания средства защиты информации

   37. В целях подготовки к проведению сертификационных испытаний средства защиты информации заявитель представляет для предварительного рассмотрения в испытательную лабораторию и орган по сертификации следующую документацию на средство защиты информации: технические условия; задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации; иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации. В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.

   38. Заявитель обязан предоставить возможность предварительного ознакомления испытательной лаборатории и органа по сертификации с образцом средства защиты информации.

   39. В случае невозможности представления образца средства защиты информации в испытательную лабораторию и орган по сертификации по причине его массогабаритных характеристик или необходимости демонтажа, образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.

   40. Испытательная лаборатория и орган по сертификации осуществляют предварительное рассмотрение образца средства защиты информации и документации на средство защиты информации в срок не более 45 календарных дней. Перечень выявленных недостатков с предложениями по их устранению направляется заявителю.

   41. Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, орган по сертификации представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя.

   42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. Программа и методика сертификационных испытаний средства защиты информации должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации.

   43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации. Орган по сертификации в течение 30 календарных дней рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их. В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя. Испытательная лаборатория в течение 10 календарных дней устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение. Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней. Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.

   44. Испытательная лаборатория осуществляет отбор образца (образцов) средств защиты информации, необходимых для проведения сертификационных испытаний. При сертификации партии средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена вся партия средства защиты информации. При сертификации серийного производства средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов средства защиты информации, которое необходимо отобрать для проведения сертификационных испытаний. Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен (должны) соответствовать образцам средства защиты информации, предназначенным для реализации потребителю. Объем выборки образцов средства защиты информации определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.

   45. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются: номер и дата решения о проведении сертификации; дата осуществления отбора образца (образцов) средства защиты информации; наименование средства защиты информации; наименование заявителя; наименование испытательной лаборатории; фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации; фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации; схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии); количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации; количество отобранных образцов средства защиты информации, с указанием их заводских номеров; контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации). Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.

   46. Испытательная лаборатория проводит сертификационные испытания в соответствии с утвержденными органом по сертификации программой и методикой сертификационных испытаний средства защиты информации. Орган по сертификации осуществляет контроль проведения сертификационных испытаний. Эксперт (эксперты) органа по сертификации может (могут) присутствовать при проведении сертификационных испытаний.

   47. Сертификационные испытания включают: проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации; проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации; проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации производства средства защиты информации). При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения. Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.

   48. По результатам испытаний и проверок оформляются протоколы испытаний (проверок), содержащие основание для проведения испытаний (номер решения о проведении сертификации), даты и места проведения испытаний, описание испытываемого средства защиты информации, описание проведенных испытаний, результаты испытаний по каждому испытываемому параметру или характеристике (функции безопасности информации) средства защиты информации, выводы о соответствии (несоответствии) средства защиты информации, организации технической поддержки и производства средства защиты информации требованиям по безопасности информации. Протоколы испытаний (проверок) подписываются специалистами испытательной лаборатории, проводившими сертификационные испытания.

   49. По завершении испытаний и проверок, предусмотренных программой и методикой сертификационных испытаний средства защиты информации, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации, содержащее основание для проведения испытаний (номер решения о проведении сертификации), описание испытываемого средства защиты информации, требования, на соответствие которым проводились испытания, результаты испытаний, вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации. Техническое заключение утверждается руководителем испытательной лаборатории.

   50. В случае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю. Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации и проинформировать об этом испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний. Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.

   51. Повторные сертификационные испытания средства защиты информации проводятся в соответствии с договором на проведение сертификационных испытаний в объеме, необходимом для проверки устранения выявленных при проведении сертификационных испытаний несоответствий средства защиты информации требованиям по безопасности информации. По результатам повторных сертификационных испытаний оформляются протоколы повторных испытаний (проверок) и техническое заключение.

   52. Материалы сертификационных испытаний средства защиты информации представляются испытательной лабораторией в орган по сертификации. Материалы сертификационных испытаний средства защиты информации должны включать: программу и методику сертификационных испытаний средства защиты информации, протоколы сертификационных испытаний средства защиты информации и техническое заключение; протоколы повторных сертификационных испытаний средства защиты информации и техническое заключение (в случае проведения повторных сертификационных испытаний); акт отбора образца (образцов) средства защиты информации; технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений); дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании); задание по безопасности в двух экземплярах (в случае его разработки в соответствии с требованиями по безопасности информации); формуляр (паспорт) на средство защиты информации в двух экземплярах; дополнительную документацию на средство защиты информации, представленную заявителем при проведении сертификационных испытаний. Все документы, за исключением дополнительной документации на средство защиты информации, представляются на бумажном носителе и в электронном виде. Дополнительная документация на средство защиты информации представляется только в электронном виде.

   Полный текст документа, являющегося героем текущего обзора - Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации", можно скачать, кликнув на выделенную часть текста (скачать).

   Инструкция по разархивации находится здесь.

Обсудить в форуме.

(По материалам аналитических обзоров, подготовленного компанией Консультант Плюс )

Артикс




Заказать документ




Архив: 21.05 14.05 07.05 07.05 23.04






Copyright © 2002-18 Artiks
Телефон: +7 495 721-35-86
Дизайн -
студия "Неоновый Жук"