Приказ ФСТЭК РФ от 05.08.2021 N 121

"О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное Приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55"
Редакция от 05.08.2021 — Действует с 07.11.2021

Зарегистрировано в Минюсте России 27 октября 2021 г. N 65594


ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ
от 5 августа 2021 г. N 121

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 3 АПРЕЛЯ 2018 Г. N 55

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации)) (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579) и пунктом 1 постановления Правительства Российской Федерации от 15 мая 2010 г. N 330 приказываю:

Внести в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55 (зарегистрирован Министерством юстиции Российской Федерации 11 мая 2018 г., регистрационный N 51063), изменения согласно приложению к настоящему приказу.

Директор
Федеральной службы по техническому
и экспортному контролю
В.СЕЛИН

Приложение
к приказу ФСТЭК России
от 5 августа 2021 г. N 121

ИЗМЕНЕНИЯ, КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 3 АПРЕЛЯ 2018 Г. N 55

1. Пункт 3 дополнить абзацем следующего содержания:

"Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.".

2. Пункт 14 дополнить абзацами следующего содержания:

"Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.".

3. Абзац второй пункта 15 признать утратившим силу.

4. Пункт 37 изложить в следующей редакции:

"37. Для проведения сертификационных испытаний испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации.

При сертификации партии средства, предназначенного для защиты информации от утечки по техническим каналам, для отбора образцов должна быть представлена вся партия образцов средства защиты информации.

При сертификации серийного производства средств защиты информации для осуществления отбора образцов должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов, которое необходимо отобрать для проведения сертификационных испытаний.

При сертификации партии или серийно производимого средства, предназначенного для защиты информации от утечки по техническим каналам, объем выборки образцов определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.

При сертификации партии или серийно производимого средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий отбирается один образец средства защиты информации.

Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.".

5. Дополнить пунктами 37.1 и 37.2 следующего содержания:

"37.1. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:

номер и дата решения о проведении сертификации;

дата осуществления отбора образца (образцов) средства защиты информации;

наименование средства защиты информации;

наименование заявителя;

наименование испытательной лаборатории;

фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;

фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;

схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);

количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации;

количество отобранных образцов средства защиты информации с указанием их заводских номеров;

контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).

Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.

37.2. На отобранный образец (образцы) средства защиты информации заявитель представляет в испытательную лабораторию следующую документацию:

технические условия;

задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);

формуляр (паспорт) на средство защиты информации;

иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.

В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.".

6. Пункт 38 изложить в следующей редакции:

"38. Заявитель обязан предоставить возможность ознакомления испытательной лаборатории с образцом средства защиты информации и его производством.".

7. В пункте 39 слова "и орган по сертификации" исключить.

8. Пункт 40 изложить в следующей редакции:

"40. Испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.".

9. В пункте 41 слова "орган по сертификации" заменить словами "испытательная лаборатория".

10. Пункт 43 изложить в следующей редакции:

"43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.

К программе и методике сертификационных испытаний, представляемым на утверждение в орган по сертификации, прилагается следующая документация:

технические условия;

задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);

формуляр (паспорт) на средство защиты информации;

иная конструкторская (программная) и эксплуатационная документация на средство защиты информации, предусмотренная требованиями по безопасности информации.

Орган по сертификации в течение 30 календарных дней со дня получения программы и методики сертификационных испытаний рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.

В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.

Испытательная лаборатория в течение 10 календарных дней со дня получения программы и методики сертификационных испытаний устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.

При повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.

Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней со дня получения программы и методики сертификационных испытаний.

Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.".

11. Пункты 44 и 45 признать утратившими силу.

12. Абзац пятый пункта 47 дополнить словами "в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания".

13. Пункт 63 изложить в следующей редакции:

"63. На основании сертификата соответствия заявитель организует маркирование средства защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, который имеет вид: РОСС RU.01.ХХХХХ.ХХХХХХ.

Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России.

Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации.

Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.

Идентификатор может содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации.";

14. Пункт 64 изложить в следующей редакции:

"64. В случае сертификации единичного образца средства защиты информации или партии средства защиты информации идентификатор сертифицированных образцов средства защиты информации указывается в сертификате соответствия.".

15. Пункты 65 и 66 признать утратившими силу.

16. В пункте 67:

а) в абзаце первом слово "действующего" исключить;

б) в абзаце втором слова "знаками соответствия" заменить словом "идентификатором";

в) абзац третий признать утратившим силу.

17. В пункте 68 слова "заводских номеров образцов средства защиты информации и номеров знаков соответствия" заменить словами "идентификаторов".

18. Пункт 69 изложить в следующей редакции:

"69. Идентификатором маркируется корпус изделия (при наличии) или съемный машинный носитель информации, содержащий программное обеспечения сертифицированного средства защиты информации.

Идентификатор заносится в формуляр (паспорт) на средство защиты информации.".

19. Дополнить пунктом 70.1 следующего содержания:

"70.1. Заявитель ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения о произведенных и (или) промаркированных сертифицированных средствах защиты информации, содержащие наименование средства и присвоенные образцам идентификаторы.".

20. Дополнить пунктом 82.1 следующего содержания:

"82.1. При продлении срока действия сертификата соответствия сертификационные испытания проводятся по сокращенной программе:

для средства, предназначенного для защиты информации от утечки по техническим каналам, проводится проверка его производства;

для средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий проводится оценка его соответствия требованиям по безопасности информации, устанавливающим уровни доверия.".