Что такое сертификат на средство защиты информации для чего он нужен
Зачем нужны сертифицированные средства защиты информации?
Сертификат – справка очень важная, но слегка бумажная.
Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.
Что даёт сертификация?
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.
Придётся разобраться в продукте и в технологии его разработки
Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».
Что общего между сертификаторами и Лангольерами
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.
НаучИтесь натягивать сову на глобус
Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей. Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Кому нужны сертифицированные продукты?
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Кому нужна сертифицированная система защиты и управления мобильными устройствами?
Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.
Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!
Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Реализовать функции безопасности в своём ПО и сертифицировать его. На это нужен год и специально выделенные люди, которые будут жертвовать свои человеко-часы на алтаре процесса сертификации. Иногда так делают, но чаще идут по второму пути.
Купить сертифицированные средства защиты, которые выполнят требования, необходимые для аттестации.
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
MDM / EMM / UEM с сертификатом ФСТЭК России.
Антивирус с сертификатом ФСТЭК России.
А сейчас рекламная пауза!
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Зачем нужны сертифицированные средства защиты информации?
Сертификат – справка очень важная, но слегка бумажная.Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.
Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.
Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей. Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.
Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!
Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что такое сертификат на средство защиты информации для чего он нужен
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 3 апреля 2018 года N 55
(с изменениями на 5 августа 2021 года)
Документ с изменениями, внесенными:
приказом ФСТЭК России от 5 августа 2021 года N 121 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 27.10.2021, N 0001202110270025).
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722; 2004, N 52, ст.5480; 2010, N 18, ст.2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330,
2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.
Директор Федеральной службы
в Министерстве юстиции
регистрационный N 51063
УТВЕРЖДЕНО
приказом ФСТЭК России
от 3 апреля 2018 года N 55
Положение о системе сертификации средств защиты информации
(с изменениями на 5 августа 2021 года)
I. Общие положения
1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст.4673; 2003, N 27, ст.2700; 2004, N 27, ст.2711; 2011, N 30, ст.4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст.5140; 2007, N 19, ст.2293; 2011, N 49, ст.7025; 2016, N 15, ст.2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».
3. Сертификации в системе сертификации ФСТЭК России подлежат:
средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
II. Система сертификации ФСТЭК России
5. Участниками системы сертификации ФСТЭК России являются:
федеральный орган по сертификации;
изготовители средств защиты информации.
6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.
8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.
9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.
Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну.
Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст.2716; N 48, ст.6728; 2012, N 26, ст.3446; N 31, ст.4322; 2013, N 9, ст.874; N 27, ст.3477; 2014, N 30, ст.4256; N 42, ст.5615; 2015, N 1, ст.11; N 29, ст.434; N 44, ст.6047; 2016, N 1, ст.51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст.1297; 2016, N 26, ст.4049).
10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.
12. Сертификация средств защиты информации осуществляется по следующим схемам:
Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.
Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.
13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.
14. Срок действия сертификата соответствия не может превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации.