Приказ ФСТЭК России от 27.07.2023 N 148
О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. N 33

Оглавление

Зарегистрировано в Минюсте России 23 ноября 2023 г. N 76062

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ от 27 июля 2023 г. N 148

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПРАВИЛА ВЫПОЛНЕНИЯ ОТДЕЛЬНЫХ РАБОТ ПО АККРЕДИТАЦИИ ОРГАНОВ ПО СЕРТИФИКАЦИИ И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ, ВЫПОЛНЯЮЩИХ РАБОТЫ ПО ОЦЕНКЕ (ПОДТВЕРЖДЕНИЮ) СООТВЕТСТВИЯ В ОТНОШЕНИИ ПРОДУКЦИИ (РАБОТ, УСЛУГ), ИСПОЛЬЗУЕМОЙ В ЦЕЛЯХ ЗАЩИТЫ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ ИЛИ ОТНОСИМЫХ К ОХРАНЯЕМОЙ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНОЙ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, И ПРОДУКЦИИ (РАБОТ, УСЛУГ), СВЕДЕНИЯ О КОТОРОЙ СОСТАВЛЯЮТ ГОСУДАРСТВЕННУЮ ТАЙНУ, В УСТАНОВЛЕННОЙ ФСТЭК РОССИИ СФЕРЕ ДЕЯТЕЛЬНОСТИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 10 АПРЕЛЯ 2015 Г. N 33

В соответствии с подпунктом 13.2 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и абзацем шестым пункта 2 постановления Правительства Российской Федерации от 3 ноября 2014 г. N 1149 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)" приказываю:

1. Внести в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. N 33 (зарегистрирован Министерством юстиции Российской Федерации 20 мая 2015 г., регистрационный N 37342), изменения согласно приложению к настоящему приказу.

2. Установить, что пункты 2 и 7 изменений, прилагаемых к настоящему приказу, вступают в силу с 1 марта 2025 г.

Директор
Федеральной службы по техническому
и экспортному контролю
В.СЕЛИН

Приложение
к приказу ФСТЭК России
от 27 июля 2023 г. N 148

ИЗМЕНЕНИЯ, КОТОРЫЕ ВНОСЯТСЯ В ПРАВИЛА ВЫПОЛНЕНИЯ ОТДЕЛЬНЫХ РАБОТ ПО АККРЕДИТАЦИИ ОРГАНОВ ПО СЕРТИФИКАЦИИ И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ, ВЫПОЛНЯЮЩИХ РАБОТЫ ПО ОЦЕНКЕ (ПОДТВЕРЖДЕНИЮ) СООТВЕТСТВИЯ В ОТНОШЕНИИ ПРОДУКЦИИ (РАБОТ, УСЛУГ), ИСПОЛЬЗУЕМОЙ В ЦЕЛЯХ ЗАЩИТЫ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ ИЛИ ОТНОСИМЫХ К ОХРАНЯЕМОЙ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНОЙ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, И ПРОДУКЦИИ (РАБОТ, УСЛУГ), СВЕДЕНИЯ О КОТОРОЙ СОСТАВЛЯЮТ ГОСУДАРСТВЕННУЮ ТАЙНУ, В УСТАНОВЛЕННОЙ ФСТЭК РОССИИ СФЕРЕ ДЕЯТЕЛЬНОСТИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 10 АПРЕЛЯ 2015 Г. N 33

1. Пункт 3 изложить в следующей редакции:

"3. Настоящие Правила распространяются на организации, претендующие на получение аккредитации (далее - заявители), и организации, получившие аккредитацию в соответствии с настоящими Правилами (далее - аккредитованные лица) и выполняющие работы по оценке (подтверждению) соответствия требованиям по безопасности информации следующей продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в следующих областях аккредитации <1>:

--------------------------------

<1> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

1) сертификация средств противодействия иностранным техническим разведкам, включая средства, в которых они реализованы, а также средств контроля эффективности противодействия иностранным техническим разведкам;

2) сертификация средств защиты информации от утечки по техническим каналам, включая средства, в которых они реализованы, а также средств контроля эффективности защиты информации от утечки по техническим каналам;

3) сертификация средств защиты информации от несанкционированного доступа, включая средства, в которых они реализованы, а также средств контроля эффективности защиты информации от несанкционированного доступа;

4) сертификация средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации;

5) сертификация процессов безопасной разработки программного обеспечения средств защиты информации.".

2. В подпункте "г" пункта 5:

абзац первый изложить в следующей редакции:

"г) наличие в соответствии с подпунктом "г" пункта 4 Правил аккредитации у заявителя (аккредитованного лица) в штате работников, заключивших с ним трудовой договор, которые обладают знаниями в определенной области (областях) аккредитации и могут выполнять (выполняют) работы по оценке (подтверждению) соответствия продукции, аттестованных в данной области (областях) аккредитации, в том числе:";

в абзаце втором слова "(со сроком обучения не менее 360 аудиторных часов)" исключить;

в абзаце третьем слова "(с общим сроком обучения не менее 216 аудиторных часов, из них не менее 72 аудиторных часов по оценке (подтверждению) соответствия продукции, указанной в области аккредитации)" исключить.

3. В пункте 6:

сноску к подпункту "а" изложить в следующей редакции:

"<3> Раздел 8 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17065-2012 "Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг" (в части органов по сертификации) (утвержден и введен в действие приказом Росстандарта от 21 декабря 2012 г. N 1941-ст) (М., "Стандартинформ", 2014) и раздел 8 национального стандарта Российской Федерации ГОСТ ИСО/МЭК 17025-2019 "Общие требования к компетентности испытательных и калибровочных лабораторий" (в части испытательных лабораторий) (утвержден и введен в действие приказом Росстандарта от 15 июля 2019 г. N 385-ст) (М., "Стандартинформ", 2019).";

подпункт "б" изложить в следующей редакции:

"б) наличие у заявителя (аккредитованного лица) системы управления информационной безопасностью и соблюдение в его деятельности требований системы управления информационной безопасностью, установленных в политике информационной безопасности;";

сноску к подпункту "б" исключить.

4. Пункт 8 изложить в следующей редакции:

"8. К заявлению об аккредитации прилагаются документы, предусмотренные перечнем, формами и требованиями к содержанию прилагаемых к заявлению об аккредитации документов и документов, необходимых для организации и проведения аккредитации, а также документов, подтверждающих соответствие заявителя (аккредитованного лица) критериям аккредитации, утвержденными приказом ФСТЭК России от 14 мая 2015 г. N 59 (далее - перечень документов).".

5. Пункт 11 изложить в следующей редакции:

"11. В случае непредставления заявителем в установленный срок надлежащим образом оформленного заявления об аккредитации и (или) в полном объеме документов, предусмотренных перечнем документов, ФСТЭК России в течение 10 рабочих дней со дня истечения срока устранения заявителем выявленных несоответствий направляет заявителю заказным почтовым отправлением с уведомлением о вручении или вручает ему уведомление о принятом ФСТЭК России решении об отказе в аккредитации.".

6. Пункт 12 изложить в следующей редакции:

"12. В случае если заявление об аккредитации и прилагаемые к нему документы представлены в полном объеме и соответствуют перечню документов, ФСТЭК России регистрирует заявление об аккредитации и принимает решение о проведении оценки соответствия заявителя критериям аккредитации.".

7. Пункт 16 изложить в следующей редакции:

"16. Программа оценки соответствия заявителя критериям аккредитации включает:

1) оценку соответствия информации, указанной в документах, представленных заявителем, критериям аккредитации;

2) оценку обеспеченности заявителя необходимой документацией;

3) оценку достаточности материально-технической базы заявителя (помещений, измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, автоматизированных систем, предназначенных для обработки информации ограниченного доступа);

4) проверку наличия свидетельств об аттестации в заявленной области аккредитации у работников заявителя, выполняющих работы по оценке (подтверждению) соответствия продукции;

5) оценку системы менеджмента качества заявителя, а также соблюдения при осуществлении деятельности требований системы менеджмента качества;

6) оценку системы управления информационной безопасностью заявителя, а также соблюдения при осуществлении деятельности требований политики информационной безопасности заявителя.".

8. Пункт 43 изложить в следующей редакции:

"43. Аккредитованное лицо ежегодно не позднее 1 февраля представляет в ФСТЭК России отчет о выполненных за прошедший год работах по оценке (подтверждению) соответствия продукции требованиям по безопасности информации, содержащий сведения о наименовании продукции и номерах решений по работам, схеме проведения и участниках работ, результат выполненных работ по оценке (подтверждению) соответствия продукции требованиям по безопасности информации.".