Приказ ФСТЭК России от 03.04.2018 № 55

Что такое аттестация?

Кто-то под аттестацией понимает оценку соответствия (проще говоря, оценку защищенности) аттестуемого объекта требованиям безопасности, т.е. его тестирование (испытания) с выдачей аттестационных документов:

  • программа и методики аттестационных испытаний,
  • протокол аттестационных испытаний,
  • заключение аттестационных испытаний,
  • аттестат соответствия (выдается в случае положительного заключения).

А кто-то в это понятие включает и подготовку (защиту) аттестуемого объекта, необходимую для его аттестации. Подготовка в соответствии с нормативными документами ФСТЭК России включает в себя следующие этапы и отчетные документы:

  • Обследование:
    отчет об обследовании,модель угроз и нарушителя безопасности информации,акт классификации,техническое задание на создание системы защиты.
  • отчет об обследовании,
  • модель угроз и нарушителя безопасности информации,
  • акт классификации,
  • техническое задание на создание системы защиты.
  • Проектирование системы защиты:
    технический проект на систему защиты информации,эксплуатационная документация на систему защиты информации.
  • технический проект на систему защиты информации,
  • эксплуатационная документация на систему защиты информации.
  • Внедрение системы защиты:
    установка и настройка средств защиты информации,разработка организационно-распорядительной документации по защите информации.
  • установка и настройка средств защиты информации,
  • разработка организационно-распорядительной документации по защите информации.

В итоге между заказчиками и исполнителями работ по аттестации (лицензиатами ФСТЭК) существует недопонимание, в том числе в трудоемкости (стоимости) работ, так как провести работы только по оценке защищенности объекта или подготовить объект к оценке и провести его аттестацию — это совершенно разные вещи. А еще хуже, если указанные стороны нарушают требования законодательства, объединяя работы по подготовке и аттестации в одну процедуру – «аттестация».

Как правильно? Давайте разбираться

Кстати, а что будет, если объект не подготовить перед аттестацией? Правильно – положительного заключения и аттестата соответствия не видать. Поэтому, чтобы получить аттестат, нужно сначала напичкать аттестуемый объект средствами защиты для соответствия требованиям безопасности информации. Тогда при аттестации защищённость объекта будет подтверждена, а не опровергнута.

Для того, чтобы разобраться, давайте определимся, что же такое аттестация?

Данное определение точки над «i» не расставляет.
Однако, если посмотреть дальше, в частности пункт 1.8. Положения по аттестации, то становится ясно, что в понятие «аттестация» входит только «оценка соответствия», т.е. испытания/тестирование, но никак не подготовка (защита) объекта аттестации.

Дополнительный железный аргумент в пользу того, что в аттестацию не должна входить подготовка объекта информатизации, — пункт 17 приказа ФСТЭК № 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМА» от 11.02.2013, в котором четко обозначены этапы проведения работ. Аттестация числится на 4 месте:
«13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие».

Вывод: в процедуру «аттестация» не должна входить подготовка объекта информатизации к аттестации. Если объект информатизации к аттестации не готов, то сначала необходимо выполнить работы по подготовке объекта и только затем проводить работы по аттестации.

Типы аттестуемых объектов информатизации

Типы аттестуемых объектов информатизации определяются нормативной документацией ФСТЭК России. В настоящее время существует всего два типа аттестуемых объектов:

  • Защищаемые помещения (помещения для ведения конфиденциальных переговоров);
  • Автоматизированные системы (компьютерные системы).

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Для кого аттестация является обязательной?

Обязательной аттестация является для автоматизированных информационных систем, являющихся государственными, что установлено следующими пунктами нормативной документации ФСТЭК России:

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Срок действия аттестата

В соответствии со следующими пунктами нормативно-правовых актов ФСТЭК России аттестат выдается не более чем на три года:

  • пункт 3.8.4. положения по аттестации;
  • пункт 6.6.4. ГОСТ РО 0043-003-2012.

А для государственных информационных систем, в соответствии с пунктом 17.4 приказа ФСТЭК № 17, срок действия аттестата не может превышать 5 лет.

Переаттестация (повторная аттестация)

Переаттестацией считается процедура повторной аттестации ранее аттестованного объекта.
Переаттестация, как правило, проводится прямо к окончанию действия аттестата, но может быть проведена и существенно раньше окончания срока его действия, например, по причинам внесения изменений в систему защиты информационной системы.

На практике переаттестацией считается и процедура повторной аттестации объекта информатизации, срок действия аттестата которого закончился. Так делается потому, что все же объект информатизации ранее был аттестован, и оценка его защищенности уже проводилась.

Для переаттестации объекта информатизации собственник (владелец) автоматизированной системы обращается к тому же лицензиату ФСТЭК России, который ранее проводил аттестацию объекта информатизации, или к иному лицензиату, что также допустимо.

Переаттестация, как правило, проводится по причине внесения изменений в аттестованный объект информатизации. Такими изменениями являются:

  • Изменения в системе защиты информации (изменения в составе средств защиты, например, замена средства защиты или изменение версии или параметров настройки средств защиты информации).
  • Изменения в составе автоматизированной системы (расширение количества защищаемых объектов вычислительной техники и(или) защищаемых ресурсов).
  • Изменения в составе обслуживающего персонала, так как в соответствии с нормативной документацией ФСТЭК России при аттестации также проверяется распределение обязанностей обслуживающего персонала и их знание требований по безопасности информации.

Можно ли вносить изменения в аттестованную систему?

Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.

Какие изменения могут влиять на защищенность?

В первую очередь это:

  • изменения в параметрах настройки системы защиты информации;
  • изменения в составе средств защиты информации;
  • изменения в составе защищаемых информационных ресурсов (расширение/увеличение их количества);
  • изменения в составе защищаемых объектов вычислительной техники (расширение/увеличение их количества).

В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.

Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.

Кто выдает аттестат?

Аттестат имеет право выдавать только лицензиат ФСТЭК России. А в случае аттестации объекта информатизации, на котором осуществляется обработка секретной информации (отнесенной к государственной тайне), у лицензиата ФСТЭК России в соответствии с пунктом 4.3. ГОСТ РО 0043-003-2012 также должен быть аттестат аккредитации органа по аттестации (далее — ОА) объектов информатизации.

Многие заказчики допускают ошибку, требуя аттестат аккредитации ОА у лицензиатов ФСТЭК России при заказе работ по аттестации объектов информатизации, на которых обрабатывается только конфиденциальная информация. Но их можно понять, так как информация о том, что аттестат аккредитации требуется только при аттестации секретных объектов,  имеет закрытый характер (ГОСТ РО 0043-003-2012 имеет гриф ДСП), и данной информацией владеют только сами лицензиаты ФСТЭК России.

Порядок выдачи аттестата (как выдается аттестат)

При аттестации конфиденциальных объектов:

  • Лицензиат ФСТЭК России проводит работы по аттестации и выдает заказчику аттестат соответствия  (в случае положительного заключения о соответствии объекта требованиям безопасности информации).
  • Лицензиат ФСТЭК России сам регистрирует выданный аттестат в реестре выданных аттестатов.
  • Лицензиат ФСТЭК России периодически отчитывается во ФСТЭК России о проведенных работах по аттестации и выданных аттестатах, в том числе при плановых проверках лицензиата уполномоченным органом (ФСТЭК России).
Читать также:  В какой колонке формы st.1 должен быть указан регистрационный номер сертификата?

При аттестации секретных объектов:

  • Лицензиат ФСТЭК России с аттестатом аккредитации органа по аттестации (далее — орган по аттестации) проводит работы по аттестации и направляет отчетные документы по аттестации на экспертизу во ФСТЭК России.
  • В случае положительного прохождения экспертизы отчетных документов во ФСТЭК России лицензиат ФСТЭК выдает заказчику аттестации аттестат соответствия.
  • Орган по аттестации сам регистрирует выданный аттестат в реестре выданных аттестатов.

Кто регулятор (законодательный орган) по аттестации?

Регулятором в области аттестации объектов информатизации является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Официальный сайт ведомства – fstec.ru
Адрес ведомства: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела по технической защите информации: 8 (499) 263-27-75

Кто и как контролирует аттестованные объекты?

ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.

В соответствии с нормативно-правовыми актами ФСТЭК России:

  • Лицензиат ФСТЭК России обязан проводить ежегодный контроль аттестованных им объектов.
  • По результатам ежегодного контроля оформляются протоколы и заключение о соответствии аттестованного объекта информатизации требованиям по безопасности информации.
  • В случае, если защищенность объекта информатизации подтверждается, то в аттестат соответствия вносится запись о проведении ежегодного контроля с положительным результатом и возможности продолжить обработку защищаемой информации на объекте информатизации.
  • В случае отрицательного результата ежегодного контроля аттестат аннулируется (отзывается).

Чем отличается аттестация от декларации соответствия?

Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».

В частности, это указано в НПА:

  • «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
  • ГОСТ Р 51624-2000;
  • ГОСТ РО 0043-003-2012;
  • Положение по аттестации объектов информатизации;
  • и др. нормативные документы ФСБ и ФСТЭК России.

Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.

Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.

Итого мы имеем:
Аттестация:

  • Оценку соответствия (защищенности) проводит только внешний аудитор – лицензиат ФСТЭК России с пунктом в лицензии «аттестация».
  • Процедура аттестации законодательно закреплена.
  • Регулятор в области аттестации – ФСТЭК России, и поэтому доверие к аттестованному объекту максимально возможное.
  • Декларирует защищенность объекта сам заказчик (владелец объекта).
  • Процедура декларации соответствия неизвестна (непонятна), так как законодательно не закреплена.
  • Доверия к декларации соответствия у регуляторов (ФСБ, ФСТЭК, Роскомнадзор) нет, и поэтому спрос при плановых и внеплановых проверках максимальный (так, как будто работы по защите информации вообще не проводились).

Стоимость аттестации

Стоимость аттестации прямо зависит от:

Т.е. стоимость аттестации того или иного объекта зависит от нескольких факторов и определяется индивидуально.

Узнать сколько будет стоить аттестация применительно к вам можно по телефону: 8(800)-550-44-71

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

  • на объекте не соблюдаются требования по безопасности;
  • изменены параметры настройки средств защиты информации;
  • изменен состав средств защиты информации;
  • увеличен состав защищаемых ресурсов;
  • увеличен состав защищаемых объектов вычислительной техники;
  • не осуществляется ежегодный контроль защищенности аттестованного объекта с внесением в аттестат соответствующей записи о проведении контроля;
  • изменен состав обслуживающего персонала.

При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.

Ответственность за аттестованный объект информатизации

Ответственность за аттестованный объект обоюдно несут два субъекта:

  • Владелец объекта, осуществляющий использование и обслуживание объекта. Владелец обязан обеспечить неизменность условий функционирования аттестованного объекта и технологии обработки защищаемой информации.
  • Лицензиат ФСТЭК России, проводивший аттестацию объекта и затем проводящий ежегодный контроль объекта. Лицензиат ФСТЭК России несет ответственность за защищенность объекта в случае выполнения заказчиком своих обязанностей (см пункт 1).

Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.

Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.

Какие требования по безопасности к информационным системам?

Требования по безопасности зависят в первую очередь от типа объекта.
Например, для государственных информационных систем требования по безопасности установлены приказом ФСТЭК № 17, а для информационных систем персональных данных требования установлены приказом ФСТЭК № 21.

Полный перечень типов автоматизированных систем и типовых требований, по которым они, как правило, аттестуются представлен ниже:

Также в зависимости от типа автоматизированной системы определяются классы защищенности применяемых средств защиты информации, что немаловажно.

Например, 26 пунктом 17 приказа ФСТЭК четко определены требования к классам защищенности средств защиты:

  • «в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей».

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.

Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.

Следуя букве Федерального закона № 99-ФЗ от 04.05.2011г. «О лицензировании отдельных видов деятельности», организации, оказывающие услуги, связанные с технической защитой конфиденциальной информации, обязаны иметь соответствующую лицензию. Лицензированием соискателей занимается определенный государственный орган — ФСТЭК РФ на основании Постановления Правительства РФ № 79 от 03.02.2012 «О лицензировании деятельности по технической защите конфиденциальной информации». Он же устанавливает срок действия лицензии ФСТЭК и осуществляет надзор за правомерностью действий лицензиатов.

Сколько действует лицензия?

Разрешительный документ ФСТЭК РФ выдается на основании заявления соискателя после предоставления им всех необходимых, корректно оформленных документов, основные из которых:

  • Подтверждение квалификации сотрудников в соответствии с выбранным родом деятельности.
  • Копии бумаг о форме собственности нужной для работы недвижимости и соответствии ее требованиям нормативов.
  • Документальное подтверждение наличия необходимого, прошедшего калибровку и поверку, оборудования; прошедших аттестацию АС; а также сертифицированного ПО и средств контроля.
  • Документальное подтверждение наличия всей правовой и нормативной базы с законным правом обладания ею.

В соответствии со спецификой деятельности соискателя устанавливается срок действия лицензии ФСТЭК. Так, на гостайну он равен 5 годам, а срок действия лицензии ФСТЭК на ТЗКИ неограничен. Лицензия на СЗКИ тоже бессрочная. Хотя в некоторых случаях срок может быть и меньше, если это необходимо заявителю.

Правда, важно не только получить лицензию, но и уметь сохранить ее. Ведь потеря разрешительного документа оборачивается большими убытками для компании.

Основные причины приостановления действия лицензии

К приостановлению действия лицензии ФСТЭК приводят грубые нарушения в части требований к имеющемуся персоналу, помещениям и оборудованию.

Как показывает практика, особенно часто это происходит из-за истечения срока действия сертификата средств защиты информации. Не нужно забывать, что на занятые в работе устройства ПЭМИН (спектроанализаторы, антенны) обязательно делать ежегодную поверку. Непременно нужно обновлять и лицензионный контент, ведь разрешение на использование его обычно не превышает года.

Остальные средства защиты информации оформляются на срок до 5-ти лет, в соответствии с заявкой на сертификацию. Использование средств защиты информации с истекшим сроком также возможно, если требования безопасности информации соблюдены, техническая поддержка осуществляется и подана заявка на продление срока действия сертификата.

Мы понимаем, что лицензия ФСТЭК – это гарантия стабильности и конкурентного преимущества компании. Поэтому сделаем все, чтобы соискатель поучил ее в самые короткие сроки.

Законодательство

Оформление сертификата качества проходит согласно госсистеме сертификации ГОСТ Р, которая получила максимальное распространение в пределах РФ.

На фоне преобразования нацсистемы стандартизации и введения в действие регламентов ТС, обязательная процедура проверки в формате ГОСТ Р отошла на второй план, однако не утратила актуальности.

Читать также:  Ни одного сертификата из базы данных не зарегистрировано на веб портале сбис

Оформление разрешительных актов происходит по законодательству РФ и осуществляется специализированными организациями с государственной аккредитацией от Росаккредитации.

В России процедура базируется на:

Предусмотрено получение сертификата независимо от местонахождения предприятия — в стране он признается повсеместно.

Перечень продукции, подлежащей сертификации ГОСТ Р

Обязательный сертификат соответствия ГОСТ Р подтверждает соблюдение требований в вопросах гарантии безопасности продукции отечественного и зарубежного производства.

Правительством был разработан Перечень продукции, которой предписано обязательное прохождение проверки в виде сертификация ГОСТ Р. Список постоянно редактируется. В него входят только новые изделия, которые предназначены для оснащения предприятий или для перепродажи конечным потребителям.

  • различное оборудование: радиаторы, фильтры для кондиционеров и т. д.;
  • природный газ и электроэнергия;
  • оружие и патроны;
  • трубы;
  • стальные канаты;
  • цемент.

Если продукция не относится к объектам, подлежащим обязательной проверке в системе ГОСТ Р и ТР ТС, возможно получение специального отказного письма, например, для транспортировки изделий из данной категории и прохождения приграничного контроля.

Сертификат не нужен, если продукция, которую ввозит в Россию предприниматель или юридическое лицо, предназначена исключительно для собственных нужд.

Основанием для добровольной проверки является обращение изготовителя, поставщика или реализатора. Полученный документ используется в первую очередь для достижения определенных маркетинговых целей — повышения уровня доверия к организации, расширения рынка сбыта. Наличие сертификата имеет значение для оптовиков — его оформление способствует заключению договоров с крупными торговыми центрами.

Заказать сертификат и получить оперативный и гарантированный результат можно обратившись за помощью в компанию «НТД Стандарт» в Москве.

Схемы сертификации продукции по ГОСТ Р

Схема сертификации определяется условиями производства или поставки. Согласно ГОСТ Р 53603 разработано более 10 различных схем, действующих определенным образом и применимых в разных случаях.

Вариант проведения процедуры определяет эксперт сертификационного центра при участии заявителя.

Схемы 1 — 6, 9а и 10а предусмотрены для серийного производства, а 7,8 и 9 — для отдельной партии или изделия в единственном числе.

Самыми популярными схемами являются: 3, 3а, 7 и 9.

Образец обязательного сертификата соответствия

Приказ ФСТЭК России от 03.04.2018 № 55

Бланк имеет зеленый цвет и соответствует утвержденному государственному образцу.

В нем содержится следующая информация:

  • Сведения об органе по сертификации.
  • Кто выступает заявителем
  • Кто является производителем продукции.
  • Главные отличительные признаки продукта (наименование, модель, торговая марка, артикул). Объем продукции — отдельная партия или серийное производство.
  • Коды по классификаторам ОКПД2 и ТН ВЭД
  • Нормативные документы, под действие которых попадает изделие.
  • Документы, на основании которых был выдан сертификат качества, например, протоколы исследований.

Если на самом бланке не хватает места для размещения всей обязательной информации, оформляют специальное приложение к сертификату. Это может быть, например, перечень моделей или филиалы предприятия.

Маркировка

Маркировка знаком соответствия подтверждает факт сертификации, а также свидетельствует о безопасности продукции при соблюдении условий эксплуатации.

Приказ ФСТЭК России от 03.04.2018 № 55

Законодательством установлены особенности нанесения изображения и требования к качеству внешнего вида. Знак наносят на цельную часть изделия и/или на упаковочную тару по соседству с другой обязательной или дополнительной информацией, а также на сопроводительную документацию технического характера.

Должны быть соблюдены очертания, размеры и другие характеристики.

В чем отличие сертификата ГОСТ Р от ТР ТС / ЕАЭС

Когда необходимость получения документа закреплена на законодательном уровне, только оформление документа дает законное право на производство, поставки и продажу импортных и отечественных товаров. Добровольные акты в обоих вариантах таким правом не обладают, а применяются для усиления конкурентоспособности продукта, повышения заинтересованности покупателей, получения преимуществ в рыночных условиях.

Порядок получения сертификата соответствия ГОСТ Р

Оформление разрешительной документации проходит в несколько этапов.

  • Подача заявки на проведение проверки.
  • Консультация с экспертом по выбору подходящей схемы и подготовке обязательной документации.
  • Предоставление полной информации о продукции.
  • Отбор образцов для проведения экспертиз.
  • Анализ производства, если это предусмотрено выбранной схемой.
  • Проведение исследований в лабораторных условиях.
  • Составление итоговых протоколов испытаний.
  • Оценка полученных результатов и заключение экспертов.

При вынесении положительного решения, заявителю выдают разрешительный документ.

Перечень необходимых документов

Вместе с заявкой в сертификационный центр заявитель должен предоставить пакет документов.

В обязательный перечень входят:

  • заявление установленного образца;
  • полное наименование и торговое название изделия;
  • устав и учредительные документы компании — юридического лица;
  • свидетельства о госрегистрации ИП (ИНН, ОГРН);
  • коды ТН ВЭД, ОКПД продукции;
  • технические условия, государственные стандарты, которыми руководствуются в процессе изготовления;
  • условия и требования эксплуатации;
  • свидетельства СМК, при условии внедрения системы на предприятии.

Для импортных товаров дополнительно потребуется спецификация контракта, инвойс, подробные сведения о производителе.

Стоимость и сроки оформления

Следует учесть, что цена сертификата соответствия ГОСТ Р рассчитывается индивидуально. Она зависит от специфики продукции, а также от целого ряда факторов, например, оформляется разрешение на производителя или на отдельный контракт.

Минимальный срок оформления 2-3 недели.

Оформить сертификат соответствия ГОСТ Р в компании «НТД Стандарт» в Москве

При обращении за помощью в нашу компанию вы значительно упростите задачу получения сертификата соответствия ГОСТ Р на любой вид продукции.

  • минимальные сроки оформления;
  • экспертное консультирование на всех этапах проверки;
  • наши специалисты помогут подготовить все необходимые документы;
  • возможность удаленного сотрудничества — все документы можно выслать по электронной почте.

Поможем сэкономить время, а также трудовые и финансовые расходы. Гарантируем результат и минимум хлопот. Для получения консультации звоните по номеру телефона
8 (800) 600-70-55 или отправьте запрос на электронную почту. Также вы можете заказать звонок нашего специалиста, оставив контактные данные на сайте.

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579; 2010, N 18, ст. 2238) и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 ПРИКАЗЫВАЮ:

Внести в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55 (зарегистрирован Министерством юстиции Российской Федерации 11 мая 2018 г., регистрационный N 51063), с изменениями, внесенными приказом ФСТЭК России от 5 августа 2021 г. N 121 (зарегистрирован Министерством юстиции Российской Федерации 27 октября 2021 г., регистрационный N 65594), изменения согласно приложению к настоящему приказу.

Директор Федеральной службы

по техническому и экспортному контролю

В.Селин

Приложение

к приказу ФСТЭК России

от 19 сентября 2022 г. N 172

ИЗМЕНЕНИЯ,

КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ

ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ

ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ОТ 3 АПРЕЛЯ 2018 Г. N 55

1. В пункте 23:

2. Абзац первый пункта 42 изложить в следующей редакции:

«42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория в течение 20 календарных дней со дня отбора образца (образцов) разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.».

3. В пункте 43:

в абзаце седьмом слова «30 календарных» заменить словами «10 рабочих»;

в абзаце одиннадцатом число 60″ заменить числом «30».

4. В пункте 58 число «45» заменить числом «30».

5. В пункте 59 число «90» заменить числом «30».

6. Дополнить пунктом 71.1 следующего содержания:

«71.1. Заявитель, являющийся разработчиком средства защиты информации и имеющий сертификат соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации, в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации или изменением имеющихся функций безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.».

7. Приложение N 1 изложить в следующей редакции:

«Приложение N 1

к Положению о системе

сертификации средств защиты информации,

утвержденному приказом ФСТЭК России

от 3 апреля 2018 г. N 55

ЗАЯВКА

на _________________________________________________________________

(сертификацию средства защиты информации, продление срока действия сертификата соответствия)

В Федеральную службу по техническому и экспортному контролю (ФСТЭК России) от организаций, эксплуатирующих сертифицированные средства защиты информации, поступают вопросы о порядке продления сроков действия сертификатов соответствия, выданных ФСТЭК России в пределах ее компетенции, на данные средства защиты информации.

В целях разъяснения отдельных процедур продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации, считаем необходимым сообщить следующее.

В соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995 г. N 199, на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Читать также:  Как получить сертификат на продажу носков

Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, самостоятельно организует продление срока действия данного сертификата соответствия.

Такое продление срока действия сертификата соответствия возможно при соблюдении следующих условий:

средство защиты информации функционирует с требуемой эффективностью;

в организации имеется в наличии эксплуатационная документация на средство защиты информации;

на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;

своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия (образец заявки прилагается).

К заявке прилагаются протоколы оценки эффективности средства защиты информации (для средств защиты информации от утечки по техническим каналам) или протоколы оценки защищенности информации от несанкционированного доступа (для средств защиты информации от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, аккредитованной в качестве органа по аттестации объектов информатизации, или организацией, имеющей соответствующую лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, не содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, имеющей соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, или организацией, эксплуатирующей данные средства защиты информации.

В протоколах указывается идентификационная информация о средстве защиты информации, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство защиты информации, номер и срок действия сертификата соответствия.

Дополнительно в протоколе оценки защищенности информации от несанкционированного доступа приводятся данные о контрольных суммах неизменяемых файлов инсталлированного программного обеспечения средства защиты информации с выводом об их соответствии контрольным суммам программного обеспечения, указанным в эксплуатационной документации, а также идентификационная информация об использованном средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.

При поступлении в ФСТЭК России заявки на продление срока действия сертификата соответствия и необходимых протоколов осуществляется их рассмотрение и принимается решение о возможности продления срока действия сертификата соответствия. В случае принятия положительного решения ФСТЭК России оформляется продленный сертификат соответствия на средство защиты информации, который направляется заявителю в соответствии с указанным в заявке почтовым адресом. В случае принятия отрицательного решения заявителю направляется обоснованный отказ в продлении срока действия сертификата соответствия.

Приложение

к информационному сообщению

ФСТЭК России

от 23 января 2015 г. N 240/24/223

Требования к качеству выпускаемой и изготавливаемой продукции постепенно растут не только со стороны государства, но и среди потребителей. В связи с этим, покупатели в последнее время, всё чаще, стали обращать внимание на наличие сертификата и отдавать предпочтение лишь тем компаниям и фирмам, которые сумели успешно подтвердить высокое качество своей продукции в независимых сертификационных органах.

Учитывая данную статистику, многие предприятия, довольно часто, задаются вопросом, как получить сертификат на продукцию при минимальных затратах времени и сил, а также максимальном достижении положительного результата сертификации.

Главными аспектами, которыми должен владеть соискатель при возникновении желания или необходимости оформления сертификата на продукцию выступают следующие моменты

  • знание кодов товара, на которые требуется получение разрешительного документа подтверждения – коды ОКП и ТНВЭД;
  • определение вида оформляемого сертификата (на обязательной или добровольной основе);
  • установление системы сертификации, в которой предстоит процедура подтверждения – система санитарного надзора и обязательной сертификации ТС или система обязательной сертификации ГОСТ Р.

Сертификат на продукцию (сертификат соответствия) – является документом официального образца, подтверждающим, что продукция или товар проверены независимой компетентной организацией для установления их соответствия предъявляемым требованиям.

Сертификат соответствия продукции, зачастую оформляется в целях

  • реализации продукции на территории России (для поставок на дальнейшую переработку или продажи и др.);
  • таможенного оформления продукции (помимо разъяснительного письма лишь сертификат на продукцию в системе ГОСТ Р может стать своеобразным «пропуском» продукции на таможне).

Сертификаты соответствия выдаются только аккредитованными сертификационными центрами, с предварительным проведением испытаний образцов продукции, осуществляемых специальными лабораториями, имеющими право на выполнение подобной деятельности.

Виды сертификатов соответствия продукции

  • сертификат в системе ГОСТ Р – форма документа, выданного в рамках национальной сертификационной системы страны. ГОСТ сертификация продукции базируется на государственных стандартах, утверждённых и разработанных на каждый вид продукции (товара), и включает множество требований и правил. Если производимая продукция не удовлетворяет им всем, её выпуск, изготовление и реализация на территории России считаются незаконными. Сертификат соответствия, полученный в данной системе, подтверждает полное соответствие продукции отечественным и международным стандартам, техническим условиям и прочим документам, определяющим требования к товару. Сертификат соответствия может выдаваться на обязательной и добровольной основе общим сроком в пределах 3 лет. Обязательный сертификат оформляется на товар, вошедший в специальное Постановление Правительства РФ. Добровольные сертификаты могут быть оформлены на любой вид продукции по собственному желанию заказчика. При этом в добровольном порядке возможно подтверждение соответствие продукции любым документам, включая отдельные пункты договора;
  • сертификат в системе технических регламентов (общих положений ТС) – данная система сертификации является сравнительно новой, поскольку её создание связано с возникновением необходимости более полного контроля уровня качества некоторой продукции. Сертификат соответствия, выданный в системе техрегламентов, представляет собой документ, подтверждающий, что товар отвечает требованиям действующих ТР. Такой вид сертификата может быть лишь обязательным. Перечень товара, который следует проверять на соответствие ТР, содержится в самом техрегламенте. В целом срок действия сертификата соответствия продукции ТР не может превышать 5 лет.

При этом сертификаты на продукцию, получаемые на обязательной основе, предусматривают прохождение образцами продукции лабораторных испытаний с участием контролирующих органов.

Особенности получения и оформления сертификата на продукцию

Сертификат соответствия на продукцию может быть получен, как юридическим лицом, так и частными предпринимателями, имеющими соответствующий правовой статус в зависимости от выбора соответствующей схемы сертификации и общей специфики продукции.

Существует несколько основных схем получения сертификата на продукцию

  • на контракт – сертификация импортируемого товара осуществляется на основании проведённых испытаний, а в итоговом документе сертификата обязательно указывается контракт. Подобная схема рекомендована при выполнении регулярных поставок продукции. Сертификат оформляется на 1 год;
  • на заявителя или на серийное производство – сертификация может проводиться либо с анализом производства, либо без него. Методология получения сертификата по данной схеме разработана для компаний, характеризующихся стабильным и высоким качеством выпуска продукции. Срок действия документа может достигать 3 лет;
  • на партию – используется в случаях, если предприятие планирует изготовить и реализовать ограниченную партию продукции, носящую разовый характер. Сертификат оформляется после проведения испытаний и содержит конкретизированную информацию о номере контракта, размере партии и инвойсе. Документ имеет неограниченный срок действия.

Чтобы получить сертификат соответствия соискателю необходимо предоставить определённый комплект документов, который включает

  • заявление установленного образца;
  • уставные документы;
  • статистические коды фирмы-заявителя;
  • свидетельство ОГРН и ИНН;
  • договора или контракты на поставки;
  • спецификация к контракту или инвойс;
  • арендные договора или документ о праве собственности производственными площадями;
  • паспорт с указанием технических характеристик (руководство или инструкции по эксплуатации, описание внешнего вида продукции, области её применения и др.);
  • технологический регламент (иные документы, в которых прописывается технология производства);
  • нормативно-технические документы (технические условия или ГОСТы);
  • этикетка с маркировкой;
  • санитарно-эпидемиологическое заключение (если это необходимо);
  • ассортиментный перечень изготавливаемой продукции (буклеты, каталоги и др.);
  • сертификаты на используемые материалы.

Все сертификаты на продукцию обладают индивидуальным номером, регистрируются в специальном реестре и выдаются на защищённом бланке строгой отчётности жёлтого (обязательный) или голубого (добровольный) цвета. Это позволяет защитить отечественную систему сертификации от появления и распространения поддельных свидетельств качества.

Минимальный срок действия сертификата на продукцию ограничивается партией товара, а максимальный – может достигать 3 лет.

Процесс получения сертификатов на продукцию на данный момент рассматривается государством в качестве эффективного механизма цивилизованного регулирования рынка для его постоянного надлежащего развития и совершенствования.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *