Упрощенная схема продления сертификата соответствия средства защиты информации
В ходе эксплуатации средств защиты информации периодически возникает ситуация, когда эксплуатирующая средство защиты организация в ходе контроля эффективности мер защиты или перед повторной аттестацией объекта информатизации узнаёт, что производитель средства защиты не имеет намерений продлять срок действия сертификата соответствия. Как поступать в такой ситуации? Продолжать эксплуатировать средство защиты информации до окончания срока действия аттестата соответствия на объект информатизации? Приобретать новое средство защиты информации?
Существует упрощенная схема продления сертификата соответствия средств защиты информации.
В соответствии с информационным сообщением ФСТЭК России от 23.01.2015 № 240/24/223 «По вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации» на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.
Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.
Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия.
Такое продление сертификата соответствия возможно при соблюдении следующих условий:
- средство защиты информации функционирует с требуемой эффективностью;
- в организации имеется в наличии эксплуатационная документация на средство защиты информации;
- на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертификационной продукции;
- своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.
К заявке прилагаются протоколы оценки эффективности средства защиты информации (для средств защиты информации от утечки по техническим каналам) или протоколы оценки защищенности информации от несанкционированного доступа (для средств защиты информации от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.
Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.
Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, аккредитованной в качестве органа по аттестации объектов информатизации, или организацией, имеющей соответствующую лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации). Для средств защиты информации, эксплуатируемых на объектах информатизации, предназначенных для обработки информации, не содержащей сведения, составляющие государственную тайну, протоколы оформляются организацией, имеющей соответствующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, или организацией, эксплуатирующей данные средства защиты информации.
В протоколах указывается идентификационная информация о средстве защиты информации, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство защиты информации, номер и срок действия сертификата соответствия. Дополнительно в протоколе оценки защищенности информации от несанкционированного доступа приводятся данные о контрольных суммах неизменяемых файлов инсталлированного программного обеспечения средства защиты информации с выводом об их соответствии контрольным суммам программного обеспечения, указанным в эксплуатационной документации, а также идентификационная информация об использованном средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.
При поступлении в ФСТЭК России заявки на продление срока действия сертификата соответствия и необходимых протоколов осуществляется их рассмотрение и принимается решение о возможности продления срока действия сертификата соответствия. В случае принятия положительного решения ФСТЭК России оформляется продленный сертификат соответствия на средство защиты информации, который направляется заявителю в соответствии с указанным в заявке почтовым адресом. В случае принятия отрицательного решения заявителю направляется обоснованный отказ о продлении срока действия сертификата соответствия.
|
|
Начальнику 2 управления ФСТЭК России ____________________________ |
(Номер исходящего и дата оформления заявки) |
|
Старая Басманная ул., д. 17, К-175 г. Москва, 105175 |
ЗАЯВКА
на продление срока действия сертификата соответствия в Системе сертификации средств защиты информации по требованиям безопасности информации
№ POCC RU.0001.01БИ00
(Указывается полное наименование и организационно-правовая форма юридического лица) просит продлить срок действия сертификата соответствия № (указывается номер сертификата соответствия) от (указывается дата регистрации сертификата ) на (указывается наименование средства в соответствии с указанным в сертификате) (указывается количество изделий, их заводские номера, номера знаков соответствия для маркирования сертифицированной продукции).
Протокол оформлен (наименование организации, номер аттестата или лицензии, дата регистрации аттестата или лицензии) (дата оформления протокола).
Сертификат просим выслать в наш адрес на имя (указываются должность, фамилия, имя и отчество (полностью) руководителя или его заместителя).
Место нахождения: (указывается адрес местонахождения юридического лица).
Адрес для переписки: (указывается почтовый адрес юридического лица).
Телефон для связи: (указывается номер телефона).
Контактное лицо: (указывается фамилия имя и отчество специалиста, оформившего заявку).
(Наименование должности) (Подпись руководителя)