Сертификация средств защиты информации
Сертификация средств защиты информации — это процедура подтверждения соответствия продукции (программных, программно-аппаратных и технических средств) требованиям нормативных и методических документов в области информационной безопасности (ИБ), установленных уполномоченными государственными органами. Целью сертификации является официальное удостоверение того, что средство защиты информации (СЗИ) обладает заявленными функциональными возможностями и обеспечивает требуемый уровень защищённости обрабатываемой информации в соответствии с заданным классом или уровнем защиты.
История развития сертификации СЗИ в России
Система сертификации средств защиты информации в Российской Федерации начала формироваться в начале 1990-х годов, после распада СССР и появления новых угроз для информационных систем государственного и коммерческого сектора. Первым значимым документом стал Закон РФ «О государственной тайне» (1993 год), который установил необходимость лицензирования деятельности в области защиты сведений, составляющих государственную тайну, и сертификации соответствующих средств.
В 1995 году была принята Федеральная целевая программа «Электронная Россия», в рамках которой началось создание единой системы сертификации по требованиям безопасности информации. Ключевую роль в этом процессе сыграли Федеральное агентство правительственной связи и информации (ФАПСИ), а затем — Федеральная служба по техническому и экспортному контролю (ФСТЭК России), образованная в 2004 году. Именно ФСТЭК России стала головным органом, определяющим порядок сертификации СЗИ для государственных информационных систем (ГИС), систем персональных данных (ИСПДн) и значимых объектов критической информационной инфраструктуры (КИИ).
Параллельно развивалась сертификация средств криптографической защиты информации (СКЗИ), которая была возложена на Федеральную службу безопасности (ФСБ России). С 2010-х годов система сертификации стала обязательной для всё более широкого круга организаций, особенно после вступления в силу Федерального закона № 152-ФЗ «О персональных данных» (2006 год) и № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017 год).
Органы, регулирующие сертификацию
В Российской Федерации сертификация СЗИ проводится в рамках нескольких государственных систем, каждая из которых имеет свою область компетенции:
- ФСТЭК России — основной орган, осуществляющий сертификацию по требованиям безопасности информации (некриптографические методы). Сертификаты ФСТЭК обязательны для средств, используемых в государственных информационных системах, системах управления технологическими процессами на объектах КИИ, а также для средств антивирусной защиты, межсетевых экранов, систем обнаружения вторжений и других.
- ФСБ России — регулирует сертификацию средств криптографической защиты информации (СКЗИ), включая электронные подписи, VPN-шлюзы с криптографией, средства шифрования данных. Сертификат ФСБ обязателен для использования СКЗИ в государственных и иных системах, где требуется защита конфиденциальной информации.
- Министерство обороны Российской Федерации (Минобороны России) — проводит сертификацию СЗИ, предназначенных для использования в автоматизированных системах управления войсками и оружием, а также в системах, обрабатывающих сведения особой важности.
- Роскомнадзор — участвует в сертификации средств защиты информации, используемых в системах обработки персональных данных, но его роль в основном сводится к контролю за соблюдением требований к операторам ПДн.
Виды сертификации
Система сертификации СЗИ в России включает несколько основных видов, различающихся по объекту и процедуре:
По объекту сертификации
- Сертификация средств защиты информации (СЗИ) — проверка конкретных продуктов (программных или аппаратных) на соответствие требованиям по классам защищённости (например, СЗИ от несанкционированного доступа, межсетевые экраны, системы обнаружения вторжений).
- Сертификация объектов информатизации — оценка защищённости целостных систем, включая помещения, оборудование, каналы связи и персонал. Проводится реже, чем сертификация продуктов.
- Сертификация систем менеджмента информационной безопасности (СМИБ) — подтверждение соответствия организации требованиям стандартов (например, ГОСТ Р ИСО/МЭК 27001), но это не является обязательной сертификацией СЗИ в чистом виде.
По обязательности
- Обязательная сертификация — требуется для СЗИ, используемых в государственных информационных системах, системах персональных данных (если предусмотрено моделью угроз), объектах КИИ первой и второй категорий, а также для всех СКЗИ, применяемых для защиты государственной тайны.
- Добровольная сертификация — проводится по инициативе производителя или заказчика для подтверждения качества и безопасности продукта, например, для коммерческих организаций, не работающих с государственной тайной. Добровольные сертификаты могут выдаваться на соответствие стандартам (например, ГОСТ Р) или техническим условиям.
Процедура сертификации
Процесс сертификации СЗИ в системе ФСТЭК России включает несколько этапов:
- Подача заявки — производитель или разработчик направляет в аккредитованный орган по сертификации (испытательную лабораторию) заявку с описанием продукта и областью его применения.
- Анализ документации — эксперты проверяют техническую документацию (описание функций, архитектуру, руководство по эксплуатации, модель угроз).
- Проведение испытаний — в аккредитованной испытательной лаборатории проводятся функциональные и атакующие тесты. Проверяется выполнение требований по защите от несанкционированного доступа, целостности, конфиденциальности, а также устойчивость к известным уязвимостям.
- Экспертиза результатов — орган по сертификации анализирует протоколы испытаний и принимает решение о выдаче сертификата или об отказе.
- Выдача сертификата — сертификат оформляется на бланке установленного образца, в нём указывается класс защищённости (например, 1А, 1Б, 2А, 2Б и т.д.) и срок действия (обычно 3 года).
- Инспекционный контроль — в течение срока действия сертификата проводятся периодические проверки (не реже одного раза в год) для подтверждения соответствия продукта заявленным характеристикам.
Для СКЗИ процедура аналогична, но испытания проводятся в лабораториях, аккредитованных ФСБ России, и включают криптоанализ и проверку реализации алгоритмов шифрования.
Классы и уровни защиты
В системе сертификации ФСТЭК России средства защиты информации классифицируются по классам защищённости, которые определяют уровень требований к функциональности и устойчивости к взлому. Основные классы:
- Класс 1 — высший уровень защиты (1А, 1Б, 1В). Применяется для защиты государственной тайны особой важности и совершенно секретных сведений.
- Класс 2 — средний уровень (2А, 2Б). Используется для защиты секретных сведений и конфиденциальной информации в государственных системах.
- Класс 3 — базовый уровень (3А, 3Б, 3В). Предназначен для защиты персональных данных и конфиденциальной информации в коммерческих и муниципальных системах.
- Класс 4 — минимальный уровень (4А, 4Б). Применяется для защиты общедоступной информации или информации ограниченного доступа, не требующей высокой степени защиты.
Для межсетевых экранов и систем обнаружения вторжений также существуют свои классы (например, МЭ1, МЭ2, МЭ3 и т.д.), которые определяют функциональные возможности.
Значение и критика
Сертификация СЗИ играет ключевую роль в обеспечении информационной безопасности государства и бизнеса. Она гарантирует, что используемые средства прошли независимую проверку и соответствуют установленным стандартам. Это особенно важно для государственных органов, операторов КИИ и организаций, работающих с персональными данными, где утечка или компрометация информации может привести к серьёзным последствиям.
Вместе с тем, система сертификации подвергается критике по нескольким причинам:
- Высокая стоимость и длительность — процедура может занимать от нескольких месяцев до года и стоить миллионы рублей, что затрудняет выход на рынок для малых и средних разработчиков.
- Закрытость методологии — многие методики испытаний и требования к СЗИ являются непубличными (с грифом «ДСП» — для служебного пользования), что ограничивает возможности независимого аудита.
- Отсутствие международной гармонизации — российские сертификаты не признаются за рубежом, а иностранные (например, Common Criteria) — в России, что создаёт барьеры для импортозамещения и экспорта.
- Бюрократизация — процесс часто требует избыточного документооборота и дублирования проверок в разных системах (ФСТЭК, ФСБ, Минобороны).
Перспективы развития
В последние годы наблюдается тенденция к упрощению процедур для добровольной сертификации и внедрению риск-ориентированного подхода. В 2023 году ФСТЭК России анонсировала переход к «цифровому сертификату» и сокращение сроков испытаний для типовых продуктов. Также активно развивается система сертификации для средств, использующих технологии искусственного интеллекта и машинного обучения. Ожидается, что в ближайшие годы будет усилена роль сертификации для облачных сервисов и продуктов на базе открытого кода.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к мерам защиты информации, содержащейся в государственных информационных системах».
- Положение о сертификации средств защиты информации (утверждено ФСТЭК России).
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей».
- Методические документы ФСТЭК России по сертификации СЗИ (серия документов «Методики испытаний»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →