Сертификация фстэк виды

Как получить лицензию ФСТЭК на техническую защиту

Юридические услуги для вашего бизнеса!
Поможем в оформлении любых сертификатов, лицензий, допусков СРО. Регистрация и ликвидация юридических от 3 рабочих дней.

Рассмотрим, что такое ФСТЭК. И почему большинству IT компаний требуется лицензия этой структуры.

Что такое лицензия на техническую защиту информации

что такое ФСТЭК фото

ФСТЭК – это федеральная служба. Ее задача — технический и экспортный контроль. В России следить за надежностью защиты государственной тайны и персональных данных обязана ФСТЭК.

Правовые аспекты данной процедуры прописаны в российском законодательстве. В частности в ФЗ РФ № 152 (от 27.07.2006). А инструкции и приказы ФСТЭК регулируют техническую сторону этого процесса. Служба проверяет, насколько компании выполняют эти технические требования и по результатам предоставляет несколько видов разрешительной документации:

  • Лицензия, разрешающая деятельность по техзащите конфиденциальной информации. Компания, получившая такой документ, имеет право хранить личные данные и устанавливать оборудование и ПО, предназначенные для выполнения данной функции (ТЗКИ). на разработку средств защиты конфиденциальной информации (СЗКИ).
  • Лицензия, разрешающая деятельность фирмы, направленную на охрану государственной тайны.

Разработана специальная методика ФСТЭК, утвержденная в 2008 году. С весны 2020 года ведется разработка нового проекта методики. Но он еще не утвержден. Поэтому пока приходится отталкиваться от базовых моделей угроз ФСТЭК. Найти их можно в свободном доступе. С 2015 года опубликован банк данных угроз безопасности ФСТЭК.

А на сайте Службы имеется реестр СЗИ ФСТЭК, на котором представлены программные средства защиты информации. Воспользоваться им могут любые клиенты.

Кому необходима лицензия ФСТЭК

Требования ФСТЭК обязывают пройти лицензирование и получить подтверждающие документы компании, специализирующиеся на следующих видах деятельности:

  • Хранение и защита конфиденциальных сведений от утечки информации.
  • Разработка программного обеспечения или технических средств, применяемых для защиты личных сведений.
  • Проектирование отдельных помещений и целых зданий, используемых в ходе работы с секретной информацией.
  • Проведение аттестаций компаний на соответствие нормам информационной безопасности.
  • Обработка и хранение информации, представляющей коммерческую или государственную тайну.

Если компании необходимо подтвердить, что ПО соответствует техническим требованиям, нужна не лицензия, а сертификация ФСТЭК. Простая обработка персональных данных ФСТЭК тоже не лицензируется.

кому нужно лицензирование ФСТЭК фото

Каковы условия выдачи лицензии

Чтобы удачно пройти процедуру лицензирования и получить разрешительные документы ФСТЭК, нужно удовлетворять целому ряду требований. Они варьируются в зависимости от типа лицензируемой деятельности. Для получения лицензий ТЗКИ и СЗКИ условия таковы:

  • Директор имеет высшее образование в любой сфере и прошел подготовку по информационной безопасности. Стаж его работы не менее 5 лет. Либо необходимо окончить вуз по специальности в сфере ИБ и иметь стаж 3 года (для ТЗКИ 5 лет).
  • Наличие не менее чем у двух сотрудников высшего образования и прохождение ими переподготовки в сфере информационной безопасности. Плюс стаж минимум 3 года. Либо наличие профильного высшего образования и стаж не меньше 3 лет.
  • Наличие производственных помещений, которыми фирма пользуется на основании прав собственности или договора аренды.
  • Сбор полного пакета документов. При ограниченном доступе информации ФСТЭК делает специальную заявку на получение.
  • Наличие автоматизированных систем, используемых для обработки информации. Вместе с сертификатами на них.
  • Действующая на предприятии система контроля за выпускаемой продукцией.

Для лицензирования компаний, предоставляющих услуги в области гостайны требования иные:

  • Трудоустройство не менее 2х сотрудников по основному месту работы, имеющих высшее образование по специальности информационная безопасность или среднетехническое образование и документы о прохождении переподготовки по ИБ.
  • Использование в производственной деятельности оборудования, прошедшего калибровку в соответствии с законодательством РФ.
  • Наличие производственных площадей на основании права собственности или договора аренды.
  • Наличие объектов информатизации, прошедших аттестацию необходимых для работы с информацией, являющейся гостайной.
  • Подписание договора с РСП.

Какие документы необходимо представить в ФСТЭК

как получить лицензию ФСТЭК фото

Для прохождения лицензирования компании потребуется подготовить и представить объемный пакет документов:

  • Уставная, учредительная документация (устав, приказ о назначении директора и пр.).
  • ИНН фирмы.
  • Свидетельство из ЕГРЮЛ или ЕГРИП в зависимости от правового статуса.
  • Справка из Росстата с обозначением кодов разрешенной деятельности.
  • Дипломы и аттестаты об образовании директора и сотрудников.
  • Трудовые книжки, подтверждающие стаж руководства и работников фирмы.
  • Техническая документация на используемое оборудование и ПО.
  • Сертификаты соответствия на производственные помещения.
  • Внутренние нормативы с инструкциями по работе с конфиденциальными данными.
  • Документация о работе службы контроля за производимой продукцией.

При первичном обращении за лицензией все документы представляют в виде нотариально удостоверенных копий.

Этапы получения лицензии ФСТЭК

Вся процедура лицензирования вместе с подготовительным этапом затягивается на пару месяцев. Этот факт следует учесть при обращении в Службу.

Можно воспользоваться услугами специализированного центра или пройти весь путь самостоятельно.

Этапы получения лицензии:

  • Ознакомиться с требованиями федеральной службы.
  • Собрать необходимый пакет документов.
  • Оплатить госпошлину в размере 7,5 тысяч рублей.
  • Заполнить заявление.
  • Передать документы на рассмотрение.
  • Дождаться положительного решения в течение 5 дней.
  • Получить лицензию.

Главная задача ФСТЭК – информационная безопасность. Эта структура занимается техническими требованиями в отношении фирм, специализирующихся на защите персональных данных. И выдает им соответствующие лицензии. Услуги юриста в получении лицензирования — залог грамотного и безошибочного решения вопроса.

отзыв

«Заказывали в «ЮДЭКСе» ликвидацию фирмы. Очень оперативно и качественно сработали. Выражаю свою признательность».

МУТИГУЛЛИН ДИНАР РАМИЛОВИЧ УЧРЕДИТЕЛЬ ООО «ЕВРОСТРОЙСНАБ»

отзыв

«Постоянно обращаюсь к компании «Юдэкс» по различным вопросам в области юриспруденции. Сотрудничеством доволен. Желаю успешной работы!»

СЕРГЕЙ УЧРЕДИТЕЛЬ МАГАЗИНА МУЖСКОЙ ОДЕЖДЫ «ДЕКАРШЕ»

отзыв

«Благодарю компанию «Юдэкс» за оперативное получение Сертификации по стандарту ИСО 9001».

Источник



Сертификация средств защиты информации

Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.

Читайте также:  Основные положения сертификации это

Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.

Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).

Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.

Перечень продукции, подлежащей сертификации ФСТЭК

Федеральная служба по техническому и экспортному контролю предусматривает необходимость оценки качества для средств противодействия иностранным разведкам, устройств для защиты государственной тайны и обеспечения безопасности информационных технологий. Это могут быть отечественные и импортные IT-продукты.

Речь идет о следующих типах продукции:

  1. программные и программно-технические средства защиты информации от нарушения целостности;
  2. программные средства, которые разграничивают доступ к данным, контролируют единство инфо-данных, уничтожают остатки данных на информационных носителях, имитируют работу ОС или блокируют ее при необходимости;
  3. защитные программы, встроенные в ОС;
  4. средства, цель которых предотвратить незаконное копирование данных;
  5. операционные системы;
  6. экраны для межсетевого доступа;
  7. средства доступа к виртуальным локальным сетям;
  8. системы контроля эффективности;
  9. системы, которые используют защищенные методы обработки данных.

Это лишь часть товаров, которые подлежат обязательной проверке в рамках требований ФСТЭК. Точный перечень средств, на которые потребуется получить сертификат СЗИ, уточните у специалистов центра «Рос-Тест».

Схемы сертификации

Пройти оценку можно в соответствии с требованиями, установленными законодательно. Наиболее актуальными для предпринимателей являются такие схемы:

  1. оценка качества единичного оборудования;
  2. проверка партии изделий (в случае, если речь идет об ограниченном тираже копий);
  3. сертификация серийного выпуска.

Какую именно выбрать схему, зависит от типа производства и конкретной ситуации.

Участники системы оценки

Основными звеньями осуществления контроля продукции являются:

  1. федеральный орган (Росаккредитация);
  2. аккредитованные органы (центры), наделенные специальными полномочиями;
  3. испытательные лаборатории;
  4. изготовители (поставщики) товара.

Право на проведение проверки СЗИ имеют только аккредитованные органы. Аккредитация выдается при наличии у них лицензии на соответствующие виды деятельности.

Добровольный сертификат

На сегодняшний день предприниматели обладают широким спектром возможностей в плане продвижения своего бизнеса. Актуально оформление сертификатов для получения дополнительных преимуществ. Так, заказать документ можно для подтверждения соответствия ГОСТ (на продукцию), ИСО (на систему менеджмента качества). Проверка СМК может быть осуществлена в рамках системы «Промтехсертификация», которая имеет официальную аккредитацию Росстандарта и высоко ценится в России.

Наличие добровольного документа способно принести следующие преимущества:

  1. выход на новые рынки (если речь идет о международном сертификате ISO, то это поможет выйти на иностранный рынок);
  2. увеличение интереса со стороны потенциальных партнеров по бизнесу;
  3. укрепление имиджа;
  4. привлечение средств на развитие проекта, улучшение инвестиционных показателей;
  5. более простое прохождение надзорных экспертиз;
  6. формирование доверительного отношения к компании;
  7. возможность применять знаки соответствия в сопроводительной документации, в рекламе, на упаковке программных продуктов;
  8. рост продаж, повышение рентабельности и многое другое.

Важно! Наличие добровольного документа не избавляет от необходимости проводить обязательную оценку качества, а служит лишь инструментом для продвижения.

Пакет документов для подачи в центр «Рос-Тест»

Чтобы пройти оценку соответствия ГОСТ Р, ИСО или ФСТЭК, потребуется предоставить специалистам «Рос-Тест» полный пакет документов для проверки.

В него необходимо включить:

  • наименование и описание подконтрольной продукции, коды ТН ВЭД и ОКПД 2;
  • перечень продукции, которая будет проходить проверку (номера партии, артикулы, другая информация);
  • идентификационный налоговый номер, основной государственный регистрационный номер, учредительные и уставные документы, юридический и фактический адреса компании-заявителя;
  • техническую документацию, которая используется на предприятии – технологические регламенты и инструкции, стандарт организации, документацию ИСО, технические условия;
  • ранее выданные сертификаты (ТР ТС, иностранные, завершившие действие);
  • документы, указывающие на законность владения производственными площадями (договор аренды, свидетельство о собственности);
  • контракт на поставку, сведения об изготовителе, сопроводительные транспортные документы (если осуществляется поставка оборудования).

Если документы предоставляются на другом языке, следует выполнить их перевод на русский. В некоторых случаях предоставляется возможность подать документы в электронном порядке.

Этапы сертификации

Чтобы стать обладателем подтверждающего документа, предприниматель должен пройти все предусмотренные в этом случае проверки. Как правило, алгоритм действий следующий:

  1. подача заявки в центр «Рос-Тест», оказание консультационных услуг: идентификация товара, определение необходимости проведения оценки качества, выбор схемы;
  2. подготовка комплекта документации – на этой стадии наши сотрудники помогут вам разработать техдокументацию, если это понадобится;
  3. после этого осуществляются лабораторные испытания – провести их можно только в аккредитованной лаборатории, по результатам она должна выдать протоколы (они также направляются в аккредитованный орган на проверку);
  4. если того требует схема, то также осуществляются производственные экспертизы. Для этого на объект выезжают эксперты, оценивают соответствие производства установленным требованиям;
  5. по факту контрольных мероприятий выдается разрешительный документ, ему присваивают идентификационный номер, сведения о нем вносятся в специальный реестр.

За более подробной информацией об оценке соответствия СЗИ обращайтесь в центр «Рос-Тест». Просто позвоните по телефону 8 (800) 100-20-85 или оставьте сообщение в форме обратной связи. Наши сотрудники проведут для вас бесплатную консультацию и помогут в оформлении сертификата.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Сертификат соответствия ФСТЭК

Чтобы получить дополнительную информацию позвоните +7 (495) 502 87 70 или отправьте сообщение:

Лицензия ФСТЭК России – основной документ, необходимый каждой организации, занимающейся защитой информации. Получить такую лицензию можно только после того как будет собран определенный пакет документов. Что бы уменьшить издержки и затраты, необходимо знать, что именно для этого нужно.

Читайте также:  Сертификация квалификаций выпускников это

Полный алгоритм лицензирования прописан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В нём конкретно разъяснено, как оформить необходимые документы для подачи и получения заключения ФСТЭК.

Сроки и процесс получения лицензии ФСТЭК

Лицензия ФСТЭК образец фотоНа первый взгляд все очень просто. В первую очередь подается заявление, соответствующее требованиям Постановления № 79. После этого орган выдающий лицензию рассматривает данное заявление и выявляет ошибки или недостающие документы. При наличии ошибок или нехватки документов дается срок (30 дней) на исправление и сбор необходимых бумаг. Далее лицензирующие органы проверяют дополняющие документы. Данная проверка осуществляется в течение пяти дней. Если весь пакет документации соответствует требованиям, то лицензирующий орган за 45 дней обязан выдать разрешение, либо отказать.

На практике процесс сложнее. Выдачей лицензии занимается только один орган, находящийся в Москве. Однако желающих получить сертификат соответствия ФСТЭК России становится все больше и больше, поэтому за короткое время добиться его выдачи не получится. Организации, получающие лицензию в первый раз, обязаны приложить устав организации и документ, в котором указан руководитель данной организации.

В процессе получения лицензии возникают три наиболее часто встречающиеся проблемы:

  1. Закупка оборудования. Организация должна иметь в своем распоряжении оборудование, которое в свою очередь стоит немалых денег. Кроме того, оборудование должно проходить сертификацию каждый год, что может помешать во время подать заявление.
  2. Арендная документация. Если помещение арендуется, то организация должна предоставить весь пакет документов, подтверждающий арендные отношения.
  3. Отсутствие кадровых проблем. Все сотрудники должны иметь диплом о высшем образовании в данной сфере.

Правила и стоимость получения заключения ФСТЭК

Что бы получить положительное заключение ФСТЭК необходимо соблюдать некоторые правила. Во-первых, лучше иметь оборудование в собственности, во-вторых, обновлять документацию, исходя из законодательной базы, в-третьих, своевременно проходить аттестацию помещений, в-четвёртых, регулярно модернизировать оборудование, приборы и программное обеспечение.

Кроме того, организация, получившая сертификат ФСТЭК подлежит плановой проверке через три года. Возможны и внеплановые проверки. Таким образом, проверяется соответствие заявленных данных и реально существующих. Стоимость получения лицензии составляет 7,5 тысяч, а его продление 3,5 тысячи рублей. Существуют организации, которые оказывают специализированные услуги в подготовке и подачи всего пакета бумаг в лицензирующий орган.

141402, М.О., г. Химки, Вашутинское ш., д.20, корп.1

Телефон/факс:
+7 (495) 790-47-10 , Складское хранение и обработка грузов
+7 (495) 502-87-70 Услуги СВХ и таможенное оформление

Источник

Как получить лицензию ФСТЭК на техническую защиту

Юридические услуги для вашего бизнеса!
Поможем в оформлении любых сертификатов, лицензий, допусков СРО. Регистрация и ликвидация юридических от 3 рабочих дней.

Рассмотрим, что такое ФСТЭК. И почему большинству IT компаний требуется лицензия этой структуры.

Что такое лицензия на техническую защиту информации

что такое ФСТЭК фото

ФСТЭК – это федеральная служба. Ее задача — технический и экспортный контроль. В России следить за надежностью защиты государственной тайны и персональных данных обязана ФСТЭК.

Правовые аспекты данной процедуры прописаны в российском законодательстве. В частности в ФЗ РФ № 152 (от 27.07.2006). А инструкции и приказы ФСТЭК регулируют техническую сторону этого процесса. Служба проверяет, насколько компании выполняют эти технические требования и по результатам предоставляет несколько видов разрешительной документации:

  • Лицензия, разрешающая деятельность по техзащите конфиденциальной информации. Компания, получившая такой документ, имеет право хранить личные данные и устанавливать оборудование и ПО, предназначенные для выполнения данной функции (ТЗКИ). на разработку средств защиты конфиденциальной информации (СЗКИ).
  • Лицензия, разрешающая деятельность фирмы, направленную на охрану государственной тайны.

Разработана специальная методика ФСТЭК, утвержденная в 2008 году. С весны 2020 года ведется разработка нового проекта методики. Но он еще не утвержден. Поэтому пока приходится отталкиваться от базовых моделей угроз ФСТЭК. Найти их можно в свободном доступе. С 2015 года опубликован банк данных угроз безопасности ФСТЭК.

А на сайте Службы имеется реестр СЗИ ФСТЭК, на котором представлены программные средства защиты информации. Воспользоваться им могут любые клиенты.

Кому необходима лицензия ФСТЭК

Требования ФСТЭК обязывают пройти лицензирование и получить подтверждающие документы компании, специализирующиеся на следующих видах деятельности:

  • Хранение и защита конфиденциальных сведений от утечки информации.
  • Разработка программного обеспечения или технических средств, применяемых для защиты личных сведений.
  • Проектирование отдельных помещений и целых зданий, используемых в ходе работы с секретной информацией.
  • Проведение аттестаций компаний на соответствие нормам информационной безопасности.
  • Обработка и хранение информации, представляющей коммерческую или государственную тайну.

Если компании необходимо подтвердить, что ПО соответствует техническим требованиям, нужна не лицензия, а сертификация ФСТЭК. Простая обработка персональных данных ФСТЭК тоже не лицензируется.

кому нужно лицензирование ФСТЭК фото

Каковы условия выдачи лицензии

Чтобы удачно пройти процедуру лицензирования и получить разрешительные документы ФСТЭК, нужно удовлетворять целому ряду требований. Они варьируются в зависимости от типа лицензируемой деятельности. Для получения лицензий ТЗКИ и СЗКИ условия таковы:

  • Директор имеет высшее образование в любой сфере и прошел подготовку по информационной безопасности. Стаж его работы не менее 5 лет. Либо необходимо окончить вуз по специальности в сфере ИБ и иметь стаж 3 года (для ТЗКИ 5 лет).
  • Наличие не менее чем у двух сотрудников высшего образования и прохождение ими переподготовки в сфере информационной безопасности. Плюс стаж минимум 3 года. Либо наличие профильного высшего образования и стаж не меньше 3 лет.
  • Наличие производственных помещений, которыми фирма пользуется на основании прав собственности или договора аренды.
  • Сбор полного пакета документов. При ограниченном доступе информации ФСТЭК делает специальную заявку на получение.
  • Наличие автоматизированных систем, используемых для обработки информации. Вместе с сертификатами на них.
  • Действующая на предприятии система контроля за выпускаемой продукцией.
Читайте также:  Внешний центр сертификации

Для лицензирования компаний, предоставляющих услуги в области гостайны требования иные:

  • Трудоустройство не менее 2х сотрудников по основному месту работы, имеющих высшее образование по специальности информационная безопасность или среднетехническое образование и документы о прохождении переподготовки по ИБ.
  • Использование в производственной деятельности оборудования, прошедшего калибровку в соответствии с законодательством РФ.
  • Наличие производственных площадей на основании права собственности или договора аренды.
  • Наличие объектов информатизации, прошедших аттестацию необходимых для работы с информацией, являющейся гостайной.
  • Подписание договора с РСП.

Какие документы необходимо представить в ФСТЭК

как получить лицензию ФСТЭК фото

Для прохождения лицензирования компании потребуется подготовить и представить объемный пакет документов:

  • Уставная, учредительная документация (устав, приказ о назначении директора и пр.).
  • ИНН фирмы.
  • Свидетельство из ЕГРЮЛ или ЕГРИП в зависимости от правового статуса.
  • Справка из Росстата с обозначением кодов разрешенной деятельности.
  • Дипломы и аттестаты об образовании директора и сотрудников.
  • Трудовые книжки, подтверждающие стаж руководства и работников фирмы.
  • Техническая документация на используемое оборудование и ПО.
  • Сертификаты соответствия на производственные помещения.
  • Внутренние нормативы с инструкциями по работе с конфиденциальными данными.
  • Документация о работе службы контроля за производимой продукцией.

При первичном обращении за лицензией все документы представляют в виде нотариально удостоверенных копий.

Этапы получения лицензии ФСТЭК

Вся процедура лицензирования вместе с подготовительным этапом затягивается на пару месяцев. Этот факт следует учесть при обращении в Службу.

Можно воспользоваться услугами специализированного центра или пройти весь путь самостоятельно.

Этапы получения лицензии:

  • Ознакомиться с требованиями федеральной службы.
  • Собрать необходимый пакет документов.
  • Оплатить госпошлину в размере 7,5 тысяч рублей.
  • Заполнить заявление.
  • Передать документы на рассмотрение.
  • Дождаться положительного решения в течение 5 дней.
  • Получить лицензию.

Главная задача ФСТЭК – информационная безопасность. Эта структура занимается техническими требованиями в отношении фирм, специализирующихся на защите персональных данных. И выдает им соответствующие лицензии. Услуги юриста в получении лицензирования — залог грамотного и безошибочного решения вопроса.

отзыв

«Заказывали в «ЮДЭКСе» ликвидацию фирмы. Очень оперативно и качественно сработали. Выражаю свою признательность».

МУТИГУЛЛИН ДИНАР РАМИЛОВИЧ УЧРЕДИТЕЛЬ ООО «ЕВРОСТРОЙСНАБ»

отзыв

«Постоянно обращаюсь к компании «Юдэкс» по различным вопросам в области юриспруденции. Сотрудничеством доволен. Желаю успешной работы!»

СЕРГЕЙ УЧРЕДИТЕЛЬ МАГАЗИНА МУЖСКОЙ ОДЕЖДЫ «ДЕКАРШЕ»

отзыв

«Благодарю компанию «Юдэкс» за оперативное получение Сертификации по стандарту ИСО 9001».

Источник

Сертификация программного обеспечения ФСТЭК

Для работы с информацией конфиденциального характера и подготовки к оформлению лицензии на ТЗКИ подойдет только программное обеспечение, прошедшее сертификацию ФСТЭК. Заявку на ее прохождение может подать как изготовитель данного ПО, так и продавец, и поставщик, а также лицо, уполномоченное изготовителем. В нашей стране за выдачу таких сертификатов отвечают несколько ведомств, но основными из них являются ФСТЭК и ФСБ.

Если программное обеспечение для гарантии безопасности информации использует протоколы шифрования, значит, сертификация будет проходить под контролем ФСБ. Необходимо учесть, что на территории РФ разрешены к применению только шифровальные алгоритмы отечественной разработки. Чтобы узнать, каким именно стандартам должно отвечать ПО для успешного прохождения процедуры, нужно получить особый допуск к документам с грифом “для служебного пользования” – в открытом доступе этих сведений нет.

Получение сертификата ФСТЭК

Сертификацией некриптографических СЗИ заведует ФСТЭК. В отличие от нормативов ФСБ, требования ФСТЭК к проверяемому ПО выложены на официальном сайте, где их можно просмотреть совершенно свободно.

Следует заметить, что сертификационная система, действующая в России, отличается от своего западного аналога. Международная система Common Criteria требует проверки конкретного продукта только однажды – при получении собственно сертификата, а все дальнейшие копии, выпускаемые по лицензии, уже контроля не проходят. К сожалению, при этом не учитывается, что постоянно выходящие обновления добавляют в программу новые функции, которые также нуждаются в проверке, т.к. свежие версии могут содержать в себе уязвимости.

В то же время в РФ при выдаче документа каждый раз проверяют, соответствует ли данный экземпляр ПО тому, что был сертифицирован изначально. Таким образом, все прошедшие проверку копии ничем не отличаются друг от друга. Что касается обновлений, то они доступны на сайте, к которому имеет доступ каждая компания-владелец ПО, имеющего сертификат. Для такой компании на сайте заводится личный кабинет, через который удобно обновлять свою систему, а также получать другие важные сведения, касающиеся сертифицированных продуктов.

Кто проводит сертификацию

Хотя ФСТЭК и ФСБ отвечают за выдачу сертификатов, самой процедурой они не занимаются: для этого существуют специальные аккредитованные учреждения. Испытательные лаборатории, как следует из названия, отвечают за собственно тестирование продукта, в то время как организации экспертов проверяют, насколько качественно это тестирование было проведено. Лабораторию выбирает компания, подавшая заявку на проверку ПО, в зависимости от того, кто предложит более приемлемую цену, более удобные сроки и т.п. ФСТЭК (или ФСБ) же, во-первых, одобряет выбор лаборатории для испытаний, а, во-вторых, лично назначает независимых экспертов для контроля процедуры. Такая двухступенчатая система позволяет добиться максимальной объективности результатов.

Компания, подававшая заявку, берет на себя все расходы, связанные с проведением тестирования и оформлением требуемых документов. В некоторых случаях она может по договоренности с владельцем ПО сертифицировать за свой счет и все выпускаемые для данного ПО обновления. Кроме того, она обязана вести учет всех копий своего продукта, получивших сертификат ФСТЭК.

Источник