Приказом ФСТЭК России от 01.12.2023 N 240 с 1 июня 2024 года определены правила проведения сертификации процессов безопасной разработки ПО средств защиты информации.
В частности:
- Сертификация осуществляется на основании договора, заключаемого изготовителем средства защиты информации с органом по сертификации.
- Изготовитель при намерении сертифицировать процессы безопасной разработки ПО выбирает для проведения сертификации аккредитованный ФСТЭК России орган по сертификации, согласовывает с ним сроки проведения сертификации.
- Для получения сертификата соответствия изготовитель представляет почтовым отправлением с уведомлением о вручении или непосредственно в ФСТЭК России заявку на сертификацию.
- Для проведения сертификации изготовитель направляет органу по сертификации руководство по безопасной разработке ПО.
- По результатам проведения сертификации орган по сертификации оформляет протоколы сертификации.
- По завершении сертификации орган по сертификации оформляет экспертное заключение о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки ПО требованиям по безопасной разработке. В случае такого соответствия орган по сертификации подготавливает проект сертификата соответствия и представляет материалы сертификации в ФСТЭК России.
- ФСТЭК России имеет право приостанавливать или прекращать действие сертификатов соответствия.