ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 3 апреля 2018 года N 55

Об утверждении Положения о системе сертификации средств защиты информации

(с изменениями на 19 сентября 2022 года)

Информация об изменяющих документах

____________________________________________________________________

Документ с изменениями, внесенными:

приказом ФСТЭК России от 5 августа 2021 года N 121 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 27.10.2021, N 0001202110270025);

приказом ФСТЭК России от 19 сентября 2022 года N 172 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 19.10.2022, N 0001202210190024).

____________________________________________________________________

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, N 274, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722; 2004, N 52, ст.5480; 2010, N 18, ст.2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330,

приказываю:

1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации.

2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.

Директор Федеральной службы

по техническому и

экспортному контролю

В.Селин

Зарегистрировано

в Министерстве юстиции

Российской Федерации

11 мая 2018 года,

регистрационный N 51063

УТВЕРЖДЕНО

приказом ФСТЭК России

от 3 апреля 2018 года N 55

Положение о системе сертификации средств защиты информации

(с изменениями на 19 сентября 2022 года)

I. Общие положения

1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст.4673; 2003, N 27, ст.2700; 2004, N 27, ст.2711; 2011, N 30, ст.4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст.5140; 2007, N 19, ст.2293; 2011, N 49, ст.7025; 2016, N 15, ст.2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".

2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее - система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы.

3. Сертификации в системе сертификации ФСТЭК России подлежат:

средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее - требования по безопасности информации).

II. Система сертификации ФСТЭК России

5. Участниками системы сертификации ФСТЭК России являются:

федеральный орган по сертификации;

организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации);

организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории);

изготовители средств защиты информации.

6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.

7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия).

8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.

Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну.

________________

Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст.1540; 1996, N 18, ст.2142; 1997, N 20, ст.2283; 1998, N 32, ст.3899; 2002, N 41, ст.3983; 2004, N 52, ст.5479; 2007, N 6, ст.760; 2008, N 21, ст.2465; 2010, N 14, ст.1665; N 40, ст.5076; 2011, N 46, ст.6521; 2012, N 20, ст.2545; 2015, N 1, ст.262).

Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.

________________

Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст.2716; N 48, ст.6728; 2012, N 26, ст.3446; N 31, ст.4322; 2013, N 9, ст.874; N 27, ст.3477; 2014, N 30, ст.4256; N 42, ст.5615; 2015, N 1, ст.11; N 29, ст.434; N 44, ст.6047; 2016, N 1, ст.51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст.1297; 2016, N 26, ст.4049).

10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.

11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации).

12. Сертификация средств защиты информации осуществляется по следующим схемам:

для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;

для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;

для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.

Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.

Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.

13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.

14. Срок действия сертификата соответствия не может превышать 5 лет.

________________

Пункт 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.

Абзац утратил силу с 7 ноября 2021 года - приказ ФСТЭК России от 5 августа 2021 года N 121. - См. предыдущую редакцию.

16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»