Информационное сообщение ФСТЭК России от 23.01.2015 N 240/24/223 "По вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации" - последняя редакция

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 23 января 2015 г. N 240/24/223

ПО ВОПРОСУ
ПРОДЛЕНИЯ СРОКОВ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ
НА СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЛУАТИРУЕМЫЕ
НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ

В Федеральную службу по техническому и экспортному контролю (ФСТЭК России) от организаций, эксплуатирующих сертифицированные средства защиты информации, поступают вопросы о порядке продления сроков действия сертификатов соответствия, выданных ФСТЭК России в пределах ее компетенции, на данные средства защиты информации.

В целях разъяснения отдельных процедур продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации, считаем необходимым сообщить следующее.

В соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" и Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995 г. N 199, на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, самостоятельно организует продление срока действия данного сертификата соответствия.

Такое продление срока действия сертификата соответствия возможно при соблюдении следующих условий:

средство защиты информации функционирует с требуемой эффективностью;

в организации имеется в наличии эксплуатационная документация на средство защиты информации;

на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;

своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия (образец заявки прилагается).

К заявке прилагаются протоколы оценки эффективности средства защиты информации (для средств защиты информации от утечки по техническим каналам) или протоколы оценки защищенности информации от несанкционированного доступа (для средств защиты информации от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, аккредитованной в качестве органа по аттестации объектов информатизации, или организацией, имеющей соответствующую лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, не содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, имеющей соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, или организацией, эксплуатирующей данные средства защиты информации.

В протоколах указывается идентификационная информация о средстве защиты информации, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство защиты информации, номер и срок действия сертификата соответствия.

Дополнительно в протоколе оценки защищенности информации от несанкционированного доступа приводятся данные о контрольных суммах неизменяемых файлов инсталлированного программного обеспечения средства защиты информации с выводом об их соответствии контрольным суммам программного обеспечения, указанным в эксплуатационной документации, а также идентификационная информация об использованном средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.

При поступлении в ФСТЭК России заявки на продление срока действия сертификата соответствия и необходимых протоколов осуществляется их рассмотрение и принимается решение о возможности продления срока действия сертификата соответствия. В случае принятия положительного решения ФСТЭК России оформляется продленный сертификат соответствия на средство защиты информации, который направляется заявителю в соответствии с указанным в заявке почтовым адресом. В случае принятия отрицательного решения заявителю направляется обоснованный отказ в продлении срока действия сертификата соответствия.

Начальник 2 управления
ФСТЭК России
В.ЛЮТИКОВ

Приложение
к информационному сообщению
ФСТЭК России
от 23 января 2015 г. N 240/24/223

                                                    Начальнику 2 управления
(Исходящий номер и дата                                  ФСТЭК России
-----------------------
подписания заявки)                             Старая Басманная ул., д. 17,
------------------                                   г. Москва, 105066

                                  Заявка
           на продление срока действия сертификата соответствия
             в системе сертификации средств защиты информации
                  по требованиям безопасности информации
                           N РОСС RU.0001.01БИ00

    (Указывается   полное   наименование  и  организационно-правовая  форма
    -----------------------------------------------------------------------
юридического лица)
-------------------- просит продлить срок действия сертификата соответствия
   (указывается дата выдачи сертификата)     (указывается номер сертификата
от ------------------------------------- N --------------------------------
соответствия)  (указывается  наименование   продукции   в   соответствии  с
------------- -------------------------------------------------------------
сертификатом  соответствия)  (указывается  количество изделий, их заводские
---------------------------- ----------------------------------------------
номера,  номера знаков соответствия, которыми маркирована сертифицированная
---------------------------------------------------------------------------
продукция).
-----------
                         (наименование     организации,   номер   аттестата
    Протокол    оформлен --------------------------------------------------
аккредитации или лицензии, дата выдачи аттестата аккредитации или лицензии)
---------------------------------------------------------------------------
(дата оформления протокола).
----------------------------
                                                    (указываются должность,
    Сертификат  просим  выслать  в наш адрес на имя -----------------------
фамилия, имя и отчество (полностью) руководителя или его заместителя).
----------------------------------------------------------------------
                      (указывается фактический адрес юридического лица).
    Место нахождения: --------------------------------------------------

                         (указывается почтовый адрес юридического лица).
    Адрес для переписки: -----------------------------------------------
                       (указывается номер телефона).
    Телефон для связи: -----------------------------
                        (указывается  должность,  фамилия  имя  и  отчество
    Контактное   лицо:  ---------------------------------------------------
специалиста, оформившего заявку).
---------------------------------

    Приложение: Протокол ....

(Наименование должности)                             (Подпись руководителя)
------------------------                             ----------------------
                                                     (Печать)
                                                     --------