Внесение изменений в сертифицированное средство защиты информации

71. Заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации.

В случае внесения в средство защиты информации иных изменений заявитель, являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.

71.1. Заявитель, являющийся разработчиком средства защиты информации и имеющий сертификат соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации, в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации или изменением имеющихся функций безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.

72. Заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации с привлечением испытательной лаборатории в случае внесения в сертифицированное средство защиты информации изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации устранением уязвимостей (недекларированных возможностей) средства защиты информации.

В случае внесения в средство защиты информации иных изменений заявитель, не являющийся разработчиком средства защиты информации, проводит испытания средства защиты информации самостоятельно или с привлечением испытательной лаборатории.

73. В случае внесения в сертифицированное средство защиты информации изменений, связанных с устранением уязвимостей (недекларированных возможностей) средства защиты информации или обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, заявитель информирует потребителей о необходимости обновления средства защиты информации и доводит до потребителей обновления средства защиты информации до проведения испытаний, предусмотренных пунктами 71 и 72 настоящего Положения.

Испытания средства защиты информации в связи с внесением в него изменений, связанных с обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, проводятся в порядке, предусмотренном требованиями по безопасности информации.

73(1). В случае внесения изменений в перечень заимствованных программных компонентов с открытым исходным кодом, входящих в состав средства защиты информации, изготовителем в течение 5 календарных дней со дня внесения указанных изменений представляется в ФСТЭК России скорректированный перечень заимствованных программных компонентов с открытым исходным кодом.

74. По результатам проведенных испытаний средства защиты информации в связи с внесением в него изменений заявителем представляются в ФСТЭК России материалы испытаний, содержащие:

1) техническое заключение;

2) протоколы по результатам проведенных испытаний;

3) технические условия и извещение о внесении изменений в технические условия в двух экземплярах (в случае внесения таких изменений);

4) дополнительное техническое задание в двух экземплярах (в случае проведения сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании, и в случае внесения изменений в техническое задание);

5) задание по безопасности (при наличии) в двух экземплярах (в случае внесения изменений в задание по безопасности);

6) формуляр (паспорт) на средство защиты информации, в том числе содержащий контрольные суммы исполняемых файлов, и извещение о внесении изменений в формуляр (паспорт) в двух экземплярах (в случае внесения таких изменений);

7) перечень заимствованных программных компонентов с открытым исходным кодом, входящих в состав средства защиты информации (в случае наличия в средстве защиты информации заимствованных программных компонентов с открытым исходным кодом);

8) перечень образов контейнеров, входящих в состав средства защиты информации (в случае наличия в средстве защиты информации образов контейнеров).

74(1). Документы, указанные в подпунктах 1, 3 - 6 пункта 74 настоящего Положения, представляются на бумажном носителе и в электронном виде. Документы, указанные в подпунктах 2, 7, 8 пункта 74 настоящего Положения, представляются только в электронном виде. В электронном виде должны быть представлены копии документов, идентичные подписанным (утвержденным) в бумажном виде документам.

75. ФСТЭК России в течение 20 календарных дней рассматривает поступившие материалы испытаний, согласовывает технические условия, дополнительное техническое задание (при наличии) или задание по безопасности (при наличии) и формуляр (паспорт) на средство защиты информации, переоформляет сертификат соответствия.