ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 10 апреля 2015 года N 33

Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности

(с изменениями на 27 июля 2023 года)

В соответствии с подпунктом 13.2 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641), и пунктом 2 постановления Правительства Российской Федерации от 3 ноября 2014 года N 1149 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)" (Собрание законодательства Российской Федерации, 2014, N 46, ст.6350)

приказываю:

Утвердить прилагаемые Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности.

Директор
Федеральной службы
по техническому и
экспортному контролю
В.Селин

     
Зарегистрировано
в Министерстве юстиции
Российской Федерации
20 мая 2015 года,
регистрационный N 37342

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 10 апреля 2015 года N 33

     
Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности

(с изменениями на 27 июля 2023 года)

I. Общие положения

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 28 декабря 2013 года N 412-ФЗ "Об аккредитации в национальной системе аккредитации" (Собрание законодательства Российской Федерации, 2013, N 52, ст.6977) и Правилами аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, утвержденными постановлением Правительства Российской Федерации от 3 ноября 2014 года N 1149 (Собрание законодательства Российской Федерации, 2014, N 46, ст.6350) (далее - Правила аккредитации).

2. Настоящие Правила определяют порядок выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий в установленной ФСТЭК России сфере деятельности и включают детализированные критерии и процедуры аккредитации, предусмотренные Правилами аккредитации.

3. Настоящие Правила распространяются на организации, претендующие на получение аккредитации (далее - заявители), и организации, получившие аккредитацию в соответствии с настоящими Правилами (далее - аккредитованные лица) и выполняющие работы по оценке (подтверждению) соответствия требованиям по безопасности информации следующей продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в следующих областях аккредитации:

________________

Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

(Сноска дополнительно включена с 4 декабря 2023 года приказом ФСТЭК России от 27 июля 2023 года N 148)

1) сертификация средств противодействия иностранным техническим разведкам, включая средства, в которых они реализованы, а также средств контроля эффективности противодействия иностранным техническим разведкам;

2) сертификация средств защиты информации от утечки по техническим каналам, включая средства, в которых они реализованы, а также средств контроля эффективности защиты информации от утечки по техническим каналам;

3) сертификация средств защиты информации от несанкционированного доступа, включая средства, в которых они реализованы, а также средств контроля эффективности защиты информации от несанкционированного доступа;

4) сертификация средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации;

5) сертификация; процессов безопасной разработки программного обеспечения средств защиты информации.

(Пункт в редакции, введенной в действие с 4 декабря 2023 года приказом ФСТЭК России от 27 июля 2023 года N 148. - См. предыдущую редакцию)

4. При проведении аккредитации выполняются следующие процедуры:

прием и регистрация заявления об аккредитации и документов, представленных заявителем;

оценка соответствия заявителя критериям аккредитации;

принятие решения по результатам оценки соответствия заявителя критериям аккредитации;

подтверждение компетентности аккредитованного лица;

прекращение действия аттестата аккредитации;

сокращение области аккредитации;

расширение области аккредитации;

переоформление аттестата аккредитации;

предоставление дубликата аттестата аккредитации.

II. Детализированные критерии аккредитации

5. Аккредитация (подтверждение компетентности) органов по сертификации и испытательных лабораторий в установленной ФСТЭК России сфере деятельности проводится на соответствие следующим детализированным в соответствии с пунктами 5 и 6 Правил аккредитации критериям аккредитации:

а) наличие в соответствии с подпунктом "а" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) необходимых для выполнения работ в соответствующей области аккредитации правовых, нормативных и методических документов (в том числе по вопросам защиты информации ограниченного доступа) в соответствии с перечнем, определяемым ФСТЭК России;

б) наличие в соответствии с подпунктом "б" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) принадлежащих ему на праве собственности или ином законном основании помещений, необходимых для выполнения работ в соответствующей области аккредитации, в том числе помещений, в которых созданы необходимые условия для размещения работников и проведения работ по оценке (подтверждению) соответствия продукции обязательным требованиям, а также размещены (установлены) измерительные приборы, испытательное оборудование, средства контроля защищенности информации и автоматизированные системы, предназначенные для обработки информации ограниченного доступа;

в) наличие в соответствии с подпунктом "в" пункта 4 Правил аккредитации у заявителя, претендующего на получение аккредитации в качестве испытательной лаборатории (аккредитованного в качестве испытательной лаборатории лица) измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, необходимых для выполнения работ в соответствующей области аккредитации, в том числе:

________________

Примерный перечень измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, необходимых для выполнения работ в соответствующей области аккредитации, размещается на официальном сайте ФСТЭК России в сети "Интернет".

наличие на праве собственности измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), и испытательного оборудования;

наличие на праве собственности или ином законном основании программных (программно-аппаратных) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения;

г) наличие в соответствии с подпунктом "г" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) в штате работников, заключивших с ним трудовой договор, которые обладают знаниями в определенной области аккредитации и могут выполнять (выполняют) работы по оценке (подтверждению) соответствия продукции, в том числе:

руководителя заявителя (аккредитованного лица) или лица, уполномоченного руководить работами по оценке (подтверждению) соответствия продукции, указанной в области аккредитации, имеющего: высшее профессиональное образование по направлению подготовки "Информационная безопасность" и не менее 5 лет стажа работы в области проведения работ по оценке (подтверждению) соответствия продукции или иное высшее профессиональное образование и не менее 10 лет стажа работы в области проведения работ по оценке (подтверждению) соответствия продукции, или иное высшее профессиональное образование и не менее 5 лет стажа работы в области проведения работ по оценке (подтверждению) соответствия продукции, а также прошедшего обучение по программам профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 аудиторных часов);

________________

По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук в соответствии с перечнями специальностей и направлений подготовки высшего образования, утверждаемыми Министерством образования и науки Российской Федерации в соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 года N 273-ФЗ "Об образовании в Российской Федерации" (Собрание законодательства Российской Федерации, 2012, N 53, ст.7598; 2013, N 19, ст.2326).

не менее трех работников для проведения работ по оценке (подтверждению) соответствия продукции в каждой из заявленной области аккредитации, имеющих высшее образование по направлению подготовки "Информационная безопасность" и прошедших обучение по программе повышения квалификации по оценке (подтверждению) соответствия продукции, указанной в области аккредитации (со сроком обучения не менее 72 аудиторных часов), или имеющих иное высшее профессиональное образование и прошедших обучение по программам повышения квалификации по направлению "Информационная безопасность" (с общим сроком обучения не менее 216 аудиторных часов, из них не менее 72 аудиторных часов по оценке (подтверждению) соответствия продукции, указанной в области аккредитации), а также имеющих не менее 3 лет стажа работы в области проведения работ по оценке (подтверждению) соответствия продукции, указанной в области аккредитации (для работников заявителя (аккредитованного лица), претендующего на получение аккредитации в качестве органа по сертификации);

____________________________________________________________________

С 1 марта 2025 года приказом ФСТЭК России от 27 июля 2023 года N 148 в подпункт "г" пункта 5 настоящих Правил будут внесены изменения.

____________________________________________________________________     

________________

По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук в соответствии с перечнями специальностей и направлений подготовки высшего образования, утверждаемыми Министерством образования и науки Российской Федерации в соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 года N 273-ФЗ "Об образовании в Российской Федерации" (Собрание законодательства Российской Федерации, 2012, N 53, ст.7598; 2013, N 19, ст.2326).

д) наличие в соответствии с подпунктом "д" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) выданной в установленном порядке лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну;

е) наличие в соответствии с подпунктом "е" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) принадлежащих ему на праве собственности автоматизированных систем, предназначенных для обработки информации ограниченного доступа, в том числе информации, составляющей государственную тайну, а также средств ее защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации.

6. В целях защиты информации ограниченного доступа, в том числе информации о продукции, переданной разработчиком и (или) производителем в рамках проведения работ по оценке (подтверждению) соответствия этой продукции обязательным требованиям, заявитель (аккредитованное лицо) должен соответствовать следующим дополнительным критериям аккредитации, установленным в соответствии с пунктами 5 и 6 Правил аккредитации:

а) наличие у заявителя (аккредитованного лица) системы менеджмента качества и соблюдение в его деятельности требований системы менеджмента качества, установленных в руководстве по качеству;

________________

Раздел 8 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17065-2012 "Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг" (в части органов по сертификации) (утвержден и введен в действие приказом Росстандарта от 21 декабря 2012 г. N 1941-ст) (М., "Стандартинформ", 2014) и раздел 8 национального стандарта Российской Федерации ГОСТ ИСО/МЭК 17025-2019 "Общие требования к компетентности испытательных и калибровочных лабораторий" (в части испытательных лабораторий) (утвержден и введен в действие приказом Росстандарта от 15 июля 2019 г. N 385-ст) (М., "Стандартинформ", 2019).

(Сноска в редакции, введенной в действие с 4 декабря 2023 года приказом ФСТЭК России от 27 июля 2023 года N 148. - См. предыдущую редакцию)

б) наличие у заявителя (аккредитованного лица) системы управления информационной безопасностью и соблюдение в его деятельности требований системы управления информационной безопасностью, установленных в политике информационной безопасности;

(Подпункт в редакции, введенной в действие с 4 декабря 2023 года приказом ФСТЭК России от 27 июля 2023 года N 148. - См. предыдущую редакцию)

________________

Сноска исключена с 4 декабря 2023 года - приказ ФСТЭК России от 27 июля 2023 года N 148. - См. предыдущую редакцию.