В Федеральную службу по техническому и экспортному контролю (ФСТЭК России) от организаций, эксплуатирующих сертифицированные средства защиты информации, поступают вопросы о порядке продления сроков действия сертификатов соответствия, выданных ФСТЭК России в пределах ее компетенции, на данные средства защиты информации.

В целях разъяснения отдельных процедур продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации, считаем необходимым сообщить следующее.

В соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995 г. N 199, на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, самостоятельно организует продление срока действия данного сертификата соответствия.

Такое продление срока действия сертификата соответствия возможно при соблюдении следующих условий:

средство защиты информации функционирует с требуемой эффективностью;

в организации имеется в наличии эксплуатационная документация на средство защиты информации;

на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;

своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия (образец заявки прилагается).

К заявке прилагаются протоколы оценки эффективности средства защиты информации (для средств защиты информации от утечки по техническим каналам) или протоколы оценки защищенности информации от несанкционированного доступа (для средств защиты информации от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, аккредитованной в качестве органа по аттестации объектов информатизации, или организацией, имеющей соответствующую лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, не содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, имеющей соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, или организацией, эксплуатирующей данные средства защиты информации.

В протоколах указывается идентификационная информация о средстве защиты информации, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство защиты информации, номер и срок действия сертификата соответствия.

Дополнительно в протоколе оценки защищенности информации от несанкционированного доступа приводятся данные о контрольных суммах неизменяемых файлов инсталлированного программного обеспечения средства защиты информации с выводом об их соответствии контрольным суммам программного обеспечения, указанным в эксплуатационной документации, а также идентификационная информация об использованном средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.

При поступлении в ФСТЭК России заявки на продление срока действия сертификата соответствия и необходимых протоколов осуществляется их рассмотрение и принимается решение о возможности продления срока действия сертификата соответствия. В случае принятия положительного решения ФСТЭК России оформляется продленный сертификат соответствия на средство защиты информации, который направляется заявителю в соответствии с указанным в заявке почтовым адресом. В случае принятия отрицательного решения заявителю направляется обоснованный отказ в продлении срока действия сертификата соответствия.

Приложение
к информационному сообщению
Федеральной службы по техническому
и экспортному контролю
от 23 января 2015 г. № 240/24/223

Начальнику 2 управления
ФСТЭК России

Старая Басманная ул., д. 17, г. Москва, 105066

(Исходящий номер и дата подписания заявки)

ЗАЯВКА
на продление срока действия сертификата соответствия в Системе сертификации средств защиты информации по требованиям безопасности информации N POCC RU.0001.01БИ00

(Указывается полное наименование и организационно-правовая форма юридического лица) просит продлить срок действия сертификата соответствия от (указывается дата выдачи сертификата) N (указывается номер сертификата соответствия) (указывается наименование продукции в соответствии с сертификатом соответствия) (указывается количество изделий, их заводские номера, номера знаков соответствия, которыми маркирована сертифицированная продукция).

Протокол оформлен (наименование организации, номер аттестата аккредитации или лицензии, дата выдачи аттестата аккредитации или лицензии) (дата оформления протокола).

Сертификат просим выслать в наш адрес на имя (указываются должность, фамилия, имя и отчество (полностью) руководителя или его заместителя).

Место нахождения: (указывается фактический адрес юридического лица).

Адрес для переписки: (указывается почтовый адрес юридического лица).

Телефон для связи: (указывается номер телефона).

Контактное лицо: (указывается должность, фамилия имя и отчество специалиста, оформившего заявку).

Приложение:

Протокол ...

(Наименование должности)                (Подпись руководителя)

                                        (Печать)