Приказ ФСТЭК России от 03.04.2018 N 55 (ред. от 19.09.2022) "Об утверждении Положения о системе сертификации средств защиты информации" (Зарегистрировано в Минюсте России 11.05.2018 N 51063)

II. Система сертификации ФСТЭК России

5. Участниками системы сертификации ФСТЭК России являются:

федеральный орган по сертификации;

организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации);

организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории);

изготовители средств защиты информации.

6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.

7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия).

8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.

Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну. <1>

--------------------------------

<1> Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1540; 1996, N 18, ст. 2142; 1997, N 20, ст. 2283; 1998, N 32, ст. 3899; 2002, N 41, ст. 3983; 2004, N 52, ст. 5479; 2007, N 6, ст. 760; 2008, N 21, ст. 2465; 2010, N 14, ст. 1665; N 40, ст. 5076; 2011, N 46, ст. 6521; 2012, N 20, ст. 2545; 2015, N 1, ст. 262).

Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации <2>.

--------------------------------

<2> Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477; 2014, N 30, ст. 4256; N 42, ст. 5615; 2015, N 1, ст. 11; N 29, ст. 434; N 44, ст. 6047; 2016, N 1, ст. 51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297; 2016, N 26, ст. 4049).

10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.

11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации).

12. Сертификация средств защиты информации осуществляется по следующим схемам:

для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;

для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;

для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.

Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.

Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.

13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.

14. Срок действия сертификата соответствия не может превышать 5 лет. <1>

--------------------------------

<1> Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

(абзац введен Приказом ФСТЭК России от 05.08.2021 N 121)

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.

(абзац введен Приказом ФСТЭК России от 05.08.2021 N 121)

15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.

Абзац утратил силу. - Приказ ФСТЭК России от 05.08.2021 N 121.

(см. текст в предыдущей редакции)

16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации. <2>

--------------------------------

<2> Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

17. Органы по сертификации, испытательные лаборатории должны обеспечивать защиту информации о средствах защиты информации, о требованиях по безопасности информации, методиках сертификационных испытаний в рамках систем менеджмента информационной безопасности.

Органы по сертификации и испытательные лаборатории на основании заключенных договоров обязаны обеспечивать защиту информации, обладателем которой является заявитель.

I. Общие положения III. Порядок проведения сертификации средства защиты информации