Проект Приказа ФСБ России "Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну" (подготовлен ФСБ России 23.01.2020)

Проект Приказа ФСБ России "Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну"
(подготовлен ФСБ России 23.01.2020 г.)

Досье на проект

В соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"*(1), и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330*(2) (с изменениями, внесенными постановлением Правительства Российской Федерации от 3 ноября 2014 г. N 1149 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)"*(3)),

приказываю:

1. Утвердить:

1.1. Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (приложение N 1).

1.2. Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (приложение N 2).

2. Признать утратившим силу приказ ФСБ России от 13 ноября 1999 г. N 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"*(4).

Директор

А.Бортников

Приложение N 1
к приказу ФСБ России
от N

Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну

I. Общие положения

1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-I "О государственной тайне"*(1), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"*(2), подпунктами 20.2 и 21 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960*(3), постановлениями Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" и от 15 мая 2010 г. N 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".

2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, созданной ФСБ России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее - система сертификации СЗИ-ГТ), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее - средства защиты информации), подлежащей сертификации в рамках системы сертификации СЗИ-ГТ.

3. Сертификации в системе сертификации СЗИ-ГТ подлежат разработанные и произведенные российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц:

- технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации;

- технические и программно-технические средства обнаружения и выявления электронных устройств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), в инженерно-технических коммуникациях, в интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории;

- технические и программно-технические средства и системы в защищенном исполнении;

- программные и программно-технические средства защиты информации;

- защищенные программные средства обработки информации;

- шифровальные (криптографические) средства защиты информации*(4).

4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным решениями ФСБ России, принятыми в пределах ее полномочий (далее - требования по безопасности информации).

II. Система сертификации СЗИ-ГТ

5. Участниками системы сертификации СЗИ-ГТ являются:

- федеральный орган по сертификации;

- организации, аккредитованные ФСБ России в качестве органа по сертификации (далее - органы по сертификации);

- организации, аккредитованные ФСБ России в качестве испытательной лаборатории (центра) (далее - испытательные лаборатории);

- изготовители средств защиты информации (далее - изготовители).

6. ФСБ России в соответствии с подпунктами 20.2 и 21 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960, осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, технических средств обеспечения безопасности и (или) защиты информации, разрабатывает и устанавливает своими решениями обязательные требования в области технического регулирования к продукции, используемой в органах федеральной службы безопасности в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации, а также оформляет и выдает сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия).

7. Органы по сертификации осуществляют сертификацию средств защиты информации.

При отсутствии органа по сертификации конкретного вида средств защиты информации его функции исполняет ФСБ России.

8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов*(5).

9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.

Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну*(6), выданную ФСБ России.

Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации*(7), выданную ФСБ России.

Изготовители шифровальных (криптографических) средств, предназначенных для защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), выданную ФСБ России*(8).

10. Заявителями на осуществление сертификации средств защиты информации являются изготовители, а также федеральные органы государственной власти, Центральный банк Российской Федерации, органы управления государственными внебюджетными фондами Российской Федерации, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации (далее - заявители)*(9).

Заявители на осуществление сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, должны обладать правом работы со сведениями, составляющими государственную тайну.

11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации. Заявители также должны обеспечивать устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации).

Техническая поддержка средств защиты информации должна осуществляться российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

Заявитель вправе не осуществлять техническую поддержку средства защиты информации в случае если производство средства защиты информации прекращено и он не является его изготовителем.

12. Сертификация средств защиты информации осуществляется по следующим схемам:

- для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации технической поддержки средства защиты информации*(10);

- для однородной по конструкции, составу и технологии изготовления совокупности выпущенного одним производителем количества единиц средства защиты информации одного наименования и обозначения (далее - партии средства защиты информации) - проведение испытаний выборки образцов средства защиты информации и проверки организации технической поддержки средства защиты информации¹;

- для средства защиты информации, производящегося серийно - проведение испытаний выборки образцов средства защиты информации и проверки организации производства и технической поддержки средства защиты информации¹.

13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории или на материально-технической базе изготовителя или иного заявителя, расположенной на территории Российской Федерации.

14. Срок действия сертификата соответствия не может превышать 5 лет*(11).

15. Сертификация средства защиты информации осуществляется на основании договора, заключаемого заявителем с испытательной лабораторией.

16. Органы по сертификации и испытательные лаборатории в соответствии с законодательством Российской Федерации должны обеспечивать защиту информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, о средствах защиты информации, требованиях по безопасности информации, методиках сертификационных испытаний.

Органы по сертификации и испытательные лаборатории обязаны обеспечивать сохранность материальных ценностей, предоставленных заявителем, и защиту информации, обладателем которой является заявитель.

III. Порядок проведения сертификации средства защиты информации

17. Сертификация средства защиты информации включает следующие процедуры:

- подачу заявки на сертификацию;

- принятие решения о проведении сертификации средства защиты информации;

- сертификационные испытания средства защиты информации;

- оформление органом по сертификации заключения по результатам сертификации средства защиты информации;

- оформление сертификата соответствия;

- выдачу (отказ в выдаче) сертификата соответствия;

- предоставление дубликата сертификата соответствия;

- внесение изменений в сертифицированное средство защиты информации;

- переоформление сертификата соответствия;

- продление срока действия сертификата соответствия;

- приостановление действия сертификата соответствия;

- прекращение действия сертификата соответствия.

IV. Подача заявки на сертификацию

18. Заявитель при намерении сертифицировать средство защиты информации:

- относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных Перечнем средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденным приказом ФСБ России от ;

- определяет на соответствие каким требованиям по безопасности информации планируется проведение сертификации средства защиты информации;

- на основании сведений из реестра аккредитованных органов по сертификации и испытательных лабораторий (центров), предоставленных ФСБ России*(12) или опубликованных на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет", выбирает для проведения сертификационных испытаний средства защиты информации испытательную лабораторию, аккредитованную ФСБ России в соответствующей области аккредитации, согласовывает с ней возможность и сроки проведения сертификационных испытаний.

19. Для получения сертификата соответствия заявитель представляет в ФСБ России заявку на сертификацию.

В заявке на сертификацию указываются:

- организационно-правовая форма, полное и сокращенное (при наличии) наименования заявителя, его индивидуальный номер налогоплательщика (далее - ИНН);

- адрес места нахождения, почтовый адрес заявителя;

- номера и даты выдачи имеющихся у заявителя лицензий, предусмотренных пунктами 9 и 10 настоящего Положения, в случае если наличие таких лицензий предусмотрено законодательством Российской Федерации;

- тип (типы) средства защиты информации, к которому (которым) относится представляемое на сертификацию средство защиты информации;

- наименование средства защиты информации;

- назначение средства защиты информации;

- наименования требований по безопасности информации, на соответствие которым должна проводиться сертификация средства защиты информации;

- схема сертификации средства защиты информации (при сертификации партии средства защиты информации указываются серийные номера образцов средства защиты информации в партии);

- наименование испытательной лаборатории, в которой планируется проведение сертификационных испытаний средства защиты информации;

- номер контактного телефона и адрес электронной почты (при наличии) заявителя;

- фамилия, имя и отчество (при наличии) руководителя заявителя;

- фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию средства защиты информации;

- наименование лица (лиц), разработавшего (разработавших) средство защиты информации, адрес его (их) местонахождения, номера и даты выдачи имеющихся у разработчиков выданных ФСБ России лицензий, в соответствии с которыми было разработано средство защиты информации;

- наименование лица (лиц), производящего (производящих) средство защиты информации, адрес его (их) местонахождения, номера и даты выдачи имеющихся у него (них) лицензий, в соответствии с которыми было произведено средство защиты информации;

- наименование лица (лиц), обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения (указываются при наличии такого лица (таких лиц).

Заявка на сертификацию должна быть подписана руководителем заявителя (лицом, которое в силу закона или учредительных документов выступает от его имени).

Рекомендуемый образец заявки на сертификацию приведен в приложении N 1 к настоящему Положению.

20. В случае если заявитель не обладает исключительными правами на средство защиты информации, к заявке на сертификацию прилагается заверенная в установленном порядке копия договора с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации.

21. Заявка на сертификацию направляется в ФСБ России почтовым отправлением с уведомлением о вручении.

Заявка на сертификацию оформляется на русском языке. Допускается указывать на иностранном языке фирменное наименование средства защиты информации, наименования лица, разработавшего средство защиты информации, и лица, обладающего исключительными правами на средство защиты информации.

V. Принятие решения о проведении сертификации средства защиты информации

22. ФСБ России рассматривает заявку на сертификацию и прилагаемый к ней документ в месячный срок со дня получения заявки на сертификацию*(13).

23. Заявка на сертификацию и (или) прилагаемый к ней документ возвращаются для доработки заявителю в случае отсутствия сведений или документов, предусмотренных пунктами 19 и 20 настоящего Положения.

24. По итогам рассмотрения заявки на сертификацию и прилагаемого к ней документа в проведении сертификации средства защиты информации может быть отказано.

Основаниями для отказа в проведении сертификации средства защиты информации являются:

- несоответствие назначения средства защиты информации компетенции ФСБ России;

- отсутствие у заявителя и (или) изготовителя лицензий, предусмотренных пунктом 9 или 10 настоящего Положения, в случае если наличие таких лицензий предусмотрено законодательством Российской Федерации;

- наличие в заявке на сертификацию и (или) в прилагаемом к ней документе недостоверных сведений;

- отсутствие у испытательной лаборатории, указанной в заявке на сертификацию, аккредитации на проведение сертификационных испытаний заявленного типа средства защиты информации.

25. Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемого к ней документа в срок не более 3 рабочих дней со дня принятия решения подписывается уполномоченным должностным лицом ФСБ России и вручается заявителю или направляется ему почтовым отправлением с уведомлением о вручении.

26. В случае принятия решения о проведении сертификации средства защиты информации в нем указываются:

- номер и дата принятия решения;

- наименование средства защиты информации;

- назначение средства защиты информации;

- полное и сокращенное (при наличии) наименования заявителя, его организационно-правовая форма, адрес местонахождения заявителя;

- наименование испытательной лаборатории, в которой будут проведены сертификационные испытания средства защиты информации;

- наименование органа по сертификации, в котором будет проведена сертификация средства защиты информации;

- требования по безопасности информации, на соответствие которым должна проводиться сертификация средства защиты информации;

- схема сертификации средства защиты информации.

Решение о проведении сертификации средства защиты информации оформляется в трех экземплярах, подписывается уполномоченным должностным лицом ФСБ России и направляется почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю и органу по сертификации*(14).

27. Не допускается проводить сертификацию (сертификационные испытания) средства защиты информации до принятия решения о проведении сертификации средства защиты информации.

28. Заявитель должен в трехдневный срок со дня заключения договора с испытательной лабораторией письменно известить ФСБ России о заключении указанного договора с указанием определенного договором срока проведения сертификации средства защиты информации.

29. Решение о проведении сертификации средства защиты информации подлежит переоформлению в случаях:

- изменения наименования средства защиты информации;

- замены испытательной лаборатории или органа по сертификации, в том числе в связи с приостановлением, прекращением действия аттестата аккредитации испытательной лаборатории или органа по сертификации;

- изменения требований по безопасности информации, на соответствие которым проводится сертификация средства защиты информации;

- изменения схемы сертификации средства защиты информации, в том числе изменения количества образцов в партии средства защиты информации.

30. Обращение заявителя с обоснованием необходимости переоформления решения о проведении сертификации средства защиты информации направляется в ФСБ России почтовым отправлением с уведомлением о вручении.

31. Решение о проведении сертификации средства защиты информации переоформляется в трех экземплярах в течение 10 рабочих дней со дня поступления обращения заявителя, подписывается уполномоченным должностным лицом ФСБ России и направляется почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю и органу по сертификации*(15).

32. В случае отказа в переоформлении решения о проведении сертификации средства защиты информации уведомление с обоснованием отказа подписывается уполномоченным должностным лицом ФСБ России и вручается заявителю или направляется ему почтовым отправлением с уведомлением о вручении.

Основаниями для отказа в переоформлении решения о проведении сертификации средства защиты информации являются:

- несоответствие обоснования необходимости переоформления решения о проведении сертификации средства защиты информации, приведенного в обращении заявителя, случаям, предусмотренным пунктом 29 настоящего Положения;

- наличие в обращении заявителя недостоверных сведений;

- отсутствие у испытательной лаборатории, указанной в обращении заявителя, аккредитации на проведение сертификационных испытаний заявленного типа средства защиты информации.

33. Решение о проведении сертификации средства защиты информации аннулируется в случае:

- обращения заявителя о прекращении сертификации средства защиты информации;

- незаключения заявителем договора с испытательной лабораторией на проведение сертификации по истечении 1 года с даты принятия решения о проведении сертификации средства защиты информации.

34. Уведомление об аннулировании решения о проведении сертификации средства защиты информации оформляется в трех экземплярах, подписывается уполномоченным должностным лицомт ФСБ России и направляется почтовым отправлением с уведомлением о вручении или вручается по одному экземпляру заявителю и органу по сертификации*(16).

VI. Сертификационные испытания средства защиты информации

35. В целях подготовки к проведению сертификационных испытаний средства защиты информации заявитель представляет для предварительного рассмотрения в испытательную лабораторию и орган по сертификации следующую документацию на средство защиты информации:

- технические условия;

- формуляр (паспорт) на средство защиты информации;

- иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации (далее - дополнительная документация).

36. Заявитель обязан предоставить возможность предварительного ознакомления испытательной лаборатории и органа по сертификации с образцом средства защиты информации.

37. В случае невозможности представления образца средства защиты информации в испытательную лабораторию и орган по сертификации по причине его массогабаритных характеристик или необходимости демонтажа образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.

38. Испытательная лаборатория и орган по сертификации совместно осуществляют предварительное рассмотрение образца средства защиты информации и документации на средство защиты информации в срок не более 45 рабочих дней. Перечень выявленных недостатков с предложениями по их устранению подготавливается испытательной лабораторией, утверждается органом по сертификации и направляется заявителю.

39. Контроль за устранением выявленных недостатков осуществляется органом по сертификации. Если выявленные недостатки не устранены в сроки, предусмотренные договором на проведение сертификационных испытаний средства защиты информации, орган по сертификации представляет в ФСБ России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя*(17).

40. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации (далее - программа и методика).

Программа и методика должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации.

41. Программа и методика согласовываются испытательной лабораторией с заявителем и представляются на утверждение в орган по сертификации.

Орган по сертификации в течение 30 рабочих дней рассматривает программу и методику и при отсутствии недостатков утверждает их.

В случае выявления недостатков орган по сертификации в течение 3 рабочих дней по окончании рассмотрения программы и методики возвращает их в испытательную лабораторию на доработку, о чем уведомляет заявителя.

Испытательная лаборатория в течение 10 рабочих дней устраняет недостатки, повторно согласовывает программу и методику с заявителем и представляет их в орган по сертификации на утверждение.

Общий срок рассмотрения и определения возможности утверждения программы и методики органом по сертификации не должен превышать 60 рабочих дней. В случае невозможности утверждения программы и методики в установленный срок, орган по сертификации представляет в ФСБ России предложение о замене испытательной лаборатории*(18) и извещает об этом заявителя.

Орган по сертификации письменно информирует ФСБ России об утверждении программы и методики сертификационных испытаний средства защиты информации¹.

42. Испытательная лаборатория совместно с органом по сертификации осуществляет отбор образца (образцов) средства защиты информации, необходимого (необходимых) для проведения сертификационных испытаний.

При сертификации партии средства защиты информации для осуществления отбора образца (образцов) средства защиты информации должна быть представлена вся партия средства защиты информации.

При сертификации серийно производимого средства защиты информации должна быть представлена партия средства защиты информации, необходимая для проведения сертификационных испытаний.

Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен (должны) соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.

Объем выборки образцов средства защиты информации определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.

43. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:

- номер и дата решения о проведении сертификации;

- дата осуществления отбора образца (образцов) средства защиты информации;

- наименование средства защиты информации;

- наименование заявителя;

- наименование испытательной лаборатории;

- фамилии, имена и отчества (при наличии) специалистов испытательной лаборатории и органа по сертификации, производивших отбор образца (образцов) средства защиты информации;

- фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;

- количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации, с указанием серийных номеров образцов средства защиты информации;

- количество отобранных образцов средства защиты информации с указанием их серийных номеров;

- контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).

Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя, испытательной лаборатории и органа по сертификации, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.

44. Испытательная лаборатория проводит сертификационные испытания в соответствии с утвержденными органом по сертификации программой и методикой.

Орган по сертификации осуществляет контроль проведения сертификационных испытаний. Специалист (специалисты) органа по сертификации может (могут) присутствовать при проведении сертификационных испытаний.

45. Сертификационные испытания включают:

- проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации;

- проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации*(19);

- проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации серийно производимого средства защиты информации).

Сертификационные испытания проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.

46. По результатам испытаний и проверок оформляются протоколы испытаний (проверок), в которых указываются основание для проведения испытаний (номер и дата утверждения решения о проведении сертификации), даты и места проведения испытаний, описание испытываемого средства защиты информации, описание проведенных испытаний, результаты проверки выполнения требований по безопасности информации по каждому из предъявляемых требований, результаты испытаний по каждому испытываемому параметру или характеристике (функции безопасности информации) средства защиты информации, выводы о соответствии (несоответствии) средства защиты информации, организации технической поддержки¹ и производства средства защиты информации требованиям по безопасности информации.

Протоколы испытаний (проверок) подписываются специалистами испытательной лаборатории, проводившими сертификационные испытания.

47. По завершении испытаний и проверок, предусмотренных программой и методикой, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации, содержащее основание для проведения испытаний (номер решения о проведении сертификации), описание испытываемого средства защиты информации, требования по безопасности информации, на соответствие которым проводились испытания, результаты проверки их выполнения по каждому из предъявляемых требований, иные результаты испытаний, вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.

Техническое заключение утверждается руководителем испытательной лаборатории.

48. В случае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю.

Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации и проинформировать об этом испытательную лабораторию в соответствии с договором на проведение сертификационных испытаний.

49. Повторные сертификационные испытания средства защиты информации проводятся в соответствии с договором на проведение сертификационных испытаний в объеме, необходимом для проверки устранения выявленных при проведении сертификационных испытаний несоответствий средства защиты информации требованиям по безопасности информации.

По результатам повторных сертификационных испытаний оформляются протоколы повторных испытаний (проверок) и техническое заключение.

50. Материалы сертификационных испытаний средства защиты информации представляются испытательной лабораторией в орган по сертификации.

Материалы сертификационных испытаний средства защиты информации должны включать:

- программу и методику, протоколы сертификационных испытаний средства защиты информации и техническое заключение;

- протоколы повторных сертификационных испытаний средства защиты информации и техническое заключение (в случае проведения повторных сертификационных испытаний);

- акт отбора образца (образцов) средства защиты информации;

- технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений);

- формуляр (паспорт) на средство защиты информации в двух экземплярах;

- дополнительную документацию, представленную заявителем при проведении сертификационных испытаний.

Все документы, за исключением дополнительной документации, представляются на бумажном носителе и в электронном виде. Дополнительная документация представляется только в электронном виде.

VII. Оформление органом по сертификации заключения по результатам сертификации средства защиты информации

51. Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний средства защиты информации на соответствие требованиям настоящего Положения и требованиям по безопасности информации*(20).

Срок проведения оценки материалов сертификационных испытаний не должен превышать 45 рабочих дней с даты поступления в орган по сертификации всех документов, предусмотренных пунктом 50 настоящего Положения.

В случае непредставления документов, предусмотренных пунктом 50 настоящего Положения, орган по сертификации запрашивает их в испытательной лаборатории.

52. По результатам оценки материалов сертификационных испытаний средства защиты информации орган по сертификации оформляет заключение органа по сертификации.

Заключение органа по сертификации оформляется в двух экземплярах и утверждается руководителем органа по сертификации.

Заключение органа по сертификации должно содержать основание для проведения сертификации средства защиты информации (номер и дату утверждения решения о проведении сертификации), наименования участников сертификации (заявителя, испытательной лаборатории и органа по сертификации), требования по безопасности информации, на соответствие которым проведена сертификация средства защиты информации, результаты оценки материалов сертификационных испытаний, в том числе результаты проверки выполнения требований по безопасности информации по каждому из предъявляемых требований, выводы о возможности (невозможности) выдачи сертификата соответствия.

53. Один экземпляр заключения органа по сертификации и материалы сертификационных испытаний, предусмотренные пунктом 50 настоящего Положения, представляются органом по сертификации в ФСБ России на бумажном носителе.

VIII. Оформление и выдача (отказ в выдаче) сертификата соответствия

54. В случае если в заключении органа по сертификации сделан вывод о невозможности выдачи сертификата соответствия, ФСБ России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия.

55. В случае если в заключении органа по сертификации сделан вывод о возможности выдачи сертификата соответствия*(21), ФСБ России в срок не более 45 рабочих дней проводит экспертизу материалов по сертификации средства защиты информации, включающую контрольные и (или) встречные испытания средства защиты информации*(22) в объеме, установленном требованиями по безопасности информации, и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

В случае выявления в материалах по сертификации средства защиты информации недостатков ФСБ России направляет материалы в орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению*(23).

Уведомления о выявленных в материалах по сертификации средства защиты информации недостатках с их описанием и предложениями по устранению направляются органом по сертификации испытательной лаборатории и заявителю.

56. Орган по сертификации³, испытательная лаборатория и заявитель в срок не более 90 рабочих дней со дня подписания уведомления должны устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания средства защиты информации и представить в ФСБ России доработанные материалы по сертификации средства защиты информации в порядке, установленном пунктами 49 и 50 настоящего Положения.

В случае непредставления доработанных материалов по сертификации средства защиты информации ФСБ России принимает решение об отказе в выдаче сертификата соответствия.

Решение об отказе в выдаче сертификата соответствия подписывается уполномоченным должностным лицом ФСБ России и в течение 5 рабочих дней вручается заявителю или направляется ему почтовым отправлением с уведомлением о вручении.

57. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия (рекомендуемый образец приведен в приложении N 2 к настоящему Положению) оформляется ФСБ России, подписывается уполномоченным должностным лицом ФСБ России, сведения о нем вносятся в государственный реестр сертифицированных средств защиты информации.

Сертификат соответствия содержит следующие сведения:

- регистрационный номер;

- дату выдачи;

- дату окончания срока действия;

- тип и наименование сертифицированного средства защиты информации, позволяющее однозначно его идентифицировать;

- наименования требований по безопасности информации, на соответствие которым сертифицировано средство защиты информации;

- условия обеспечения безопасности информации при эксплуатации средства защиты информации;

- реквизиты заключения органа по сертификации о соответствии средства защиты информации предъявляемым требованиям;

- сведения об образцах средства защиты информации, подвергавшимся сертификационным исследованиям;

- сведения об органе по сертификации, испытательной лаборатории, осуществлявшей сертификационные исследования, заявителе, разработчике (разработчиках) и производителе (производителях) средства защиты информации (наименования юридических лиц, адреса мест нахождения, ИНН).

Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему почтовым отправлением с уведомлением о вручении.

Заявитель, получивший сертификат соответствия на средство защиты информации (далее - держатель сертификата), имеет право предоставлять заверенные копии сертификата соответствия по запросам органов государственной власти, органов местного самоуправления и организаций.

IX. Предоставление дубликата сертификата соответствия

58. В случае утраты сертификата соответствия держатель сертификата вправе обратиться в ФСБ России с заявлением о выдаче дубликата сертификата соответствия.

В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия ФСБ России оформляет дубликат сертификата соответствия с пометкой "дубликат, оригинал сертификата соответствия признается недействующим" и вручает держателю сертификата или направляет ему почтовым отправлением с уведомлением о вручении.

X. Внесение изменений в сертифицированное средство защиты информации

59. В случае внесения изменений в конструкцию (состав) сертифицированного средства защиты информации или технологию его производства, включая размещение производства средства защиты информации на новом предприятии-изготовителе, держатель сертификата извещает об этом ФСБ России.

ФСБ России проводится оценка возможности влияния указанных изменений на характеристики средства защиты информации, связанные с выполнением им функций по защите информации, на основании результатов которой ФСБ России принимается решение о необходимости проведения новых сертификационных испытаний средства защиты информации в порядке, установленном пунктами 18 - 57 настоящего Положения*(24), или возможности сохранения действия сертификата соответствия, которое вручается держателю сертификата или направляется ему почтовым отправлением с уведомлением о вручении.

60. В случае внесения в сертифицированное средство защиты информации изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, держатель сертификата информирует потребителей о необходимости обновления средства защиты информации и обеспечивает предоставление потребителям обновления средства защиты информации.

Испытания средства защиты информации в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации.

XI. Переоформление сертификата соответствия

61. Сертификат соответствия подлежит переоформлению в случае изменений в наименованиях заявителя, изготовителя (изготовителей) средства защиты информации или их правопреемников, адресах их мест нахождения, ИНН, указанных в сертификате соответствия, а также в случае выявления технических ошибок в тексте сертификата соответствия.

62. Для переоформления сертификата соответствия держатель сертификата либо его правопреемник представляет в ФСБ России заявление о переоформлении сертификата соответствия.

В заявлении о переоформлении сертификата соответствия указываются новые сведения о заявителе и изготовителе (изготовителях) средства защиты информации или их правопреемниках, а также о выявленных технических ошибках в тексте сертификата соответствия.

Заявление о переоформлении сертификата соответствия направляется в ФСБ России почтовым отправлением с уведомлением о вручении.

63. ФСБ России в срок, не превышающий 10 рабочих дней со дня получения заявления о переоформлении сертификата соответствия, осуществляет проверку достоверности содержащихся в заявлении о переоформлении сертификата соответствия новых сведений и принимает решение о переоформлении сертификата соответствия или об отказе в его переоформлении.

Основаниями для отказа в переоформлении сертификата соответствия являются:

- наличие в заявлении о переоформлении сертификата соответствия недостоверных сведений;

- отсутствие у изготовителя (изготовителей) средства защиты информации или их правопреемников лицензии ФСБ России в соответствии с пунктом 9 настоящего Положения.

64. ФСБ России в случае отказа в переоформлении сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения вручает держателю сертификата или его правопреемнику уведомление об отказе в переоформлении сертификата соответствия с указанием причин отказа или направляет его почтовым отправлением с уведомлением о вручении.

65. Уведомление о переоформлении сертификата соответствия с приложением переоформленного сертификата соответствия в течение 5 рабочих дней со дня принятия такого решения направляется почтовым отправлением с уведомлением о вручении или вручается держателю сертификата или его правопреемнику.

66. Держатель сертификата в течение 5 рабочих дней со дня получения переоформленного сертификата соответствия должен представить (направить) в ФСБ России подлинник ранее выданного сертификата соответствия.

XII. Продление срока действия сертификата соответствия

67. Продление срока действия сертификата соответствия осуществляется ФСБ России в форме выдачи нового сертификата соответствия взамен сертификата соответствия с истекшим сроком действия.

68. Не позднее чем за шесть месяцев до дня окончания срока действия сертификата соответствия держатель сертификата подает заявку на сертификацию или информирует ФСБ России о том, что сертификат соответствия им продлеваться не будет. Непредоставление держателем сертификата заявки или информации об отказе от продления сертификата соответствия в срок не позднее шести месяцев до окончания его срока действия считается отказом держателя сертификата от продления сертификата соответствия.

В течение трех рабочих дней с момента получения заявки держателя сертификата о его намерении по продлению или информации об отказе от продления сертификата соответствия, а также в случае непредоставления держателем сертификата указанных документов в установленные сроки, ФСБ России опубликовывает соответствующую информацию на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет".

Эксплуатирующие сертифицированное средство защиты информации федеральные органы государственной власти, Центральный банк Российской Федерации, органы управления государственными внебюджетными фондами Российской Федерации, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации вправе подать заявку на сертификацию*(25) средства защиты информации с истекающим сроком действия сертификата соответствия только в случае опубликования на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет" информации об отказе держателя сертификата продлевать его.

69. Продление срока действия сертификата соответствия осуществляется в порядке, предусмотренном для сертификации средства защиты информации в соответствии с пунктами 18 - 57 настоящего Положения.

Объем сертификационных испытаний при продлении устанавливается ФСБ России с учетом наличия технической поддержки и срока службы средства защиты информации.

Дата выдачи сертификата соответствия, выдаваемого при продлении срока действия сертификата соответствия, устанавливается не ранее даты окончания срока действия ранее выданного сертификата соответствия. Одновременное действие двух и более сертификатов, удостоверяющих соответствие выпущенной одним производителем сертифицированной продукции одинаковым требованиям по безопасности информации, не допускается.

XIII. Приостановление действия сертификата соответствия

70. Действие сертификата соответствия приостанавливается в случаях:

- изменения требований по безопасности информации;

- установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСБ России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей;

- прекращения технической поддержки сертифицированного средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований по защите информации при применении средства защиты информации;

- обращения держателя сертификата о приостановлении действия сертификата соответствия.

71. Решение о приостановлении действия сертификата соответствия принимается уполномоченным должностным лицом ФСБ России.

Действие сертификата соответствия может быть приостановлено на срок не более 90 рабочих дней.

ФСБ России в течение 5 рабочих дней со дня принятия указанного решения опубликовывает на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет", а также направляет почтовым отправлением с уведомлением о вручении или вручает держателю сертификата уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации.

72. В случае приостановления действия сертификата соответствия держатель сертификата обязан проинформировать правообладателя, изготовителя (изготовителей) и эксплуатирующие государственные органы и организации о приостановлении действия сертификата соответствия.

При этом в случае использования средства защиты информации для защиты информации, содержащей сведения, составляющие государственную тайну, или относимой к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также в случае использования средства защиты информации для обеспечения целостности общедоступной информации, эксплуатирующие организации должны приостановить эксплуатацию сертифицированного средства защиты информации.

73. Действие сертификата соответствия возобновляется в случае:

- устранения несоответствия средства защиты информации требованиям по безопасности информации и представления в ФСБ России материалов, подтверждающих устранение несоответствия;

- возобновления технической поддержки средства защиты информации;

- обращения держателя сертификата о возобновлении действия сертификата соответствия, если решение о приостановлении действия сертификата соответствия было принято по его обращению и не связано с иными случаями приостановления действия сертификата соответствия.

74. Решение о возобновлении действия сертификата соответствия утверждается уполномоченным должностным лицом ФСБ России.

ФСБ России в течение 5 рабочих дней со дня принятия решения опубликовывает на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет", а также направляет почтовым отправлением с уведомлением о вручении или вручает держателю сертификата уведомление о возобновлении действия сертификата соответствия.

75. ФСБ России вносит сведения о приостановлении и возобновлении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации.

XIV. Досрочное прекращение действия сертификата соответствия

76. Действие сертификата соответствия прекращается досрочно в случае:

- непредставления держателем сертификата в установленный срок материалов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации;

- невозобновления в установленный срок технической поддержки средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований по защите информации при применении средства защиты информации;

- обращения держателя сертификата о прекращении действия сертификата соответствия.

77. Решение о досрочном прекращении действия сертификата соответствия принимается уполномоченным должностным лицом ФСБ России.

ФСБ России в течение 5 рабочих дней со дня принятия решения опубликовывает на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет", а также направляет почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о досрочном прекращении действия сертификата соответствия.

78. В случае досрочного прекращения действия сертификата соответствия держатель сертификата обязан проинформировать правообладателя, изготовителя (изготовителей) и эксплуатирующие организации о досрочном прекращении действия сертификата соответствия.

При этом в случае использования средства защиты информации для защиты информации, содержащей сведения, составляющие государственную тайну, или относимой к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также в случае использования средства защиты информации для обеспечения целостности общедоступной информации, эксплуатирующие организации должны прекратить эксплуатацию сертифицированного средства защиты информации.

79. ФСБ России вносит сведения о досрочном прекращении действия сертификата соответствия в государственный реестр сертифицированных средств защиты информации.

Приложение N 1
к Положению (п. 19)

Рекомендуемый образец

(дата) (номер)

При необходимости - гриф секретности или пометка "Для служебного пользования"

Начальнику_______________________

(наименование подразделения ФСБ России,

_________________________________

уполномоченного на прием заявок на сертификацию)

_________________________________

(инициалы, фамилия)

_________________________________

(почтовый адрес)

Заявка на сертификацию

(организационно-правовая форма, полное и сокращенное (при наличии) наименования заявителя, ИНН,

адрес места нахождения, почтовый адрес заявителя,

номера и даты выдачи имеющихся у заявителя лицензий)

просит провести сертификацию

(тип (типы), наименование и назначение средства защиты информации)

в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ) РОСС RU.0003.01БИ00, на соответствие

(наименования требований по безопасности информации)

Заявитель предлагает провести сертификационные испытания по схеме сертификации

(указывается схема сертификации (при сертификации партии средства защиты информации указываются

серийные номера образцов средства защиты информации в партии)

(наименование испытательной лаборатории (центра)

Номер контактного телефона и адрес электронной почты (при наличии) заявителя

Руководитель заявителя

(фамилия, имя и отчество (при наличии)

Ответственный за сертификацию

(фамилия, имя и отчество (при наличии)

Разработчик (разработчики)

(наименование лица (лиц), разработавшего (разработавших) средство

защиты информации, адрес его (их) местонахождения, номера и даты выдачи имеющихся у него (них) лицензий ФСБ России)

Производитель (производители)

(наименование лица (лиц), производящего (производящих) средство

Правообладатель (правообладатели)

(наименование лица (лиц),

обладающего (обладающих) исключительными правами на средство защиты информации, адрес его (их) местонахождения

(указываются при наличии такого лица (таких лиц)

(должность руководителя заявителя либо лица,

которое в силу федерального закона или

учредительных документов выступает от его имени (подпись) (инициалы, фамилия)

М.П. (при наличии)

Приложение N 2
к Положению (п. 57)

Рекомендуемый образец

изображение геральдического знака - эмблемы Федеральной службы безопасности Российской Федерации
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ДЛЯ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ (СИСТЕМА СЕРТИФИКАЦИИ СЗИ-ГТ) РОСС RU.0003.01БИ00
СЕРТИФИКАТ СООТВЕТСТВИЯ

(регистрационный номер)
Выдан " " 20 г. Действителен до " " 20 г.

Настоящий сертификат удостоверяет, что
							(тип и наименование


сертифицированного средства защиты информации, позволяющее однозначно его идентифицировать)
соответствует требованиям
				(наименования требований по безопасности информации)

при условии
		(условия обеспечения безопасности информации при эксплуатации средства защиты информации)
Сертификат соответствия выдан на основании
								(реквизиты заключения органа по сертификации

о соответствии средства защиты информации предъявляемым требованиям,

организационно-правовая форма, наименование, адрес места нахождения, ИНН органа по сертификации)
и результатов испытаний образцов продукции
								(сведения об образцах

средства защиты информации, подвергавшихся сертификационным исследованиям)
проведенных
			(организационно-правовая форма, наименование, адрес места нахождения, ИНН испытательной лаборатории)
Заявитель:
	(организационно-правовая форма, наименование, адрес местонахождения, ИНН)
Разработчик (разработчики):
					(организационно-правовая форма, наименование, адрес места нахождения, ИНН)


Производитель (производители):
						(организационно-правовая форма, наименование,

адрес места нахождения, ИНН)



(должность уполномоченного лица ФСБ России) (подпись) (инициалы, фамилия) М.П.

Приложение N 2
к приказу ФСБ России
от N

Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну

1. Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом и инфракрасном диапазонах волн.

1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной и твердой средах.

1.3. Средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок, возникающих при работе технических средств регистрации, хранения, обработки и документирования информации.

1.4. Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях:

- за счет побочных электромагнитных излучений и наводок при работе технических средств регистрации, хранения, обработки и документирования информации;

- вследствие эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами.

1.5. Средства защиты информации от ее утечки по техническим каналам, организованным с использованием устройств, работающих в стандартах сотовой связи и беспроводной передачи данных.

2. Технические и программно-технические средства обнаружения и выявления электронных устройств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), в инженерно-технических коммуникациях, в интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории.

3. Технические и программно-технические средства и системы в защищенном исполнении:

3.1. Волоконно-оптические системы передачи данных.

3.2. Средства вычислительной техники.

3.3. Абонентские пункты информационно-телекоммуникационной сети "Интернет", компоненты которых размещаются в выделенных помещениях.

3.4. Мобильные абонентские устройства, подключаемые к открытым информационно-телекоммуникационным сетям посредством беспроводных каналов передачи данных.

3.5. Абонентские устройства систем открытой проводной телефонной связи, в том числе аналоговые телефонные аппараты.

3.6. Абонентские устройства систем закрытой проводной телефонной связи, в том числе аналоговые телефонные аппараты.

3.7. Мультипротокольное оборудование.

3.8. Оборудование синхронной цифровой иерархии.

3.9. Оборудование плезиохронной цифровой иерархии.

3.10. Оборудование окончаний линейных трактов цифровых систем передачи (цифровых модемов).

3.11. Оборудование цифровых автоматических телефонных станций.

3.12. Устройства типа "межстанционные экраны" для соединительных линий цифровых автоматических телефонных станций.

4. Программные и программно-технические средства защиты информации:

4.1. Средства защиты от несанкционированного доступа к информации.

4.2. Средства проверки функционирования системы защиты информации и контроля целостности средств защиты от несанкционированного доступа к информации.

4.3. Средства защиты операционных систем.

4.4. Средства контроля целостности общесистемного и прикладного программного обеспечения.

4.5. Антивирусные средства.

4.6. Средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

4.7. Межсетевые экраны.

4.8. Средства стирания данных, в том числе:

- средства уничтожения остаточной информации, возникающей в процессе обработки данных в запоминающих устройствах (оперативная память, видеопамять и т. п.) после завершения ее использования и на машинных носителях;

- средства надежного стирания информации с машинных носителей.

4.9. Средства контроля и восстановления файловой структуры данных.

4.10. Средства защиты информации от несанкционированного копирования.

4.11. Средства организации контроля за действиями пользователей средств вычислительной техники.

4.12. Средства обнаружения и локализации действия программных закладок.

4.13. Системы управления событиями информационной безопасности.

4.14. Сетевые устройства однонаправленной передачи данных.

4.15. Средства аудита информационной безопасности.

5. Защищенные программные средства обработки информации:

5.1. Операционные системы.

5.2. Пакеты прикладных программ.

5.3. Программные средства автоматизированных систем управления.

5.4. Системы управления базами данных.

5.5. Программное обеспечение базовой системы ввода-вывода.

6. Шифровальные (криптографические) средства защиты информации:

6.1. Шифровальные (криптографические) средства, предназначенные для обеспечения криптографической защиты информации при ее передаче по каналам связи.

6.2. Шифровальные (криптографические) средства, предназначенные для защиты от несанкционированного доступа к информации при ее обработке и хранении.

6.3. Шифровальные (криптографические) средства, предназначенные для защиты от навязывания ложной информации, включающие средства имитозащиты.

6.4. Средства электронной подписи.

6.5. Программные и аппаратно-программные комплексы, реализующие функции удостоверяющего центра.

6.6. Аппаратно-программные модули доверенной загрузки персональных электронных вычислительных машин, реализующие криптографические алгоритмы защиты информации.

-------------------------------------------

*(1) Российская газета, 1993, 21 сентября, N 182; Собрание законодательства Российской Федерации, 2011, N 30 (ч. I), ст. 4596.

*(2) Собрание законодательства Российской Федерации, 2002, N 52 (ч. I), ст. 5140; 2016, N 15, ст. 2066.

*(3) Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2017, N 52 (ч. I), ст. 8112.

*(4) Порядок проведения сертификации, состав участников работ по сертификации, а также схемы сертификации шифровальных (криптографических) средств защиты информации регулируются отдельным нормативным правовым актом ФСБ России.

*(5) Пункт 9 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

*(6) Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-I "О государственной тайне", Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1540; 2018, N 36, ст. 5613).

*(7) Пункт 4 части 1 статьи 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; 2019, N 31, ст. 4441), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297; 2016, N 26 (ч. II), ст. 4049).

*(8) Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности", Положение о лицензировании деятельности по разработке производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. N 313 (Собрание законодательства Российской Федерации, 2012, N 17, ст. 1987; 2017, N 22, ст. 3154).

*(9) Заявки на сертификацию, поступившие от иных органов, организаций, а также физических лиц, ФСБ России не рассматриваются.

*(10) При продлении срока действия сертификата соответствия проверка организации технической поддержки средства защиты информации проводится по решению органа по сертификации, согласованному с ФСБ России. В случае если функции органа по сертификации исполняет ФСБ России, проверка организации технической поддержки средства защиты информации проводится ФСБ России.

*(11) Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

*(12) Порядок предоставления сведений установлен пунктом 6 Порядка ведения реестра аккредитованных органов по сертификации и испытательных лабораторий (центров), утвержденного приказом ФСБ России от 11 января 2016 г. N 1 "О реализации пункта 2 постановления Правительства Российской Федерации от 3 ноября 2014 г. N 1149" (зарегистрирован Минюстом России 16 февраля 2016 г., регистрационный N 41105).

*(13) Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

*(14) В случае, когда функции органа по сертификации исполняет ФСБ России, решение оформляется в двух экземплярах и направляется только заявителю.

*(15) В случае, когда функции органа по сертификации исполняет ФСБ России, решение переоформляется в двух экземплярах и направляется только заявителю.

*(16) В случае, когда функции органа по сертификации исполняет ФСБ России, уведомление направляется только заявителю.

*(17) В случае, когда функции органа по сертификации исполняет ФСБ России, по результатам контроля за устранением выявленных недостатков принимается решение об отказе в выдаче сертификата соответствия.

*(18) За исключением случая, когда функции органа по сертификации исполняет ФСБ России.

*(19) При продлении срока действия сертификата соответствия проверка организации технической поддержки средства защиты информации проводится по решению органа по сертификации, согласованному с ФСБ России, либо в случае исполнения ФСБ России функций органа по сертификации, по решению ФСБ России.

*(20) В случае, когда функции органа по сертификации исполняет ФСБ России, работы по оценке материалов сертификационных испытаний средства защиты информации и оформлению заключения о возможности (невозможности) выдачи сертификата соответствия (далее - заключение органа по сертификации) включаются в экспертизу материалов по сертификации средства защиты информации, проводимую в соответствии с пунктом 55 настоящего Положения.

*(21) В случае, когда функции органа по сертификации исполняет ФСБ России, материалы сертификационных испытаний средства защиты информации предоставляются испытательной лабораторией в ФСБ России для проведения экспертизы.

*(22) Контрольные испытания средства защиты информации проводятся по методике, использованной испытательной лабораторией (центром) при проведении сертификационных испытаний конкретного средства защиты информации. Встречные испытания проводятся по альтернативной методике проведения сертификационных испытаний конкретного средства защиты информации.

*(23) За исключением случая, когда функции органа по сертификации исполняет ФСБ России.

*(24) Объем сертификационных испытаний в указанном случае определяется ФСБ России.

*(25) Заявки на сертификацию, поступившие от иных органов, организаций, а также физических лиц, ФСБ России не рассматриваются.

ГАРАНТ:

См. Сводный отчет, загруженный при публикации проекта

Откройте актуальную версию документа прямо сейчас

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.