Приказ Министра обороны РФ от 29.09.2020 N 488
МИНИСТР ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 29 сентября 2020 г. N 488
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В соответствии с пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, N 27, ст. 2579; 2010, N 18, ст. 2238) с целью совершенствования системы сертификации средств защиты информации Министерства обороны Российской Федерации, обеспечения защиты сведений, составляющих государственную тайну, информации ограниченного доступа приказываю:
Утвердить Положение о системе сертификации средств защиты информации Министерства обороны Российской Федерации (приложение к настоящему приказу).
Временно исполняющий
обязанности Министра обороны
Российской Федерации
генерал армии
В.ГЕРАСИМОВ
Приложение
к приказу Министра обороны
Российской Федерации
от 29 сентября 2020 г. N 488
ПОЛОЖЕНИЕ
О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
I. Общие положения
1. Сертификация средств защиты информации в системе сертификации средств защиты информации Министерства обороны Российской Федерации (далее - Министерство обороны, система сертификации Министерства обороны, сертификация соответственно) осуществляется в отношении предназначенных для применения в Вооруженных Силах Российской Федерации:
технических средств защиты информации от утечки по техническим каналам и от несанкционированного доступа, средств, в которых они реализованы;
программно-технических и программных средств защиты информации, средств, в которых они реализованы;
специализированных средств защиты информации, средств, в которых они реализованы, разработанных в соответствии с требованиями к средствам защиты информации, установленными Министерством обороны <*>;
--------------------------------
<*> Подпункт 55.1 пункта 7 Положения о Министерстве обороны Российской Федерации, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1082 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3538; 2008, N 47, ст. 5431).
защищенных программных средств обработки информации;
программных средств общего назначения;
информационных систем;
средств контроля эффективности защиты информации.
2. Сертификация осуществляется на предмет соответствия требованиям по безопасности информации, установленным государственными стандартами, нормативными документами, утверждаемыми Правительством Российской Федерации, нормативными правовыми актами и технической документацией (конструкторской, технологической и программной документацией, техническими условиями, документами по стандартизации, инструкциями, наставлениями, руководствами и положениями) Министерства обороны <*>, государственными контрактами (договорами) <**>, а в части сертификации средств защиты информации органа внешней разведки Министерства обороны - также на предмет соответствия требованиям, определяемым органом внешней разведки Министерства обороны <***> и согласованным с Восьмым управлением Генерального штаба Вооруженных Сил Российской Федерации (далее - требования по безопасности информации).
--------------------------------
<*> Подпункт 55.1 пункта 7 Положения о Министерстве обороны Российской Федерации, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1082.
<**> Статья 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2011, N 49, ст. 7025).
<***> Статья 3 и подпункты 6, 11 части 1 статьи 6 Федерального закона от 10 января 1996 г. N 5-ФЗ "О внешней разведке" (Собрание законодательства Российской Федерации, 1996, N 3, ст. 143; 2018, N 11, ст. 1591).
3. Сертификация средств защиты информации иностранного производства проводится по тем же правилам, что и отечественных средств защиты информации <****>.
--------------------------------
<****> Абзац третий пункта 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (далее - Положение N 608).
Сертификация средств защиты информации, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации Министерства обороны не осуществляется.
II. Система сертификации Министерства обороны
4. Участниками системы сертификации Министерства обороны являются:
федеральный орган по сертификации - Министерство обороны;
организации, аккредитованные Министерством обороны в качестве органа по сертификации (далее - органы по сертификации);
организации, аккредитованные Министерством обороны в качестве испытательной лаборатории (далее - испытательные лаборатории);
изготовители средств защиты информации.
5. Функции Министерства обороны как федерального органа по сертификации осуществляются Восьмым управлением Генерального штаба Вооруженных Сил Российской Федерации (далее - уполномоченный орган Министерства обороны) в соответствии с пунктами 3 и 4 Положения N 608.
6. Сертификация в системе сертификации Министерства обороны проводится органами по сертификации и испытательными лабораториями, аккредитованными в соответствии с приказом Министра обороны Российской Федерации от 7 августа 2015 г. N 465 "Об осуществлении в Министерстве обороны Российской Федерации аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну" (зарегистрирован Министерством юстиции Российской Федерации 4 сентября 2015 г., регистрационный N 38818) (далее - приказ N 465).
7. Сертификация средств защиты информации органа внешней разведки Министерства обороны осуществляется Главным управлением Генерального штаба Вооруженных Сил Российской Федерации (далее - Главное управление) как органом по сертификации.
При отсутствии органа по сертификации определенного типа средств защиты информации его функции исполняет уполномоченный орган Министерства обороны.
8. Испытательные лаборатории проводят сертификационные испытания (далее - испытания) средств защиты информации и по их результатам оформляют протоколы испытаний и заключения. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов <*>.
--------------------------------
<*> Пункт 6 Положения N 608.
Испытательные лаборатории, привлекаемые к испытаниям средств защиты информации органа внешней разведки Министерства обороны, по предложению Главного управления определяются уполномоченным органом Министерства обороны.
9. Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию Министерства обороны на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну <*>.
--------------------------------
<*> Статья 27 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 2018, N 31, ст. 4845), Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства Российской Федерации от 15 апреля 1995 г. N 333 (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1540; 2018, N 36, ст. 5613).
Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации <**>.
--------------------------------
<**> Пункт 4 части 1 статьи 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; 2019, N 31, ст. 4441, 4457), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297; 2016, N 26, ст. 4049).
10. Заявителями на осуществление сертификации являются изготовители средств защиты информации (далее - заявители).
11. Заявители обеспечивают соответствие сертифицированных средств защиты информации требованиям по безопасности информации и устранение уязвимостей и недекларированных возможностей программного обеспечения (при наличии).
12. Испытания средств защиты информации проводятся на материально-технических базах испытательной лаборатории и (или) заявителя, расположенных на территории Российской Федерации.
13. Испытания средств защиты информации осуществляются на основании договора, заключаемого заявителем с испытательной лабораторией.
14. Срок действия сертификата соответствия не может превышать пяти лет <***>.
--------------------------------
<***> Абзац седьмой пункта 8 Положения N 608.
15. Продление сертификатов соответствия на средства защиты информации осуществляется заявителями в соответствии с пунктами 69 - 73 настоящего Положения.
16. Органы, осуществляющие сертификацию, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдение авторских прав изготовителя при испытаниях средств защиты информации <*>.
--------------------------------
<*> Пункт 14 Положения N 608.
III. Проведение сертификации средств защиты информации
17. Сертификация включает следующие процедуры:
направление заявки на проведение сертификации;
принятие решения о проведении сертификации;
переоформление, отмена решения о проведении сертификации;
проведение испытаний средств защиты информации;
выдача (отказ в выдаче) сертификата соответствия;
предоставление дубликата сертификата соответствия;
внесение изменений в сертифицированное средство защиты информации;
переоформление сертификата соответствия;
продление срока действия сертификата соответствия;
приостановление действия сертификата соответствия;
прекращение действия сертификата соответствия.
18. В системе сертификации устанавливаются следующие схемы проведения сертификации <**>:
--------------------------------
<**> Пункт 8 Положения N 608.
для единичных образцов или партии образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по безопасности информации;
для серийного производства средств защиты информации - проведение испытаний типовых образцов на соответствие требованиям по безопасности информации и проведение предварительной проверки их производства.
IV. Направление заявки на проведение сертификации
19. Для проведения сертификации заявитель подготавливает заявку на проведение сертификации (рекомендуемый образец приведен в приложении N 1 к настоящему Положению) с приложением документов, предусмотренных пунктом 20 настоящего Положения (далее - заявка на проведение сертификации), и направляет ее почтовым отправлением в орган по сертификации не ранее завершения заявителем предварительных испытаний образца средства защиты информации.
В заявке на проведение сертификации указываются:
полное и сокращенное (при наличии) наименования заявителя, адрес юридического лица в пределах места нахождения юридического лица, указанный в едином государственном реестре юридических лиц (далее - адрес места нахождения);
наименование и обозначение средства защиты информации;
степень секретности защищаемой (обрабатываемой) информации;
требования по безопасности информации, установленные в отношении средства защиты информации, и реквизиты документов, устанавливающих эти требования;
схема проведения сертификации;
полное и сокращенное (при наличии) наименования испытательной лаборатории, в которой планируется проведение испытаний, адрес места нахождения, номер и дата выдачи аттестата аккредитации;
заявляемый срок действия сертификата соответствия.
Заявка на проведение сертификации подписывается руководителем заявителя (лицом, которое в силу федерального закона или учредительных документов выступает от его имени).
20. К заявке на проведение сертификации прилагаются следующие документы:
информационная справка;
тактико-техническое (техническое) задание на создание (модернизацию) средства защиты информации (при наличии);
схема деления средства защиты информации на составные части (при наличии);
задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации);
технические условия (проект технических условий) на средство защиты информации (при наличии);
формуляр (паспорт) средства защиты информации.
21. В информационной справке указываются:
сведения о заявителе:
фамилия, имя и отчество (при наличии) руководителя заявителя;
фамилия, имя и отчество (при наличии) представителя заявителя, ответственного за проведение сертификации средства защиты информации, номер контактного телефона (факса);
почтовые адреса для секретных и почтовых отправлений;
реквизиты лицензий, предусмотренных пунктом 9 настоящего Положения, на соответствующие средства защиты информации;
сведения об организации - разработчике средства защиты информации (при наличии):
полное и сокращенное (при наличии) наименования организации - разработчика средства защиты информации, адрес места нахождения, номер контактного телефона (факса);
сведения о военном представительстве Министерства обороны на предприятии заявителя (при наличии):
номер военного представительства Министерства обороны;
фамилия, имя и отчество (при наличии) начальника военного представительства Министерства обороны;
почтовые адреса для секретных и почтовых отправлений, номер контактного телефона (факса);
сведения об органе военного управления, осуществляющем функции государственного заказчика средства защиты информации (далее - заказчик) (при наличии):
наименование органа военного управления;
фамилия, имя и отчество (при наличии) представителя органа военного управления, взаимодействующего с заявителем, номер контактного телефона (факса);
сведения о довольствующем органе Министерства обороны (при наличии):
наименование довольствующего органа;
фамилия, имя и отчество (при наличии) представителя довольствующего органа, взаимодействующего с заявителем, номер контактного телефона (факса);
сведения об опытно-конструкторской работе, в рамках которой разработано (модернизировано) средство защиты информации (при наличии):
наименование опытно-конструкторской работы;
сроки проведения опытно-конструкторской работы;
сроки проведения государственных или приравненных к ним испытаний;
планируемые сроки проведения сертификации;
сведения о средстве защиты информации:
назначение средства защиты информации, область его применения;
наличие криптографических элементов, номер и дата выдачи сертификата соответствия Федеральной службы безопасности Российской Федерации (при наличии);
наличие программного датчика случайных чисел;
программная среда функционирования (операционная система);
сведения о ранее полученных сертификатах соответствия на средство защиты информации и его составные части, в том числе в рамках других систем сертификации по требованиям безопасности информации;
сведения о присвоении конструкторской и (или) программной документации литеры "О1", когда и кем присвоена;
наличие предписаний на эксплуатацию и документов, подтверждающих отсутствие специальных электронных устройств перехвата информации, на средство защиты информации и его составные части;
перечень конструкторской и (или) программной документации;
перечень составных частей средства защиты информации, на которые требуется оформление отдельных сертификатов соответствия.
V. Принятие решения о проведении сертификации
22. Орган по сертификации рассматривает заявку на проведение сертификации в течение 27 календарных дней со дня ее получения на предмет соответствия требованиям пунктов 19 - 21 настоящего Положения и отсутствия оснований для отказа, предусмотренных пунктом 24 настоящего Положения.
23. Заявка на проведение сертификации возвращается органом по сертификации заявителю в случае отсутствия в ней документов или сведений, предусмотренных пунктами 19 - 21 настоящего Положения, с мотивированным уведомлением о всех недостатках (далее - уведомление о доработке).
24. По итогам рассмотрения заявки на проведение сертификации в проведении сертификации может быть отказано.
Основаниями для отказа в проведении сертификации являются:
несоответствие назначения средства защиты информации (не предназначено для применения в Вооруженных Силах Российской Федерации);
отсутствие у заявителя лицензий, предусмотренных пунктом 9 настоящего Положения, на соответствующие средства защиты информации;
внесение заявителем в заявку на проведение сертификации недостоверных сведений;
отсутствие у испытательной лаборатории, указанной в заявке на проведение сертификации, аккредитации на проведение испытаний заявленного типа средства защиты информации.
25. Уведомление о доработке или уведомление об отказе в проведении сертификации направляется органом по сертификации заявителю почтовым отправлением в течение трех календарных дней со дня окончания срока рассмотрения заявки на проведение сертификации.
26. При отсутствии оснований для отказа в проведении сертификации орган по сертификации принимает решение о проведении сертификации (рекомендуемый образец приведен в приложении N 2 к настоящему Положению), в котором указываются:
номер и дата принятия решения;
полное и сокращенное (при наличии) наименования заявителя, адрес места нахождения;
наименование и обозначение средства защиты информации;
схема сертификации;
требования по безопасности информации, установленные в отношении средства защиты информации, и реквизиты документов, устанавливающих эти требования;
полное и сокращенное (при наличии) наименования органа по сертификации, которым будет проведена сертификация (адрес места нахождения, номер и дата выдачи аттестата аккредитации в соответствии с приказом N 465);
полное и сокращенное (при наличии) наименования испытательной лаборатории, которой будут проведены испытания средства защиты информации (адрес места нахождения, номер и дата выдачи аттестата аккредитации в соответствии с приказом N 465).
Решение о проведении сертификации в течение трех календарных дней со дня окончания срока рассмотрения заявки на проведение сертификации подписывается руководителем органа по сертификации и направляется почтовым отправлением по одному экземпляру заявителю, в уполномоченный орган Министерства обороны, испытательную лабораторию и заказчику. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, решение о проведении сертификации направляется заявителю, в испытательную лабораторию и заказчику.
27. Не допускается проводить испытания средства защиты информации до принятия решения о проведении сертификации.
28. Испытательная лаборатория, указанная в решении о проведении сертификации, в течение трех рабочих дней со дня заключения договора с заявителем письменно почтовым отправлением уведомляет уполномоченный орган Министерства обороны и орган по сертификации о заключении договора с заявителем с указанием определенного договором срока проведения испытаний. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, испытательная лаборатория направляет уведомление о заключении договора с заявителем в уполномоченный орган Министерства обороны.
VI. Переоформление, отмена решения о проведении сертификации
29. Решение о проведении сертификации переоформляется органом по сертификации по заявлению заявителя о переоформлении решения о проведении сертификации в случаях:
изменения наименования и (или) обозначения средства защиты информации;
замены испытательной лаборатории или органа по сертификации, в том числе в связи с приостановлением, прекращением действия аккредитации испытательной лаборатории или органа по сертификации;
изменения требований по безопасности информации, на соответствие которым проводится сертификация;
изменения схемы сертификации.
30. Заявление о переоформлении решения о проведении сертификации подписывается руководителем заявителя (лицом, которое в силу федерального закона или учредительных документов выступает от его имени) и направляется почтовым отправлением в орган по сертификации.
31. Решение о проведении сертификации переоформляется в течение 10 рабочих дней со дня получения заявления о переоформлении решения о проведении сертификации, подписывается руководителем органа по сертификации и направляется почтовым отправлением по одному экземпляру заявителю, в уполномоченный орган Министерства обороны, испытательную лабораторию и заказчику. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, решение о проведении сертификации направляется заявителю, в испытательную лабораторию и заказчику.
32. Орган по сертификации отказывает в переоформлении решения о проведении сертификации в течение 10 рабочих дней со дня получения заявления о переоформлении решения о проведении сертификации в случаях:
отсутствия сведений об основаниях для переоформления решения о проведении сертификации, предусмотренных пунктом 29 настоящего Положения;
наличия в заявлении о переоформлении решения о проведении сертификации недостоверных сведений;
отсутствия у испытательной лаборатории, указанной в заявлении о переоформлении решения о проведении сертификации, аккредитации на проведение испытаний заявленного типа средства защиты информации.
При отказе в переоформлении решения о проведении сертификации (далее - отказ в переоформлении) орган по сертификации в течение двух рабочих дней со дня отказа в переоформлении уведомляет заявителя о нем с указанием причин отказа в переоформлении.
33. Решение о проведении сертификации отменяется органом по сертификации в случаях:
обращения заявителя о прекращении сертификации;
неполучения по истечении одного года с даты принятия решения о проведении сертификации информации о заключении заявителем договора с испытательной лабораторией на проведение испытаний.
34. Уведомление об отмене решения о проведении сертификации в течение 10 рабочих дней со дня наступления случая, указанного в пункте 33 настоящего Положения, подписывается руководителем органа по сертификации и направляется почтовым отправлением по одному экземпляру заявителю, в уполномоченный орган Министерства обороны, испытательную лабораторию и заказчику. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, уведомление об отмене решения о проведении сертификации направляется заявителю, в испытательную лабораторию и заказчику.
VII. Проведение испытаний средств защиты информации
35. Испытания средств защиты информации проводятся испытательной лабораторией на образцах, технология изготовления и конструкция (состав) которых идентичны образцам, планируемым к поставке потребителям.
Испытания средств защиты информации для серийного производства осуществляются только после присвоения заказчиком конструкторской и (или) программной документации на средства защиты информации литеры не ниже "О1".
36. Испытания средств защиты информации проводятся в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
37. Для проведения испытаний средства защиты информации испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации (далее - отбор).
При сертификации партии образцов средств защиты информации испытательной лабораторией осуществляется отбор всей партии образцов.
При сертификации серийно производимых средств защиты информации для осуществления отбора представляется партия образцов средств защиты информации для отбора методом случайной выборки. Количество образцов серийно производимых средств защиты информации, подлежащих отбору, определяется заявителем и испытательной лабораторией исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении испытаний предусматривается разрушение (нарушение функционирования) образца (образцов) средства защиты информации.
38. Отбор осуществляется в присутствии уполномоченных представителей заявителя, военного представительства Министерства обороны на предприятии заявителя (при наличии) в сроки, установленные договором, заключенным заявителем с испытательной лабораторией.
39. По результатам отбора составляется акт отбора образца (образцов), в котором указываются:
полное и сокращенное (при наличии) наименования заявителя, адрес места нахождения;
полное и сокращенное (при наличии) наименования организации - разработчика средства защиты информации, адрес места нахождения;
полное и сокращенное (при наличии) наименования испытательной лаборатории, проводящей отбор, номер и дата выдачи аттестата аккредитации;
реквизиты решения о проведении сертификации;
фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;
фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя и военного представительства Министерства обороны на предприятии заявителя (при наличии), присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;
схема сертификации;
наименование и обозначение средства защиты информации, количество образцов с указанием их заводских номеров;
дата изготовления средства защиты информации;
дата и место осуществления отбора;
состав комплекта поставки средства защиты информации, его составных частей, программного обеспечения из их состава, а также перечень рабочей конструкторской документации, не входящей в комплект поставки, результаты фиксации (контрольные характеристики) исходных текстов и дистрибутива программного обеспечения.
Акт отбора образца (образцов) подписывается в трех экземплярах уполномоченными представителями заявителя, испытательной лаборатории и военного представительства Министерства обороны на предприятии заявителя (при наличии), участвовавшими в отборе, и в течение трех рабочих дней со дня его подписания направляется испытательной лабораторией почтовым отправлением в орган по сертификации.
Второй экземпляр акта отбора образца (образцов) хранится у заявителя, третий - в испытательной лаборатории.
40. Проект программы и методик испытаний средства защиты информации разрабатывается испытательной лабораторией.
В проекте программы и методик испытаний в обязательном порядке отражаются наименование, обозначение и назначение средства защиты информации, количество образцов, отобранных для проведения испытаний, сроки проведения испытаний, состав, условия и порядок проведения испытаний, методы и способы испытаний, применяемое испытательное оборудование, измерительные приборы и средства проведения испытаний, условия и порядок проведения предварительной проверки производства средств защиты информации.
41. Проект программы и методик испытаний согласовывается испытательной лабораторией с заявителем и направляется почтовым отправлением на утверждение в орган по сертификации в трех экземплярах на бумажном носителе и в электронном виде.
42. Органом по сертификации рассматривается проект программы и методик испытаний в течение 30 рабочих дней со дня его получения.
В случае выявления замечаний к полноте содержания проекта программы и методик испытаний, предусмотренного пунктом 40 настоящего Положения, орган по сертификации возвращает почтовым отправлением проект программы и методик испытаний в испытательную лабораторию на доработку, о чем уведомляет заявителя.
Испытательная лаборатория в течение 10 рабочих дней со дня получения замечаний органа по сертификации к полноте содержания проекта программы и методик испытаний устраняет указанные замечания, повторно согласовывает проект программы и методик испытаний с заявителем и направляет его почтовым отправлением в орган по сертификации на утверждение.
Руководитель органа по сертификации утверждает программу и методики испытаний в трех экземплярах при отсутствии замечаний к полноте содержания проекта программы и методик испытаний, предусмотренного пунктом 40 настоящего Положения.
Общий срок рассмотрения и утверждения программы и методик испытаний органом по сертификации не должен превышать 60 рабочих дней со дня представления первого варианта проекта программы и методик испытаний.
Утвержденные руководителем органа по сертификации программа и методики испытаний в течение трех рабочих дней со дня утверждения направляются органом по сертификации по одному экземпляру почтовым отправлением заявителю и в испытательную лабораторию. Третий экземпляр программы и методик испытаний хранится в органе по сертификации.
Орган по сертификации в течение двух рабочих дней со дня утверждения программы и методик испытаний письменно информирует уполномоченный орган Министерства обороны об утверждении программы и методик испытаний, за исключением случая, если функции органа по сертификации исполняет уполномоченный орган Министерства обороны.
43. Испытательная лаборатория проводит испытания в соответствии с утвержденными органом по сертификации программой и методиками испытаний.
Испытания включают:
для единичных образцов или партии образцов средств защиты информации - проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик средства защиты информации требованиям по безопасности информации;
для серийного производства средств защиты информации - проведение испытаний отобранного образца (образцов) средства защиты информации и предварительной проверки производства средства защиты информации, предусматривающих оценку соответствия параметров и характеристик средства защиты информации требованиям по безопасности информации и оценку серийного производства средства защиты информации, обеспечивающего неизменность параметров и характеристик серийно производимого средства защиты информации согласно требованиям по безопасности информации.
44. По результатам испытаний, предусмотренных пунктом 43 настоящего Положения, испытательной лабораторией оформляются протоколы испытаний, содержащие:
основание для проведения испытаний (реквизиты решения о проведении сертификации);
даты и места проведения испытаний;
описания средства защиты информации и испытаний, которым оно подвергалось;
результаты испытаний по каждому испытываемому параметру или характеристике средства защиты информации;
результаты предварительной проверки производства средства защиты информации;
вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации;
вывод о соответствии (несоответствии) производства средства защиты информации требованиям по безопасности информации.
Протоколы испытаний подписываются специалистами испытательной лаборатории, проводившими испытания, утверждаются руководителем испытательной лаборатории.
45. По завершении испытаний, предусмотренных программой и методиками испытаний, оформляется заключение по результатам испытаний средства защиты информации (далее - заключение), содержащее:
основание для проведения испытаний (реквизиты решения о проведении сертификации);
описание средства защиты информации;
требования по безопасности информации, на соответствие которым проводились испытания;
результаты испытаний;
вывод о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации;
вывод о соответствии (несоответствии) производства средства защиты информации требованиям по безопасности информации.
Заключение подписывается специалистами испытательной лаборатории, проводившими испытания, утверждается руководителем испытательной лаборатории.
46. При несоответствии средства защиты информации и (или) его производства требованиям по безопасности информации испытательная лаборатория направляет протоколы испытаний и заключение в течение трех рабочих дней со дня их утверждения руководителем испытательной лаборатории почтовым отправлением заявителю и в орган по сертификации.
Заявитель в течение не более 60 рабочих дней с даты получения протоколов испытаний и заключения устраняет выявленные несоответствия средства защиты информации и (или) его производства требованиям по безопасности информации и уведомляет орган по сертификации и испытательную лабораторию о готовности к проведению повторных испытаний.
В случае ненаправления заявителем в течение 60 рабочих дней с даты получения протоколов испытаний и заключения уведомления о готовности к проведению повторных испытаний испытательная лаборатория подготавливает протоколы испытаний и заключение в соответствии с пунктом 48 настоящего Положения.
47. Повторные испытания средства защиты информации проводятся в соответствии с договором на проведение испытаний между заявителем и испытательной лабораторией по ранее утвержденным программе и методикам испытаний в части проверки устранения выявленных при проведении испытаний несоответствий средства защиты информации и (или) его производства требованиям по безопасности информации.
По результатам повторных испытаний оформляются протоколы повторных испытаний и заключение в соответствии с пунктами 44 и 45 настоящего Положения.
48. Материалы испытаний средства защиты информации (далее - материалы испытаний) оформляются испытательной лабораторией в трех экземплярах и направляются почтовым отправлением по одному экземпляру в орган по сертификации и заявителю. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, материалы испытаний направляются испытательной лабораторией для проведения оценки в уполномоченный орган Министерства обороны и заявителю.
Материалы испытаний включают:
протоколы испытаний и заключение;
протоколы повторных испытаний и заключение (в случае проведения повторных испытаний).
Все материалы испытаний представляются на бумажном носителе и в электронном виде.
49. Программа и методики испытаний, акт отбора образца (образцов), материалы испытаний хранятся в органе по сертификации, испытательной лаборатории и у заявителя в течение срока действия сертификата соответствия и одного года с момента его окончания.
VIII. Выдача (отказ в выдаче) сертификата соответствия
50. Орган по сертификации проводит оценку материалов испытаний в течение 25 рабочих дней с даты их поступления в орган по сертификации на соответствие требованиям настоящего Положения и требованиям по безопасности информации.
51. По результатам оценки материалов испытаний орган по сертификации подготавливает заключение о возможности (невозможности) выдачи сертификата соответствия (далее - заключение органа по сертификации) в соответствии с выводами согласно пунктам 52 и 58 настоящего Положения.
В заключении органа по сертификации отражаются основание для проведения сертификации (реквизиты решения о проведении сертификации), наименования участников сертификации (заявителя, органа по сертификации и испытательной лаборатории), требования по безопасности информации, на соответствие которым проведена сертификация, результаты оценки материалов испытаний на полноту проведенных испытаний в соответствии с программой и методиками испытаний, выводы о соответствии (несоответствии) средства защиты информации, его производства требованиям по безопасности информации.
Заключение органа по сертификации подготавливается и подписывается руководителем органа по сертификации в течение двух рабочих дней со дня окончания срока проведения оценки материалов испытаний.
52. В случае если органом по сертификации сделан вывод о несоответствии средства защиты информации требованиям по безопасности информации, орган по сертификации подготавливает заключение органа по сертификации с выводом о невозможности выдачи сертификата соответствия (далее - отрицательное заключение) и в течение двух рабочих дней со дня его подписания направляет почтовым отправлением по одному экземпляру в уполномоченный орган Министерства обороны и испытательную лабораторию. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, отрицательное заключение направляется только в испытательную лабораторию.
Отрицательное заключение направляется в уполномоченный орган Министерства обороны на бумажном носителе и в электронном виде.
53. На основании отрицательного заключения в течение четырех рабочих дней со дня его поступления уполномоченным органом Министерства обороны принимается мотивированное решение об отказе в выдаче сертификата соответствия.
Мотивированное решение об отказе в выдаче сертификата соответствия подписывается руководителем уполномоченного органа Министерства обороны и в течение двух рабочих дней со дня его подписания направляется почтовым отправлением заявителю и заказчику.
54. В случае если органом по сертификации сделаны выводы об отсутствии полноты проведенных испытаний в соответствии с программой и методиками испытаний (далее - недостатки), орган по сертификации подготавливает заключение органа по сертификации (далее - заключение о недостатках) и в течение двух рабочих дней со дня его подписания направляет почтовым отправлением материалы испытаний в испытательную лабораторию для устранения недостатков и по одному экземпляру заключения о недостатках в испытательную лабораторию и уполномоченный орган Министерства обороны. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, заключение о недостатках направляется только в испытательную лабораторию.
Испытательная лаборатория в течение двух рабочих дней со дня получения заключения о недостатках направляет в орган по сертификации уведомление о факте его получения.
55. Испытательная лаборатория устраняет недостатки, в том числе требующие проведения повторных испытаний, в течение 20 рабочих дней со дня поступления в испытательную лабораторию заключения о недостатках и направляет в орган по сертификации доработанные материалы испытаний в соответствии с пунктами 47 и 48 настоящего Положения.
56. В случае непредставления доработанных материалов испытаний в течение 40 рабочих дней со дня поступления в испытательную лабораторию заключения о недостатках орган по сертификации направляет отрицательное заключение почтовым отправлением по одному экземпляру в уполномоченный орган Министерства обороны и испытательную лабораторию в соответствии с выводами согласно пункту 54 настоящего Положения. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, заключение органа по сертификации направляется только в испытательную лабораторию.
Отрицательное заключение направляется в уполномоченный орган Министерства обороны на бумажном носителе и в электронном виде.
57. На основании отрицательного заключения уполномоченным органом Министерства обороны в течение четырех рабочих дней со дня его поступления принимается решение об отказе в выдаче сертификата соответствия.
Уведомление об отказе в выдаче сертификата соответствия подписывается руководителем уполномоченного органа Министерства обороны и в течение двух рабочих дней со дня принятия такого решения направляется почтовым отправлением заявителю и заказчику.
58. В случае если органом по сертификации сделаны выводы о полноте проведенных испытаний в соответствии с программой и методиками испытаний и о соответствии средства защиты информации требованиям по безопасности информации, а также о соответствии или несоответствии производства средства защиты информации требованиям по безопасности информации, орган по сертификации подготавливает заключение органа по сертификации с выводом о возможности выдачи сертификата соответствия (далее - положительное заключение) и проект сертификата соответствия (рекомендуемый образец приведен в приложении N 3 к настоящему Положению) в соответствии с пунктом 60 настоящего Положения.
59. Орган по сертификации в течение двух рабочих дней со дня подписания положительного заключения направляет почтовым отправлением:
в испытательную лабораторию - экземпляр положительного заключения;
в уполномоченный орган Министерства обороны - экземпляр положительного заключения с приложением проекта сертификата соответствия. В случае если функции органа по сертификации исполняет уполномоченный орган Министерства обороны, положительное заключение направляется только в испытательную лабораторию.
Положительное заключение и проект сертификата соответствия представляются в уполномоченный орган Министерства обороны на бумажном носителе и в электронном виде.
60. На основании положительного заключения в течение пяти рабочих дней со дня поступления от органа по сертификации положительного заключения и проекта сертификата соответствия уполномоченный орган Министерства обороны подготавливает, руководитель уполномоченного органа Министерства обороны подписывает сертификат соответствия.
При схеме сертификации для единичного образца или партии образцов средств защиты информации сертификат соответствия оформляется на образец или партию образцов средств защиты информации, прошедших испытания, с указанием их заводских номеров.
При схеме сертификации для серийного производства средства защиты информации сертификат соответствия оформляется:
при наличии вывода о соответствии производства средства защиты информации требованиям по безопасности информации - на средство защиты информации для серийного производства;
при наличии вывода о несоответствии производства средства защиты информации требованиям по безопасности информации - на образец или партию образцов средств защиты информации, прошедших испытания, с указанием их заводских номеров.
Сертификат соответствия в течение двух рабочих дней со дня его подписания руководителем уполномоченного органа Министерства обороны направляется почтовым отправлением заявителю.
Уведомление об оформлении сертификата соответствия в течение двух рабочих дней со дня его подписания направляется уполномоченным органом Министерства обороны почтовым отправлением заказчику.
IX. Предоставление дубликата сертификата соответствия
61. Для выдачи дубликата сертификата соответствия заявитель вправе обратиться в уполномоченный орган Министерства обороны с заявлением о выдаче дубликата сертификата соответствия, подписанным руководителем заявителя (лицом, которое в силу федерального закона или учредительных документов выступает от его имени) (рекомендуемый образец приведен в приложении N 4 к настоящему Положению).
В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия уполномоченный орган Министерства обороны оформляет дубликат ранее выданного заявителю сертификата соответствия с пометкой "дубликат" и направляет его почтовым отправлением заявителю.
X. Внесение изменений в сертифицированное
средство защиты информации
62. Для внесения изменений в сертифицированное средство защиты информации проводится сертификация в соответствии с настоящим Положением, в том числе испытания средства защиты информации, предусмотренные пунктами 35 - 48 настоящего Положения.
XI. Переоформление сертификата соответствия
63. Сертификат соответствия подлежит переоформлению в случаях:
реорганизации заявителя в форме преобразования;
изменения наименования заявителя;
изменения адреса места нахождения заявителя.
64. Для переоформления сертификата соответствия заявитель либо его правопреемник представляет в уполномоченный орган Министерства обороны заявление на переоформление сертификата соответствия с приложением документов, подтверждающих случаи, предусмотренные пунктом 63 настоящего Положения.
65. Уполномоченный орган Министерства обороны в течение 10 рабочих дней со дня получения заявления на переоформление сертификата соответствия с приложением документов, предусмотренных пунктом 64 настоящего Положения, осуществляет проверку наличия оснований для отказа в переоформлении сертификата соответствия.
Основаниями для отказа в переоформлении сертификата соответствия являются:
непредставление документов, указанных в пункте 63 настоящего Положения;
отсутствие у заявителя переоформленной лицензии, предусмотренной пунктом 9 настоящего Положения.
66. В случае выявления оснований для отказа в переоформлении сертификата соответствия уполномоченный орган Министерства обороны в течение трех рабочих дней со дня окончания срока проверки, предусмотренной пунктом 65 настоящего Положения, мотивированно уведомляет заявителя или его правопреемника об отказе в переоформлении сертификата соответствия.
67. При отсутствии оснований для отказа в переоформлении сертификата соответствия уполномоченный орган Министерства обороны в течение пяти рабочих дней со дня окончания срока проверки, предусмотренной пунктом 65 настоящего Положения, направляет почтовым отправлением заявителю или его правопреемнику переоформленный сертификат соответствия.
68. Заявитель или его правопреемник в течение 10 рабочих дней со дня получения переоформленного сертификата соответствия направляет почтовым отправлением в уполномоченный орган Министерства обороны подлинник ранее выданного сертификата соответствия.
XII. Продление срока действия сертификата соответствия
69. Для продления срока действия сертификата соответствия заявитель подготавливает заявку на продление срока действия сертификата соответствия (рекомендуемый образец приведен в приложении N 5 к настоящему Положению), согласовывает ее с военным представительством Министерства обороны на предприятии заявителя (при наличии) для подтверждения сведений об отсутствии изменений средства защиты информации и направляет заказчику для подтверждения потребности заказчика в дальнейшем производстве (при наличии сертификата соответствия на серийное производство средства защиты информации), эксплуатации средства защиты информации и сведений об отсутствии изменений средства защиты информации (далее - основания для согласования).
Заявка на продление срока действия сертификата соответствия подписывается руководителем заявителя (лицом, которое в силу федерального закона или учредительных документов выступает от его имени).
70. Заказчик (военное представительство Министерства обороны на предприятии заявителя (при наличии) рассматривает заявку на продление срока действия сертификата соответствия в течение 10 рабочих дней со дня ее получения на наличие основания для согласования и направляет в течение двух рабочих дней со дня согласования почтовым отправлением заявку на продление срока действия сертификата соответствия в уполномоченный орган Министерства обороны (далее - согласованная заявка на продление срока действия сертификата соответствия).
71. При отсутствии оснований для согласования заявки на продление срока действия сертификата соответствия заказчик (военное представительство Министерства обороны на предприятии заявителя (при наличии) в течение 10 рабочих дней со дня ее получения отказывает заявителю в согласовании заявки на продление срока действия сертификата соответствия.
72. Уполномоченный орган Министерства обороны в течение 10 рабочих дней со дня получения согласованной заявки на продление срока действия сертификата соответствия рассматривает согласованную заявку на продление срока действия сертификата соответствия, продлевает срок действия сертификата соответствия и в течение двух рабочих дней направляет почтовым отправлением сертификат соответствия заявителю.
73. Продление срока действия сертификата соответствия на средства защиты информации, серийное производство которых прекращено, осуществляется на образцы средств защиты информации с указанием их заводских номеров.
XIII. Приостановление действия сертификата соответствия
74. Действие сертификата соответствия приостанавливается в случаях <*>:
--------------------------------
<*> Пункт 10 Положения N 608.
1) изменения нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
2) изменения технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
3) отказа изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
Действие сертификата соответствия приостанавливается по решению уполномоченного органа Министерства обороны на 90 календарных дней.
75. Уполномоченный орган Министерства обороны в течение двух рабочих дней со дня принятия решения о приостановлении действия сертификата соответствия направляет почтовым отправлением заявителю и заказчику уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации в течение 90 календарных дней.
76. В случае приостановления действия сертификата соответствия заявитель прекращает производство, реализацию средства защиты информации, принимает меры по устранению несоответствия средства защиты информации требованиям по безопасности информации в срок, предусмотренный уведомлением уполномоченного органа Министерства обороны.
77. Действие сертификата соответствия возобновляется уполномоченным органом Министерства обороны в случае устранения несоответствия средства защиты информации требованиям по безопасности информации на основании представленных в уполномоченный орган Министерства обороны документов, подтверждающих устранение такого несоответствия.
Уполномоченный орган Министерства обороны в течение пяти рабочих дней со дня получения документов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации, направляет почтовым отправлением заявителю и заказчику уведомление о возобновлении действия сертификата соответствия.
XIV. Прекращение действия сертификата соответствия
78. Действие сертификата соответствия прекращается уполномоченным органом Министерства обороны в случае непредставления заявителем в установленный срок документов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации, указанным в подпункте 2 пункта 74 настоящего Положения.
В случае изменения требований по безопасности информации и непредставления заявителем в установленный согласно пункту 75 настоящего Положения срок документов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации, уполномоченным органом Министерства обороны прекращается действие сертификата соответствия на средство защиты информации для серийного производства и оформляется сертификат соответствия на изготовленные образцы средства защиты информации с указанием их заводских номеров, который направляется заявителю почтовым отправлением в течение двух рабочих дней со дня оформления сертификата соответствия на изготовленные образцы серийно производимого средства защиты информации.
Заявитель в течение 10 рабочих дней со дня получения вновь оформленного сертификата соответствия на изготовленные образцы средства защиты информации направляет почтовым отправлением в уполномоченный орган Министерства обороны подлинник ранее выданного сертификата соответствия.
79. Уполномоченный орган Министерства обороны в течение двух рабочих дней со дня принятия решения о прекращении действия сертификата соответствия направляет почтовым отправлением заявителю и заказчику уведомление о прекращении действия сертификата соответствия и недопустимости эксплуатации, производства и реализации сертифицированного средства защиты информации.
XV. Апелляция
80. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации, уполномоченный орган Министерства обороны или Межведомственную комиссию по защите государственной тайны. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении <*>.
--------------------------------
<*> Пункт 13 Положения N 608.
Приложение N 1
к Положению (п. 19)
Рекомендуемый образец
Приложение N 2
к Положению (п. 26)
Рекомендуемый образец
Приложение N 3
к Положению (п. 58)
Рекомендуемый образец
Приложение N 4
к Положению (п. 61)
Рекомендуемый образец
Приложение N 5
к Положению (п. 69)
Рекомендуемый образец
--------------------------------
<*> При наличии сертификата соответствия на серийное производство средства защиты информации.