Открыть сервис

Сертификация средств защиты информации

Сертификация средств защиты информации — это процедура подтверждения соответствия продукции (программных, программно-аппаратных и технических средств) требованиям нормативных и методических документов в области информационной безопасности (ИБ), установленных уполномоченными государственными органами. Целью сертификации является официальное удостоверение того, что средство защиты информации (СЗИ) обладает заявленными функциональными возможностями и обеспечивает требуемый уровень защищённости обрабатываемой информации в соответствии с заданным классом или уровнем защиты.

История развития сертификации СЗИ в России

Система сертификации средств защиты информации в Российской Федерации начала формироваться в начале 1990-х годов, после распада СССР и появления новых угроз для информационных систем государственного и коммерческого сектора. Первым значимым документом стал Закон РФ «О государственной тайне» (1993 год), который установил необходимость лицензирования деятельности в области защиты сведений, составляющих государственную тайну, и сертификации соответствующих средств.

В 1995 году была принята Федеральная целевая программа «Электронная Россия», в рамках которой началось создание единой системы сертификации по требованиям безопасности информации. Ключевую роль в этом процессе сыграли Федеральное агентство правительственной связи и информации (ФАПСИ), а затем — Федеральная служба по техническому и экспортному контролю (ФСТЭК России), образованная в 2004 году. Именно ФСТЭК России стала головным органом, определяющим порядок сертификации СЗИ для государственных информационных систем (ГИС), систем персональных данных (ИСПДн) и значимых объектов критической информационной инфраструктуры (КИИ).

Параллельно развивалась сертификация средств криптографической защиты информации (СКЗИ), которая была возложена на Федеральную службу безопасности (ФСБ России). С 2010-х годов система сертификации стала обязательной для всё более широкого круга организаций, особенно после вступления в силу Федерального закона № 152-ФЗ «О персональных данных» (2006 год) и № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017 год).

Органы, регулирующие сертификацию

В Российской Федерации сертификация СЗИ проводится в рамках нескольких государственных систем, каждая из которых имеет свою область компетенции:

Виды сертификации

Система сертификации СЗИ в России включает несколько основных видов, различающихся по объекту и процедуре:

По объекту сертификации

По обязательности

Процедура сертификации

Процесс сертификации СЗИ в системе ФСТЭК России включает несколько этапов:

  1. Подача заявки — производитель или разработчик направляет в аккредитованный орган по сертификации (испытательную лабораторию) заявку с описанием продукта и областью его применения.
  2. Анализ документации — эксперты проверяют техническую документацию (описание функций, архитектуру, руководство по эксплуатации, модель угроз).
  3. Проведение испытаний — в аккредитованной испытательной лаборатории проводятся функциональные и атакующие тесты. Проверяется выполнение требований по защите от несанкционированного доступа, целостности, конфиденциальности, а также устойчивость к известным уязвимостям.
  4. Экспертиза результатов — орган по сертификации анализирует протоколы испытаний и принимает решение о выдаче сертификата или об отказе.
  5. Выдача сертификата — сертификат оформляется на бланке установленного образца, в нём указывается класс защищённости (например, 1А, 1Б, 2А, 2Б и т.д.) и срок действия (обычно 3 года).
  6. Инспекционный контроль — в течение срока действия сертификата проводятся периодические проверки (не реже одного раза в год) для подтверждения соответствия продукта заявленным характеристикам.

Для СКЗИ процедура аналогична, но испытания проводятся в лабораториях, аккредитованных ФСБ России, и включают криптоанализ и проверку реализации алгоритмов шифрования.

Классы и уровни защиты

В системе сертификации ФСТЭК России средства защиты информации классифицируются по классам защищённости, которые определяют уровень требований к функциональности и устойчивости к взлому. Основные классы:

Для межсетевых экранов и систем обнаружения вторжений также существуют свои классы (например, МЭ1, МЭ2, МЭ3 и т.д.), которые определяют функциональные возможности.

Значение и критика

Сертификация СЗИ играет ключевую роль в обеспечении информационной безопасности государства и бизнеса. Она гарантирует, что используемые средства прошли независимую проверку и соответствуют установленным стандартам. Это особенно важно для государственных органов, операторов КИИ и организаций, работающих с персональными данными, где утечка или компрометация информации может привести к серьёзным последствиям.

Вместе с тем, система сертификации подвергается критике по нескольким причинам:

Перспективы развития

В последние годы наблюдается тенденция к упрощению процедур для добровольной сертификации и внедрению риск-ориентированного подхода. В 2023 году ФСТЭК России анонсировала переход к «цифровому сертификату» и сокращение сроков испытаний для типовых продуктов. Также активно развивается система сертификации для средств, использующих технологии искусственного интеллекта и машинного обучения. Ожидается, что в ближайшие годы будет усилена роль сертификации для облачных сервисов и продуктов на базе открытого кода.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →