Доработанный текст проекта Приказа Федеральной службы по техническому и экспортному контролю "Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации" (подготовлен ФСТЭК России 04.11.2023)

Досье на проект

В соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и пунктом 9 Положения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 (с изменениями, внесенными постановлениями Правительства Российской Федерации от 3 ноября 2014 г. N 1149 и от 14 марта 2023 г. N 395), приказываю:

1. Утвердить прилагаемый Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.

2. Установить, что настоящий приказ вступает в силу с 1 июня 2024 г.

Директор Федеральной службы по техническому и экспортному контролю

В. Селин

УТВЕРЖДЕН
приказом ФСТЭК России
от ___ ноября 2023 г. N ___

Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации

1. Сертификация процессов безопасной разработки программного обеспечения средств защиты информации (далее - программное обеспечение) осуществляется на соответствие требованиям национального стандарта ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования"*(1) (далее - требования по безопасной разработке).

2. Сертификация процессов безопасной разработки программного обеспечения осуществляется на основании договора, заключаемого изготовителем средства защиты информации (далее - изготовитель) с органом по сертификации*(2).

3. Изготовитель при намерении сертифицировать процессы безопасной разработки программного обеспечения:

внедряет и реализует процессы безопасной разработки программного обеспечения в соответствии с требованиями по безопасной разработке;

разрабатывает руководство по безопасной разработке программного обеспечения, регламентирующее процессы безопасной разработки программного обеспечения;

выбирает для проведения сертификации аккредитованный ФСТЭК России в соответствующей области аккредитации орган по сертификации*(3), согласовывает с ним сроки проведения сертификации.

4. Для получения сертификата соответствия изготовитель представляет в ФСТЭК России заявку на сертификацию процессов разработки программного обеспечения (далее - заявка).

В заявке указываются:

а) наименование изготовителя, его организационно-правовая форма;

б) адрес юридического лица в пределах места нахождения юридического лица - изготовителя;

в) адрес для корреспонденции изготовителя;

г) фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию процессов безопасной разработки программного обеспечения;

д) номер телефона и адрес электронной почты (при наличии) изготовителя;

е) наименование органа по сертификации, в котором планируется проведение сертификации;

ж) заявляемый срок действия сертификата соответствия.

Заявка подписывается руководителем изготовителя (лицом, которое в силу закона или учредительных документов выступает от его имени) и заверяется печатью изготовителя (при наличии печати).

Рекомендуемый образец заявки приведен в приложении N 1 к настоящему Порядку.

5. К заявке прилагается руководство по безопасной разработке программного обеспечения, разработанное в соответствии с требованиями по безопасной разработке.

6. Заявка с приложением направляется изготовителем в ФСТЭК России почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России.

7. ФСТЭК России рассматривает заявку в течение 15 рабочих дней со дня получения заявки.

8. Заявка возвращается для доработки в случае отсутствия в ней сведений, предусмотренных пунктом 4 настоящего Порядка, а также в случае несоответствия руководства по безопасной разработке программного обеспечения требованиям по безопасной разработке.

9. Уведомление о необходимости доработки заявки вручается изготовителю или направляется ему почтовым отправлением в срок не позднее 15 рабочих дней со дня получения заявки.

10. Сертификация проводится на основании решения ФСТЭК России о проведении сертификации процессов безопасной разработки программного обеспечения (далее - решение). В решении указываются:

а) номер и дата принятия решения;

б) наименование изготовителя, его организационно-правовая форма;

в) адрес юридического лица в пределах места нахождения юридического лица - изготовителя;

г) наименование органа по сертификации, который будет проводить сертификацию.

Решение оформляется в трёх экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется почтовым отправлением или вручается по одному экземпляру изготовителю и органу по сертификации (рекомендуемый образец решения приведен в приложении N 2 к настоящему Порядку).

11. Решение подлежит переоформлению в случае замены органа по сертификации, в том числе в связи с приостановлением или прекращением действия аттестата аккредитации органа по сертификации*(4).

12. Обращение изготовителя с обоснованием необходимости переоформления решения направляется в ФСТЭК России почтовым отправлением.

13. ФСТЭК России в срок не позднее 15 рабочих дней со дня получения обращения изготовителя переоформляет решение и направляет его почтовым отправлением или вручает изготовителю и органу по сертификации.

14. Решение аннулируется в случае получения ФСТЭК России обращения изготовителя о прекращении сертификации процессов безопасной разработки программного обеспечения.

15. ФСТЭК России в срок не позднее 15 рабочих дней со дня получения обращения изготовителя направляет почтовым отправлением или вручает изготовителю и органу по сертификации уведомление об аннулировании решения.

16. Для проведения сертификации внедренных изготовителем процессов безопасной разработки программного обеспечения изготовитель направляет органу по сертификации руководство по безопасной разработке программного обеспечения.

17. Орган по сертификации проводит сертификацию в сроки, установленные договором на проведение сертификации, заключенным с изготовителем.

18. Сертификация проводится на материально-технической базе изготовителя, используемой для разработки и поддержки безопасности программного обеспечения, расположенной на территории Российской Федерации.

19. Сертификация включает:

оценку соответствия руководства по безопасной разработке программного обеспечения и документации по безопасной разработке программного обеспечения, имеющейся у изготовителя, требованиям по безопасной разработке;

проверку наличия у изготовителя средств разработки программного обеспечения, а также средств, предназначенных для проведения композиционного, статического и динамического анализа программного обеспечения, предусмотренных требованиями по безопасной разработке;

проверку реализации изготовителем процессов безопасной разработки программного обеспечения, приведенных в руководстве и в документации по безопасной разработке программного обеспечения;

проверку реализации изготовителем процедур поддержки безопасности программного обеспечения;

проверку выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки программного обеспечения.

20. По результатам проведения сертификации орган по сертификации оформляет протоколы сертификации, содержащие:

основание для проведения сертификации (номер и дату решения);

даты и места проведения сертификации;

описание процессов безопасной разработки программного обеспечения, реализованных изготовителем, в отношении которых была проведена сертификация;

описание результатов сертификации по каждому реализованному у изготовителя процессу безопасной разработки программного обеспечения;

выводы о соответствии процессов безопасной разработки программного обеспечения, реализованных изготовителем, требованиям по безопасной разработке.

Протоколы сертификации подписываются экспертами органа по сертификации, проводившими сертификацию.

21. По завершении сертификации орган по сертификации оформляет экспертное заключение о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке, содержащее:

основание для проведения сертификации (номер и дата решения);

описание процессов безопасной разработки программного обеспечения, реализованных изготовителем;

описание результатов сертификации по каждому процессу безопасной разработки программного обеспечения;

вывод о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке;

выводы о возможности (невозможности) выдачи сертификата соответствия.

Экспертное заключение подписывается экспертами органа по сертификации, проводившими сертификацию, и утверждается руководителем органа по сертификации.

22. В случае несоответствия реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке экспертное заключение, содержащее такой вывод, направляется изготовителю.

Изготовитель устраняет выявленные несоответствия процессов (процедур) безопасной разработки программного обеспечения требованиям по безопасной разработке и информирует об этом орган по сертификации.

23. Повторная сертификация проводится органом по сертификации в объеме, необходимом для проверки устранения выявленных несоответствий.

По результатам повторной сертификации оформляются протоколы повторной сертификации и экспертное заключение.

24. В случае соответствия реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке орган по сертификации подготавливает проект сертификата соответствия (рекомендуемый образец приведен в приложении N 3 к настоящему Порядку) и представляет материалы сертификации в ФСТЭК России.

Материалы сертификации должны включать:

экспертное заключение;

проект сертификата соответствия;

протоколы сертификации;

протоколы повторной сертификации и экспертное заключение (в случае проведения повторной сертификации);

руководство по безопасной разработке программного обеспечения;

документацию по безопасной разработке программного обеспечения, представленную изготовителем при проведении сертификации.

Все документы, за исключением документации по безопасной разработке программного обеспечения, представляются на бумажном носителе и в электронном виде. Документация по безопасной разработке программного обеспечения представляется только в электронном виде.

25. В случае если в экспертном заключении содержится вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов сертификации принимает решение об отказе в выдаче сертификата соответствия.

26. В случае если в экспертном заключении содержится вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 30 календарных дней со дня поступления материалов сертификации рассматривает их и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

27. В случае выявления в материалах сертификации недостатков ФСТЭК России направляет органу по сертификации и изготовителю уведомление о выявленных в материалах сертификации недостатках с их описанием и предложениями по устранению.

28. Орган по сертификации с участием изготовителя в срок не позднее 30 календарных дней со дня подписания уведомления о выявленных в материалах сертификации недостатках устраняет выявленные недостатки, при необходимости проводит повторную сертификацию и представляет в ФСТЭК России доработанные материалы сертификации.

29. В случае непредставления органом по сертификации в установленный срок доработанных материалов сертификации ФСТЭК России принимает решение об отказе в выдаче сертификата соответствия.

Решение об отказе в выдаче сертификата соответствия подписывается уполномоченным должностным лицом ФСТЭК России и в срок не позднее 5 рабочих дней со дня подписания вручается изготовителю и органу по сертификации или направляется им почтовым отправлением.

30. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в перечень сертификатов соответствия процессов безопасной разработки программного обеспечения требованиям по безопасной разработке (далее - перечень сертификатов соответствия).

Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на три года.

Сертификат соответствия в течение 10 рабочих дней после подписания вручается изготовителю или направляется ему заказным почтовым отправлением.

31. Срок действия сертификата соответствия может быть продлен в порядке, предусмотренном для сертификации процессов безопасной разработки программного обеспечения в соответствии с пунктами 4 - 30 настоящего Порядка.

32. В случае утраты сертификата соответствия изготовитель вправе обратиться в ФСТЭК России с заявлением о выдаче дубликата сертификата соответствия.

В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия ФСТЭК России оформляет дубликат на бланке сертификата соответствия с пометкой "дубликат, оригинал сертификата соответствия признается недействующим" и вручает изготовителю или направляет ему почтовым отправлением.

33. Сертификат соответствия подлежит переоформлению в случае:

а) реорганизации изготовителя в форме преобразования;

б) изменения наименования изготовителя;

в) изменения адреса юридического лица в пределах места нахождения юридического лица - изготовителя.

34. Для переоформления сертификата соответствия изготовитель либо его правопреемник представляют в ФСТЭК России заявление о переоформлении сертификата соответствия.

В заявлении о переоформлении сертификата соответствия указываются новые сведения об изготовителе или его правопреемнике.

Заявление о переоформлении сертификата соответствия представляется непосредственно в ФСТЭК России или направляется почтовым отправлением.

35. ФСТЭК России в срок, не превышающий 10 рабочих дней со дня получения заявления о переоформлении сертификата соответствия, осуществляет проверку достоверности содержащихся в заявлении о переоформлении сертификата соответствия новых сведений и принимает решение о переоформлении сертификата соответствия или об отказе в его переоформлении.

36. Основаниями для отказа в переоформлении сертификата соответствия является наличие в заявлении о переоформлении сертификата соответствия недостоверных сведений.

ФСТЭК России в течение 5 рабочих дней со дня принятия решения об отказе в переоформлении сертификата соответствия вручает изготовителю или его правопреемнику уведомление об отказе в переоформлении сертификата соответствия с указанием причин отказа или направляет его почтовым отправлением.

37. ФСТЭК России в течение 5 рабочих дней со дня принятия решения о переоформлении сертификата соответствия направляет почтовым отправлением или вручает изготовителю или его правопреемнику уведомление о переоформлении сертификата соответствия с приложением переоформленного сертификата соответствия и вносит сведения о переоформленном сертификате соответствия в перечень сертификатов соответствия.

38. Изготовитель в течение 5 рабочих дней со дня получения переоформленного сертификата соответствия представляет (направляет) в ФСТЭК России подлинник ранее выданного сертификата соответствия.

39. Действие сертификата соответствия приостанавливается в случаях:

а) установления факта несоответствия процессов безопасной разработки, реализованных изготовителем, требованиям по безопасной разработке на основании поступившей в ФСТЭК России информации;

б) обращения изготовителя о приостановлении действия сертификата соответствия.

40. Решение о приостановлении действия сертификата соответствия оформляется приказом ФСТЭК России.

Действие сертификата соответствия может быть приостановлено на срок не более 90 календарных дней.

41. ФСТЭК России в течение 5 рабочих дней со дня принятия решения о приостановлении действия сертификата соответствия направляет почтовым отправлением или вручает изготовителю уведомление о приостановлении действия сертификата соответствия.

В случае приостановления действия сертификата соответствия на основании подпункта "а" пункта 39 настоящего Порядка в уведомлении указываются несоответствия процессов безопасной разработки, реализованные изготовителем, требованиям по безопасной разработке.

42.  В случае приостановления действия сертификата соответствия на основании подпункта "а" пункта 39 настоящего Порядка изготовитель устраняет выявленные несоответствия требованиям по безопасной разработке, проводит с привлечением органа по сертификации дополнительную сертификацию в части процессов безопасной разработки, в которых были установлены несоответствия требованиям по безопасной разработке, представляет в ФСТЭК России экспертное заключение органа по сертификации и протокол дополнительной сертификации.

43. Действие сертификата соответствия возобновляется в случае:

устранения изготовителем несоответствия процессов безопасной разработки программного обеспечения требованиям по безопасной разработке;

обращения изготовителя о возобновлении действия сертификата соответствия в случае, если действие сертификата соответствия было приостановлено на основании подпункта "б" пункта 39 настоящего Порядка.

44. Решение о возобновлении действия сертификата соответствия оформляется приказом ФСТЭК России.

ФСТЭК России в течение 5 рабочих дней со дня принятия решения о возобновлении действия сертификата соответствия направляет почтовым отправлением или вручает изготовителю уведомление о возобновлении действия сертификата соответствия.

45. ФСТЭК России вносит сведения о приостановлении и возобновлении действия сертификата соответствия в перечень сертификатов соответствия.

46. Действие сертификата соответствия прекращается в случаях:

а) непредставления изготовителем в установленный срок материалов, подтверждающих устранение несоответствия процессов безопасной разработки программного обеспечения требованиям по безопасной разработке;

б) обращения изготовителя о прекращении действия сертификата соответствия.

47. Решение о прекращении действия сертификата соответствия оформляется приказом ФСТЭК России.

ФСТЭК России в течение 5 рабочих дней со дня принятия решения о прекращении действия сертификата соответствия направляет почтовым отправлением или вручает изготовителю уведомление о прекращении действия сертификата соответствия.

48. Изготовитель в течение 5 рабочих дней со дня получения уведомления о прекращении действия сертификата соответствия представляет (направляет) в ФСТЭК России подлинник сертификата соответствия.

49. ФСТЭК России вносит сведения о прекращении действия сертификата соответствия в перечень сертификатов соответствия.

50. В случае прекращения действия сертификата соответствия на основании подпункта "а" пункта 46 настоящего Порядка изготовитель вправе подать заявку на сертификацию процессов безопасной разработки программного обеспечения по истечении 12 месяцев с даты принятия ФСТЭК России решения о прекращении действия сертификата соответствия.

Приложение N 1
к Порядку сертификации процессов безопасной разработки
программного обеспечения средств защиты информации,
утвержденному приказом ФСТЭК России от ноября 2023 г. N

Рекомендуемый образец

ЗАЯВКА
на сертификацию процессов безопасной разработки программного обеспечения

Наименование изготовителя, его организационно-правовая форма:
Адрес юридического лица в пределах места нахождения юридического лица - изготовителя:
Адрес для корреспонденции изготовителя:
Фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию процессов безопасной разработки программного обеспечения:
Номер телефона и адрес электронной почты (при наличии) изготовителя:
Наименование органа по сертификации, в котором планируется проведение сертификации:
Заявляемый срок действия сертификата соответствия:
Должность руководителя изготовителя	М.П. подпись, инициалы, фамилия "__" _________ 20__ г.

Приложение N 2
к Порядку сертификации процессов безопасной разработки
программного обеспечения средств защиты информации,
утвержденному приказом ФСТЭК России от ноября 2023 г. N

Рекомендуемый образец

Федеральная служба по техническому и экспортному контролю     РЕШЕНИЕ о проведении сертификации процессов безопасной разработки программного обеспечения     N        от " " 20_ г.
Переоформлено:		__________________________________________________ дата
Изготовитель:		__________________________________________________ организационно-правовая форма и наименование изготовителя
Адрес юридического лица:		__________________________________________________ адрес юридического лица в пределах места нахождения юридического лица - изготовителя
Орган по сертификации:		наименование органа по сертификации
должность уполномоченного лица ФСТЭК России		подпись	инициалы, фамилия

Приложение N 3
к Порядку сертификации процессов безопасной разработки
программного обеспечения средств защиты информации,
утвержденному приказом ФСТЭК России от ноября 2023 г. N

Рекомендуемый образец

	Система сертификации средств защиты информации ФСТЭК России
	СЕРТИФИКАТ СООТВЕТСТВИЯ N
	номер сертификата соответствия
Выдан: _______________________________
дата выдачи сертификата соответствия
Действителен до: _____________________________________
дата окончания срока действия сертификата соответствия
Переоформлен: _________________________________________
дата переоформления сертификата соответствия
Дубликат, оригинал сертификата соответствия признается недействующим (в случае предоставления дубликата)
Настоящий сертификат удостоверяет, что процессы безопасной разработки, реализованные_______________________________________________________, наименование изготовителя
соответствуют положениям национального стандарта ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".
Сертификат выдан на основании результатов сертификации, проведенной органом по сертификации _____________________________________________
наименование органа по сертификации (аттестат аккредитации___________________________________________)
дата выдачи и номер аттестата аккредитации органа по сертификации
экспертное заключение от ________________________________________,
дата утверждения экспертного заключения
Должность уполномоченного лица ФСТЭК России
м.п.	подпись	инициалы, фамилия

-------------------------------------------

*(1) Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. N 458-ст (М., "Стандартинформ", 2016).

*(2) Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608.

*(3) Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационно-телекоммуникационной сети "Интернет" в соответствии с Порядком ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, утвержденным приказом ФСТЭК России от 18 июня 2015 г. N 67 "Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий" (зарегистрирован Минюстом России 10 июля 2015 г., регистрационный N 37974).

*(4) Пункты 41 и 42 Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденных приказом ФСТЭК России от 10 апреля 2015 г. N 33 (зарегистрирован Минюстом России 20 мая 2015 г., регистрационный N 37342).