Изменения в Положении о системе сертификации ФСТЭК России (121 приказ)
Вчера (27 октября) Министерством Юстиции Российской Федерации был зарегистрирован приказ ФСТЭК России № 121 от 5 августа 2021 г. «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 3 апреля 2018 г. № 55».
Рассмотрим вкратце, что поменялось:
1. Сертификация средств защиты информации (CЗИ) иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России теперь не осуществляется.
2. Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство и соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
3. Сертификаты на единичный образец и партию теперь будут бессрочными.
4. Определено необходимое количество отбираемых для сертификации образцов при различных схемах сертификации. Причем разделили на средства, предназначенные для защиты от утечки по техническим каналам и средства, предназначенные для защиты от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий.
Во втором случае достаточно отобрать один экземпляр, что при испытаниях серийно производимого средства, что при испытаниях партии.
5. Испытания теперь начинаются с отбора образцов, после этого заявитель обязан предоставить возможность ознакомления испытательной лаборатории (ИЛ) с образцом средства защиты информации и его производством.
6. После этого испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.
Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, испытательная лаборатория представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя.
Предварительное ознакомление органа по сертификации с сертифицируемым СЗИ убрали.
7. Затем ИЛ приступает к разработке программы и методики сертификационных испытаний.
8. Уточнено, что при повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.
9. В соответствии с информационным сообщением ФСТЭК России от 22 июля 2021 № 240/24/3487 (https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2258-informatsionnoe-soobshchenie-fstek-rossii-ot-22-iyulya-2021-g-n-240-24-3487) «О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России», изменены и часть пунктов о маркировании в Положении о системе сертификации.
Теперь вместо специальных защитных знаков введены идентификаторы.
10. Также прописана необходимость заявителям ежегодно представлять в ФСТЭК России сведения о произведенных и (или) промаркированных сертифицированных СЗИ с их наименованиями и присвоенными идентификаторами.
11. Интересный пункт про сертификационные испытания при продлении срока действия сертификата соответствия – испытания проводятся по сокращенной программе:
для средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий проводится оценка его соответствия требованиям по безопасности информации, устанавливающим уровни доверия,
а для средства, предназначенного для защиты информации от утечки по техническим каналам, проводится проверка его производства.
12. Также уточнено, что при проверке производства должно проверяться внедрение заявителем процедур безопасной разработки программного обеспечения, в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания. Таким образом испытательная лаборатория должна перепроверять внедрение Заявителем процедур безопасной разработки.
Полный текст Приказа можно увидеть тут: http://publication.pravo.gov.ru/Document/View/0001202110270025?index=0&rangeSize=1).
Первоначальную редакцию Положения о системе о системе сертификации средств защиты информации можно найти на сайте ФСТЭК России: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/119-polozheniya/1594-polozhenie-utverzhdeno-prikazom-fstek-rossii-ot-3-aprelya-2018-g-n-55
