Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 1 декабря 2023 года № 240
Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации
(с изменениями и дополнениями по состоянию на 30.06.2025 г.)
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и пунктом 9 приложения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, ПРИКАЗЫВАЮ:
1. Утвердить прилагаемый Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
2. Установить, что настоящий приказ вступает в силу с 1 июня 2024 г.
| Директор федеральной службы по техническому и экспортному контролю |
В.Селин |
приказом ФСТЭК России
от 1 декабря 2023 г. № 240
Порядок
проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации
1. Сертификация процессов проектирования и производства программного обеспечения (далее - процессы безопасной разработки программного обеспечения) средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, осуществляется на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст 1 (далее - требования по безопасной разработке).
2. Сертификация процессов безопасной разработки программного обеспечения (далее - сертификация) осуществляется на основании договора, заключаемого изготовителем средства защиты информации (далее - изготовитель) с органом по сертификации 2.
3. Изготовитель при намерении сертифицировать процессы безопасной разработки программного обеспечения выбирает для проведения сертификации аккредитованный ФСТЭК России орган по сертификации, согласовывает с ним сроки проведения сертификации.
4. Для получения сертификата соответствия изготовитель представляет в ФСТЭК России заявку на сертификацию (далее - заявка).
В заявке указываются:
а) полное и сокращенное (при наличии) наименование изготовителя, его организационно-правовая форма;
б) адрес юридического лица в пределах места нахождения юридического лица - изготовителя;
в) адрес для корреспонденции изготовителя;
г) фамилия, имя и отчество (при наличии) лица, ответственного за сертификацию;
д) номер телефона и адрес электронной почты (при наличии) изготовителя;
е) наименование органа по сертификации, в котором планируется проведение сертификации;
ж) заявляемый срок действия сертификата соответствия.