Поэтому я Вам и привел ссылку на изменения в приказ 55. Заранее предусмотреть изменение политики сертификации регулятора будет не лишним

да, за это спасибо. это расставило точки.

https://infosecaas.ru/
Привет от интегратора...

так если бы средство считалось сертифицированным только пока на него действует серитифкат - так и было бы написано - "Серийно производимое средство защиты информации считается сертифицированным в период срока действия сертификата."
Но нет. Средство сертифицированно - если произведено в положенный срок и есть тех. поддержка. Т.е. фактически позиция не поменялась - просто поправили формулировку.

Раньше в чем была проблема - другие приказы требуют использовать "сертифицированные СЗИ", а по старому приказу было "СЗИ которое можно применять, когда срок сертификата истек". Это порождало коллизию. Теперь все ровно - надо использовать сертифицированное средство, средство считается сертифицированным если см. пункт такой-то

Что вы хотите этим сказать?

Касательно моего вопроса.

В положении 55 фстэк с которого все началось, говорится, что при истечении срока сертификата, нужно продать заявку на продление и при этом должна быть тех поддержка производителя.

Мое мнение что текущей букве закона - можно только использовать средство в существующей системе с истекшим сертификатом.

В проекте - можно и аттестовывать с нуля с истекшим сертификатом.

Теперь ясно. Спасибо.

Эта часть для заявителей - т.к. по сути нельзя производить и продавать СЗИ если на него истек сертификат. И если производитель хочет его продавать - надо продлевать

+ я делал так.

Какой пункт позволяет использовать по окончании ? не могу понять. И про продажу нет ни слова.

А если поставить вопрос по другому - а что запрещает? И почему мы вообще используем одни СЗИ (сертифицированные) и не используем другие (без сертификата)?

Потому что у нас есть требования к системам (17 приказ, 025 и тп) - где сказано, что надо использовать сертифицированные средства.

Вопрос: какие средства считаются сертифицированными?

Ответ в тех 2-х абзацах - "произведенные в период действия срока сертификата соответстивя"

Изначально я склонялся к такой формулировке, до того как узнал об исправлениях.

Заявителем можем быть производитель и тот, кто использует средство

Если внесут изменения в приказ 55 будет: "14. Срок действия сертификата соответствия не может превышать 5 лет. Сертификат соответствия выдается на срок, указанный в заявке на сертификацию. Условием действия сертификата соответствия является соответствие средства защиты информации требованиям по безопасности информации и осуществление заявителем его технической поддержки.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство.
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия."
И получается, что использовать по окончании срока действия сертификата планируют запретить

В 14 пункте остаётся срок действия сертификата на 5 лет.

В этом случае заявителем может быть только производитель сзи

не может превышать 5 лет при условии его соответствия требованиям по БИ и осуществлении техподдержки)

А это неплохо) На днях спорил с одним уважаемым лицензиатом, который мне (покупателю) предложил заполнить формуляр на сертифицированное СЗИ. Бог бы сним, я не гордый, но они хотели, чтобы я расписался в пункте о приемке за их ОТК )