Точный
Действующий
Текст

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 1 декабря 2023 года № 240

Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации



В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и пунктом 9 приложения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330,

приказываю:

1. Утвердить прилагаемый Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.

2. Установить, что настоящий приказ вступает в силу с 1 июня 2024 г.

Директор
Федеральной службы
по техническому и
экспортному контролю
В.Селин



Зарегистрировано

в Министерстве юстиции

Российской Федерации

16 апреля 2024 года,

регистрационный № 77896

УТВЕРЖДЕН
приказом ФСТЭК России
от 1 декабря 2023 года № 240



Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации



1. Сертификация процессов проектирования и производства программного обеспечения (далее - процессы безопасной разработки программного обеспечения) средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, осуществляется на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 458-ст (далее - требования по безопасной разработке).

________________

М., "Стандартинформ", 2016.

2. Сертификация процессов безопасной разработки программного обеспечения (далее - сертификация) осуществляется на основании договора, заключаемого изготовителем средства защиты информации (далее - изготовитель) с органом по сертификации.

________________

Пункт 11 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.

3. Изготовитель при намерении сертифицировать процессы безопасной разработки программного обеспечения выбирает для проведения сертификации аккредитованный ФСТЭК России орган по сертификации, согласовывает с ним сроки проведения сертификации.

4. Для получения сертификата соответствия изготовитель представляет в ФСТЭК России заявку на сертификацию (далее - заявка).

В заявке указываются:

а) полное и сокращенное (при наличии) наименование изготовителя, его организационно-правовая форма;

б) адрес юридического лица в пределах места нахождения юридического лица - изготовителя;

в) адрес для корреспонденции изготовителя;

г) фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию;

д) номер телефона и адрес электронной почты (при наличии) изготовителя;

е) наименование органа по сертификации, в котором планируется проведение сертификации;

ж) заявляемый срок действия сертификата соответствия.

Заявка подписывается руководителем изготовителя (лицом, которое в силу закона или учредительных документов выступает от его имени) и заверяется печатью изготовителя (при наличии печати) (рекомендуемый образец заявки приведен в приложении № 1 к настоящему Порядку).

5. К заявке прилагается руководство по безопасной разработке программного обеспечения, разработанное в соответствии с пунктом 4.10 требований по безопасной разработке.

6. Заявка с приложением направляется изготовителем в ФСТЭК России почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России.

7. ФСТЭК России рассматривает заявку в течение 15 рабочих дней со дня получения заявки.

8. Заявка возвращается для доработки в случае отсутствия в ней сведений, предусмотренных пунктом 4 настоящего Порядка, а также в случае несоответствия руководства по безопасной разработке программного обеспечения пункту 4.10 требований по безопасной разработке.

9. Уведомление о необходимости доработки заявки вручается изготовителю или направляется ему почтовым отправлением в срок не позднее 15 рабочих дней со дня получения заявки.

10. Сертификация проводится на основании решения ФСТЭК России о проведении сертификации процессов безопасной разработки программного обеспечения (далее - решение). В решении указываются:

а) номер и дата принятия решения;

б) полное и сокращенное (при наличии) наименование изготовителя, его организационно-правовая форма;

в) адрес юридического лица в пределах места нахождения юридического лица - изготовителя;

г) наименование органа по сертификации, который будет проводить сертификацию.

Решение оформляется в трёх экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется почтовым отправлением или вручается по одному экземпляру изготовителю и органу по сертификации. Один экземпляр решения остается в ФСТЭК России (рекомендуемый образец решения приведен в приложении № 2 к настоящему Порядку).

11. Оформление нового решения осуществляется в случае замены органа по сертификации, в том числе в связи с приостановлением или прекращением действия аттестата аккредитации органа по сертификации.

________________

Пункты 41 и 42 Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденных приказом ФСТЭК России от 10 апреля 2015 г. № 33 (зарегистрирован Минюстом России 20 мая 2015 г., регистрационный № 37342), с изменениями, утвержденными приказом ФСТЭК России от 27 июля 2023 г. № 148 (зарегистрирован Минюстом России 23 ноября 2023 г., регистрационный № 76062).

12. Обращение изготовителя с обоснованием необходимости оформления нового решения направляется в ФСТЭК России почтовым отправлением.

13. ФСТЭК России в срок не позднее 15 рабочих дней со дня получения обращения изготовителя оформляет новое решение и направляет его почтовым отправлением или вручает изготовителю и органу по сертификации.

14. Действие решения прекращается в случае получения ФСТЭК России обращения изготовителя о прекращении сертификации.

15. ФСТЭК России в срок не позднее 15 рабочих дней со дня получения обращения изготовителя направляет почтовым отправлением или вручает изготовителю и органу по сертификации уведомление о прекращении действия решения.

16. Для проведения сертификации изготовитель направляет органу по сертификации руководство по безопасной разработке программного обеспечения.

17. Орган по сертификации проводит сертификацию в сроки, установленные договором на проведение сертификации, заключенным с изготовителем.

18. Сертификация проводится на материально-технической базе изготовителя, используемой для разработки и поддержки безопасности программного обеспечения, расположенной на территории Российской Федерации.

19. В процессе сертификации осуществляются:

оценка соответствия руководства по безопасной разработке программного обеспечения и документации по безопасной разработке программного обеспечения, имеющейся у изготовителя, пунктам 4.10 и 4.12 требований по безопасной разработке соответственно;

проверка наличия у изготовителя средств разработки программного обеспечения, а также средств, предназначенных для проведения композиционного, статического и динамического анализа программного обеспечения, предусмотренных подпунктами 5.3.3.4 и 5.4.3.3 пункта 5.3 требований по безопасной разработке;

проверка реализации изготовителем процессов безопасной разработки программного обеспечения, приведенных в руководстве и в документации по безопасной разработке программного обеспечения;

проверка реализации изготовителем процедур поддержки безопасности программного обеспечения;

проверка выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки программного обеспечения.

________________

Подпункты 5.9.3.1 и 5.9.3.2 пункта 5.9 требований по безопасной разработке.

20. По результатам проведения сертификации орган по сертификации оформляет протоколы сертификации, содержащие:

основание для проведения сертификации (номер и дату решения);

даты и места проведения сертификации;

описание процессов безопасной разработки программного обеспечения, реализованных изготовителем, в отношении которых была проведена сертификация;

описание результатов сертификации по каждому реализованному у изготовителя процессу безопасной разработки программного обеспечения;

выводы о соответствии (несоответствии) процессов безопасной разработки программного обеспечения, реализованных изготовителем, требованиям по безопасной разработке.

Протоколы сертификации подписываются экспертами органа по сертификации, проводившими сертификацию.

21. По завершении сертификации орган по сертификации оформляет экспертное заключение о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке, содержащее:

основание для проведения сертификации (номер и дату решения);

описание процессов безопасной разработки программного обеспечения, реализованных изготовителем;

описание результатов сертификации по каждому процессу безопасной разработки программного обеспечения;

вывод о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке;

выводы о возможности (невозможности) выдачи сертификата соответствия.

Экспертное заключение подписывается экспертами органа по сертификации, проводившими сертификацию, и утверждается руководителем органа по сертификации.

22. В случае несоответствия реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке экспертное заключение, содержащее такой вывод, направляется изготовителю.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»