Открыть сервис

Сертификация ФСТЭК

Сертификация ФСТЭК — это процедура подтверждения соответствия средств защиты информации, информационных систем и технических средств требованиям по безопасности информации, установленным федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации. В Российской Федерации основным органом, проводящим такую сертификацию, является Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Сертификация ФСТЭК является обязательной для ряда категорий продукции и систем, используемых в государственных информационных системах, системах персональных данных, объектах критической информационной инфраструктуры (КИИ) и других значимых объектах.

Правовые основы и нормативная база

Сертификация ФСТЭК осуществляется в рамках государственной системы сертификации средств защиты информации (ГосСИ) и системы сертификации средств информационной безопасности по требованиям безопасности информации (СИБ). Основными нормативными правовыми актами, регулирующими эту деятельность, являются:

  • Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ).
  • Федеральный закон «О персональных данных» (№ 152-ФЗ).
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ).
  • Постановления Правительства РФ, устанавливающие требования к защите информации в различных системах (например, ПП-1119, ПП-1236).
  • Приказы ФСТЭК России, определяющие методические документы, профили защиты и требования к конкретным типам средств защиты (например, Приказ ФСТЭК № 17, № 21, № 31).

Цели и задачи сертификации

Основными целями сертификации ФСТЭК являются:

  • Обеспечение доверия: Подтверждение того, что средство или система защиты информации соответствует заявленному уровню безопасности и способно эффективно противостоять актуальным угрозам.
  • Гармонизация требований: Установление единых, обязательных для всех участников рынка и государственных заказчиков, требований к защите информации.
  • Защита государственных интересов: Предотвращение использования несертифицированных средств, которые могут содержать уязвимости или недокументированные возможности (закладки), в государственных и критически важных системах.
  • Создание конкурентного рынка: Формирование прозрачных условий для разработчиков и производителей средств защиты, стимулирование их к созданию качественных и безопасных продуктов.

Объекты сертификации

Сертификации ФСТЭК подлежат следующие категории объектов:

  • Средства защиты информации (СЗИ): Программные и программно-аппаратные средства, предназначенные для защиты информации. К ним относятся:
  • Средства антивирусной защиты (например, Kaspersky Endpoint Security, Dr.Web).
  • Средства межсетевого экранирования (например, UserGate, Континент).
  • Средства обнаружения вторжений (СОВ).
  • Средства криптографической защиты информации (СКЗИ) — совместно с ФСБ России.
  • Средства защиты от несанкционированного доступа (НСД) (например, Secret Net, Dallas Lock).
  • Средства доверенной загрузки.
  • Средства анализа защищенности (сканеры уязвимостей).
  • Информационные системы (ИС): Государственные информационные системы (ГИС), автоматизированные системы управления (АСУ), системы персональных данных (ИСПДн), объекты КИИ. Сертифицируется вся система в целом, а не только её компоненты.
  • Технические средства: Оборудование, используемое для обработки, хранения и передачи информации, включая серверы, рабочие станции, сетевое оборудование, а также средства защиты от утечки по техническим каналам (например, виброакустические закладки, генераторы шума).

Классификация и уровни сертификации

Сертификация ФСТЭК проводится по нескольким уровням, которые определяют степень доверия к средству защиты и его способность противостоять угрозам различного класса.

Уровни доверия (УД)

Уровни доверия (УД) — это система оценки, установленная приказом ФСТЭК России № 17. Они определяют, насколько тщательно и всесторонне проверено средство защиты. Чем выше уровень, тем более строгие требования предъявляются к разработке, документированию, тестированию и сопровождению продукта. Выделяют 6 уровней доверия (УД1 — УД6), где УД6 — наивысший.

Классы защищенности

Для различных типов систем и средств существуют свои классы защищенности, которые определяют, против каких угроз они предназначены.

  • Для средств защиты информации (СЗИ): Классы от 1 до 6 (1 — наивысший). Класс определяет, какие угрозы (например, от утечки по техническим каналам, от НСД, от программных воздействий) может нейтрализовать средство.
  • Для государственных информационных систем (ГИС): Классы защищенности 1, 2, 3 (1 — наивысший). Определяются на основе масштаба системы, значимости обрабатываемой информации и угроз безопасности.
  • Для систем персональных данных (ИСПДн): Классы 1, 2, 3, 4 (1 — наивысший). Определяются на основе типа обрабатываемых данных (специальные, биометрические, общедоступные) и их объема.
  • Для объектов критической информационной инфраструктуры (КИИ): Категории значимости 1, 2, 3 (1 — наивысшая). Определяются на основе возможного ущерба для обороны, экономики, безопасности государства.

Процедура сертификации

Процесс сертификации ФСТЭК включает несколько этапов:

  1. Подача заявки: Разработчик или владелец системы подает заявку в аккредитованный орган по сертификации (например, ФГУП «ВНИИ «Стандарт», ФГУП «НТЦ «Атлас», АО «ЭЛВИС-ПЛЮС»).
  2. Экспертиза документации: Орган по сертификации проводит анализ технической документации, включая описание архитектуры, модели угроз, политики безопасности, руководства по эксплуатации.
  3. Проведение испытаний: Аккредитованная испытательная лаборатория (например, ФГУП «ЦНИИС», ФГУП «НПО «Техномаш») проводит тестирование средства или системы на соответствие требованиям безопасности. Испытания включают:
  • Функциональное тестирование.
  • Тестирование на проникновение.
  • Анализ исходного кода (для программных средств).
  • Проверку на наличие недокументированных возможностей.
  1. Принятие решения: На основании результатов экспертизы и испытаний орган по сертификации принимает решение о выдаче или отказе в выдаче сертификата.
  2. Выдача сертификата: Сертификат оформляется на бланке установленного образца и вносится в реестр сертифицированных средств ФСТЭК России. Срок действия сертификата обычно составляет 3 года.
  3. Инспекционный контроль: В течение срока действия сертификата орган по сертификации проводит периодический (раз в год) контроль за соблюдением требований и стабильностью характеристик продукта.

Значение и применение

Сертификация ФСТЭК является обязательным условием для использования средств защиты информации в государственных органах, на объектах КИИ, в системах, обрабатывающих персональные данные, а также в ряде коммерческих организаций, работающих с государственными заказами. Наличие сертификата ФСТЭК является одним из ключевых критериев при выборе поставщика решений в области информационной безопасности.

Для производителей и разработчиков сертификация ФСТЭК — это:

  • Доступ на рынок: Без сертификата продукт не может быть легально использован в государственных и критически важных системах.
  • Конкурентное преимущество: Сертифицированный продукт воспринимается заказчиками как более надежный и безопасный.
  • Подтверждение качества: Процесс сертификации требует от разработчика высокого уровня дисциплины и качества разработки.

Критика и ограничения

Несмотря на важность, система сертификации ФСТЭК подвергается критике по ряду причин:

  • Высокая стоимость и длительность: Процесс сертификации может занимать от нескольких месяцев до года и стоить значительных средств (от нескольких сотен тысяч до нескольких миллионов рублей), что является барьером для малых и средних компаний-разработчиков.
  • Сложность и бюрократизация: Процедура требует подготовки большого объема документации, что может быть трудоемко и отвлекать ресурсы от разработки.
  • Недостаточная гибкость: Требования могут не успевать за быстро меняющимися угрозами и технологиями (например, в области облачных вычислений, искусственного интеллекта).
  • Риск «сертификационного туризма»: В некоторых случаях компании могут стремиться получить сертификат формально, а не реально повысить безопасность продукта.

Источники

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  6. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
  7. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  8. Методические документы ФСТЭК России (например, «Меры защиты информации в государственных информационных системах», «Базовая модель угроз безопасности персональных данных»).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →