Система лицензирования и сертификации средств защиты информации в России работает следующим образом:

1. Лицензирование. 1 Для получения лицензии предприятие обязано представить определённый перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФАПСИ. 1 Решение о выдаче лицензии принимается на основании результатов технической экспертизы изделия и (или) специальной экспертизы заявителя. 1 Лицензия имеет ограниченный срок действия, по истечении которого осуществляется её переоформление. 1

2. Сертификация. 3 Процедура осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организационно-технические и организационные средства и меры. 3 Сертификации может подвергаться только готовое, законченное изделие. 3

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года №24-ФЗ, посвящённого вопросам защиты данных и информатизации. 4 Этот раздел устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке. 4

Также в России обязательная сертификация информационных средств не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. 4 Их делят на две укрупнённые категории: корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности, и персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере. 4