Государственный реестр сертифицированных средств защиты информации ФСТЭК: что нужно знать, чтобы получить сертификат

Реестр средств защиты информации ФСТЭК (Федеральной службы по таможенному и экспортному контролю) – крупный и известный государственный перечень сертифицированных продуктов. Многие организации и ведомства законодательно обязаны использовать только входящие в него СЗИ. Есть и не столь явное преимущество – уровень доверия к имеющим сертификат службы решениям явно выше чем у тех, кто данную процедуру не прошел.

Мотивация многих разработчиков сертифицировать свою продукцию ясна. Но чтобы довести процесс до желаемого итога, стоит запастись терпением и временем. Начать планирование пути рекомендуем с этой статьи.

Общее описание и законодательная база

Реестр ФСТЭК существует относительно недавно. Служба начала его вести в нынешнем виде только в июне 2020 года. На момент написания этой статьи в реестре 1961 заполненная строка. С полным перечнем прошедших сертификацию компаний можно ознакомиться здесь. Также доступны опции его скачивания в форматах ODS или CSV.

По каждому решению в таблице представлены номер, дата оформления и срок действия сертификата, название и шифр средства, тип сертификации, реквизиты заявителя и сведения о лаборатории, ответственной за испытания. Все эти сведения доступны любому пользователю, в том числе и потенциальному клиенту компании. Убедиться в наличии у продукта такого сертификата можно в несколько кликов.

Государственные структуры изучают данный документ особенно тщательно. Еще в 2015 году было принято постановление, обязывающее их использовать только сертифицированные средства защиты информации. С тех пор в него дважды вносились дополнения – актуальная версия обновлена в июне 2023 года. Если компания обязана осуществлять свою деятельность в соответствии с Федеральным законом №152 о защите персональных данных, без реестра СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно сертифицированных средств защиты информации требуют госзакупки в соответствии с ФЗ№44 и ФЗ№223.

Дмитрий Юркин

К. т. н., доцент, начальник испытательной лаборатории компании «Газинформсервис»

Основным фактором успешного прохождения сертификации продукции в системе сертификации ФСТЭК России является готовность разработчика выполнять процедуры безопасной разработки. Суть процесса сертификации – показать регулятору (ФСТЭК России) в лице Органа по сертификации (назначается решением ФСТЭК России) силами разработчика и испытательной лаборатории насколько испытываемый продукт безопасен в призме нормативной базы ФСТЭК России.

Какие продукты могут войти в реестр

Сертификацию ФСТЭК могут пройти два вида решений:

• собственно средство защиты информации или СЗИ;
• автоматизированная система в защищенном исполнении.

Первое понятие шире и включает весь комплекс программных, технических, криптографических и прочих средств для обеспечения безопасности данных. Определение второго имеется в ГОСТ Р 51583-2000, где автоматизированной системой в защищенном исполнении называют систему, которая выполняет требуемые функции в соответствии с нормативными документами по защите информации.

Дмитрий Давкин

Начальник отдела ТЗКИ Cloud Networks

Фактически можно сразу обратиться за предметной консультацией и коммерческим предложением к потенциальному исполнителю процесса, который подскажет, какие шаги предпринять. Но основное – четкое понимание целей сертификации, какие продукты и в каком составе хотелось бы сертифицировать, в достаточном ли объеме в наличии есть документация на продукт, в какой степени завершенности находится актуальная версия продукта(ов), которые планируется сертифицировать.

Все требования для заявленных на сертификацию решений подробно описаны в документации ФСТЭК, которую лучше тщательно изучить до подачи заявки. Актуальную версию требований можно найти на этой странице. Предлагаемый продукт должен соответствовать требованиям определенного уровня доверия к средствам защиты. Всего их шесть и количество критериев увеличивается от шестого к первому.

Если разработчик определил свою продукцию, как автоматизированную систему в защищенном исполнении, потребуется только соответствие базового набора требований из документа об уровнях доверия. То есть чем выше уровень доверия, чем более трудоемкой может стать процедура получения сертификата ФСТЭК.

Процесс сертификации и его этапы

Прогнозировать, сколько времени займет сертификация конкретного продукта – дело весьма неблагодарное. В плане компании лучше заложить на это дело порядка года, однако сроки могут меняться. Процесс разделен на несколько этапов, которые подробно описаны в приказе ФСТЭК «Об утверждении положения о системе сертификации средств защиты информации». Схематично они выглядят так:

• подача заявки во ФСТЭК;
• решение о сертификации, когда ответ регулятора положительный;
• сами сертификационные испытания, включающие составление лабораторией их методики, сам процесс по составленной ранее документации и оформление заключения;
• анализ материалов испытаний органом по сертификации;
• оформление самого сертификата при принятом положительном решении.

 Анна Кривенко

Эксперт центра развития продуктов NGR Softlab

Сертификационные испытания СЗИ – это, пожалуй, самый сложный и длительный этап сертификации. Он начинается с отбора образцов продукта и документации. Далее лаборатория в течение 20 дней оформляет программу и методики испытаний, а орган по сертификации рассматривает и утверждает их еще 30 дней. В процессе испытаний, которые проводятся по утвержденным программе и методикам, лаборатория производит оценку соответствия заявленных характеристик продукта фактическим, а также проверяет соответствие продукта и процессов его разработки, производства, поддержки предъявляемым требованиям. По результатам проверок лаборатория оформляет протоколы и техническое заключение.

В процессе внесения своего решения в реестр ФСТЭК СЗИ компания может столкнуться с рядом сложностей. Основное – несоответствие продукта предъявляемым требованиям. Отказ возможен на нескольких этапах. Чтобы не тратить время с таким неприятным для компании итогом, лучше уделить больше времени предварительной подготовке – изучению требований и проверке соответствия им своего решения.

Если в процессе сертификации выявлены несоответствия, компания может их исправить, а не прекращать сертификацию. Однако работа над исправлениями в моменте и необходимость оперативно устранять замечания могут означать для команды излишнюю нагрузку и стресс. Как раз тот случай, когда лучше по максимуму подстелить соломки заранее.

Анастасия Ильина

Независимый эксперт компании «Индид» 

На этапе принятия решения на проведение сертификационных испытаний компания-разработчик может неверно оценить свои возможности ввиду плохого понимания требований по безопасности, например, проигнорировать внедрение процедур безопасной разработки, не иметь необходимого комплекта документов или не иметь в штате компании необходимых специалистов для проведения каждого вида процедур по анализу уязвимостей.

На этапе испытаний сильно увеличивает сроки сертификационных испытаний внесение изменений в дистрибутив СЗИ или отсутствие его версии, готовой к сертификации.

Что потребуется от разработчика

Часть требований касаются не самого решения, а его разработчика. У него должны быть лицензии на проводимые работы.

Первая обязательная лицензия – на деятельность по технической защите конфиденциальной информации. Ее описание и требования к получателю доступны в положении о лицензировании. Отдельный приказ ФСТЭК устанавливает формы документации, которую необходимо заполнить.

Также разработчику потребуется лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации. Подробности о ее получении также можно найти в постановлении и приказе.

Александр Ермаков

Технический директор Arenadata

Для разработки СЗИ компания-разработчик должна обладать лицензией ФСТЭК РФ на разработку средств защиты конфиденциальной информации. Но не стоит забывать, что часто компании-разработчики дополнительно оказывают услуги по внедрению, а также обслуживанию своих продуктов у клиентов. В этом случае разработчику необходимо также получить лицензию ФСТЭК РФ на техническую защиту конфиденциальной информации. Нашей компании потребовалось получить обе лицензии.

Все только начинается

Важно помнить, что попадание в составленный ФСТЭК реестр сертифицированных средств защиты информации накладывает на разработчика ряд обязательств. То есть это не финал, после которого сертификат можно разместить на своем сайте и забыть о нем.

На производителя сертифицированных СЗИ ложится обязанность по контролю за распространением продукта. Каждую копию сертифицированных СЗИ необходимо особым образом маркировать. Куда и как его наносить, ФСТЭК определила в тематическом разделе уже упоминавшегося в этой статье приказа.

Дополнительно компания обязана вести специальный журнал учета. В него вносят каждую копию сертифицированного СЗИ, которое промаркировано в соответствии с требованиями.

Третье обязательство – предоставлять во ФСТЭК отчетность по промаркированным образцам сертифицированного средства защиты информации. Делать это необходимо ежегодно.

Выводы

Включить свой продукт в реестр сертифицированных ФСТЭК СЗИ – задача трудоемкая, но вполне решаемая. Каждой компании потребуется свой промежуток времени, чтобы достичь результата. Он может составлять от шести месяцев до двух лет, поэтому стоит запастись терпением.

Другой важный вывод – для получения желаемого результата не стоит торопиться на этапе предварительной подготовки. Важно убедиться в базовом соответствии своего решения всем требованиям к СЗИ определенного класса до подачи заявки. Даже такой сценарий полностью не исключит необходимости доработок «здесь и сейчас», но уменьшит вероятность такого развития событий.

Получения желаемого сертификата ФСТЭК – не только важная веха для разработчика, но и ответственность. У компании появляются дополнительные обязательства, которые необходимо соблюдать.