Государственный реестр сертифицированных средств защиты информации ФСТЭК: что нужно знать, чтобы получить сертификат

Реестр средств защиты информации ФСТЭК (Федеральной службы по таможенному и экспортному контролю) – крупный и известный государственный перечень сертифицированных продуктов. Многие организации и ведомства законодательно обязаны использовать только входящие в него СЗИ. Есть и не столь явное преимущество – уровень доверия к имеющим сертификат службы решениям явно выше чем у тех, кто данную процедуру не прошел.

Мотивация многих разработчиков сертифицировать свою продукцию ясна. Но чтобы довести процесс до желаемого итога, стоит запастись терпением и временем. Начать планирование пути рекомендуем с этой статьи.

Общее описание и законодательная база

Для чего же нужна сертификация ФСТЭК и что такое СрЗИ? Начнем по порядкУ. Средства защиты информации (СЗИ, СрЗИ) — это специальное программное или аппаратное обеспечение, в том числе средства физической защиты информации, криптографические средства защиты и т. п. Сертификация средств защиты информации (СЗИ) заключается в подтверждении соответствия объектов актуальным требованиям законодательства. Благодаря сертификации разработчики смогут подтвердить. что их продукт полностью безопасен и соответствует букве закона. Процедура проводится в обязательном порядке в рамках системы оценки соответствия Федеральной службы по техническому и экспортному контролю. После компания-разработчик попадает в реестр лицензиатов ФСТЭК, а продукт — в реестр СЗИ ФСТЭК.

Реестр СЗИ ФСТЭК существует относительно недавно. Служба начала его вести в нынешнем виде только в июне 2020 года. На момент написания этой статьи в реестре 1961 заполненная строка. С полным перечнем прошедших сертификацию компаний можно ознакомиться здесь. Также доступны опции его скачивания в форматах ODS или CSV.

По каждому решению в таблице представлены номер, дата оформления и срок действия сертификата, название и шифр средства, тип сертификации, реквизиты заявителя и сведения о лаборатории, ответственной за испытания. Все эти сведения доступны любому пользователю, в том числе и потенциальному клиенту компании, желающему провести проверку сертификата ФСТЭК у продукта. Убедиться в наличии у продукта сертификата ФСТЭК можно в несколько кликов.

Государственные структуры изучают данный документ особенно тщательно. Еще в 2015 году было принято постановление, обязывающее их использовать только сертифицированные средства защиты информации. С тех пор в него дважды вносились дополнения – актуальная версия обновлена в июне 2023 года. Если компания обязана осуществлять свою деятельность в соответствии с Федеральным законом №152 о защите персональных данных, без реестра СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно сертифицированных средств защиты информации требуют госзакупки в соответствии с ФЗ№44 и ФЗ№223.

Дмитрий Юркин

К. т. н., доцент, начальник испытательной лаборатории компании «Газинформсервис»

Основным фактором успешного прохождения сертификации продукции в системе сертификации ФСТЭК России является готовность разработчика выполнять процедуры безопасной разработки. Суть процесса сертификации – показать регулятору (ФСТЭК России) в лице Органа по сертификации (назначается решением ФСТЭК России) силами разработчика и испытательной лаборатории насколько испытываемый продукт безопасен в призме нормативной базы ФСТЭК России.

Какие продукты могут войти в реестр

Пройти сертификацию и попасть в перечень сертифицированных средств защиты ФСТЭК могут два вида решений:

• собственно средство защиты информации или СЗИ;
• автоматизированная система в защищенном исполнении.

Первое понятие шире и включает весь комплекс программных, технических, криптографических и прочих средств для обеспечения безопасности данных. Определение второго имеется в ГОСТ Р 51583-2000, где автоматизированной системой в защищенном исполнении называют систему, которая выполняет требуемые функции в соответствии с нормативными документами по защите информации.

Дмитрий Давкин

Начальник отдела ТЗКИ Cloud Networks

Фактически можно сразу обратиться за предметной консультацией и коммерческим предложением к потенциальному исполнителю процесса, который подскажет, какие шаги предпринять. Но основное – четкое понимание целей сертификации, какие продукты и в каком составе хотелось бы сертифицировать, в достаточном ли объеме в наличии есть документация на продукт, в какой степени завершенности находится актуальная версия продукта(ов), которые планируется сертифицировать.

Все требования для заявленных на сертификацию решений подробно описаны в документации ФСТЭК, которую лучше тщательно изучить до подачи заявки. Актуальную версию требований можно найти на этой странице. Чтобы войти в базу сертификатов ФСТЭК, предлагаемый продукт должен соответствовать требованиям определенного уровня доверия к средствам защиты. Всего их шесть и количество критериев увеличивается от шестого к первому.

Если разработчик определил свою продукцию, как автоматизированную систему в защищенном исполнении, потребуется только соответствие базового набора требований из документа об уровнях доверия. То есть чем выше уровень доверия, чем более трудоемкой может стать процедура получения сертификата ФСТЭК.

Процесс сертификации и его этапы

Прогнозировать, сколько времени займет процедура – дело весьма неблагодарное, так как получить сертификат ФСТЭК могут разработчики, прошедшие все этапы лицензирования. В плане компании лучше заложить на это дело порядка года, однако сроки могут меняться. Процесс разделен на несколько этапов, которые подробно описаны в приказе ФСТЭК «Об утверждении положения о системе сертификации средств защиты информации». Схематично они выглядят так:

• подача заявки во ФСТЭК;
• решение о сертификации, когда ответ регулятора положительный;
• сами сертификационные испытания, включающие составление лабораторией их методики, сам процесс по составленной ранее документации и оформление заключения;
• анализ материалов испытаний органом по сертификации;
• оформление самого сертификата при принятом положительном решении.

 Анна Кривенко

Эксперт центра развития продуктов NGR Softlab

Сертификационные испытания СЗИ – это, пожалуй, самый сложный и длительный этап сертификации. Он начинается с отбора образцов продукта и документации. Далее лаборатория в течение 20 дней оформляет программу и методики испытаний, а орган по сертификации рассматривает и утверждает их еще 30 дней. В процессе испытаний, которые проводятся по утвержденным программе и методикам, лаборатория производит оценку соответствия заявленных характеристик продукта фактическим, а также проверяет соответствие продукта и процессов его разработки, производства, поддержки предъявляемым требованиям. По результатам проверок лаборатория оформляет протоколы и техническое заключение.

В процессе внесения своего решения в реестр ФСТЭК СЗИ компания может столкнуться с рядом сложностей. Основное – несоответствие продукта предъявляемым требованиям. Отказ возможен на нескольких этапах. Чтобы не тратить время с таким неприятным для компании итогом, лучше уделить больше времени предварительной подготовке – изучению требований и проверке соответствия им своего решения.

Если в процессе сертификации выявлены несоответствия, компания может их исправить, а не прекращать сертификацию. Однако работа над исправлениями в моменте и необходимость оперативно устранять замечания могут означать для команды излишнюю нагрузку и стресс. Как раз тот случай, когда лучше по максимуму подстелить соломки заранее.

Анастасия Ильина

Независимый эксперт компании «Индид» 

На этапе принятия решения на проведение сертификационных испытаний компания-разработчик может неверно оценить свои возможности ввиду плохого понимания требований по безопасности, например, проигнорировать внедрение процедур безопасной разработки, не иметь необходимого комплекта документов или не иметь в штате компании необходимых специалистов для проведения каждого вида процедур по анализу уязвимостей.

На этапе испытаний сильно увеличивает сроки сертификационных испытаний внесение изменений в дистрибутив СЗИ или отсутствие его версии, готовой к сертификации.

Но есть и хорошие новости по сертификации. Сейчас при любых изменениях в программном коде (например, в случае выявления уязвимости или программных ошибок в системах защиты информации) нужно проходить сертификацию заново. Для повторной сертификации каждого обновления нужно минимум полгода.

И вот хорошая новость — до конца 2024 г. ФСТЭК планирует сократить сроки повторной сертификации софта посредством введения процесса сертификации безопасной разработки. Изменения, которые планирует внести ФСТЭК в процедуру проверки, позволят сократить сроки аттестации до нескольких месяцев. Изменения коснутся разработчиков именно средств защиты и общесистемного ПО (например, операционных систем и баз данных), проходящих сертификацию по требованиям безопасности, но не затронут разработчиков прикладного софта.

Идея заключается в том, что сертифицироваться будет не готовый продукт, а процесс его разработки. ФСТЭК уже давно требует от лицензиатов, имеющих право разрабатывать средства защиты информации, выстраивать процесс безопасной разработки. Принцип так называемой сертификации по схеме «серия» или «серийное производство», когда считается (и подтверждается), что «весь процесс разработки надежный и все, что создано в его рамках, также надежно и безопасно», существует в IT более 30 лет. А теперь ФСТЭК просто позволит использовать его как формальное подтверждение безопасности. Так сократится процесс сертификации, а разработчики смогут предлагать заказчикам уже аттестованные решения.

В настоящее время ФСТЭК прорабатывает возможность внесения изменений в ГОСТ,  который регламентирует процессы безопасной разработки. Так что ждем законодательных решений и официальных изменений в процессах сертификации. 

Что потребуется от разработчика

Часть требований касаются не самого решения, а его разработчика. У него должны быть лицензии на проводимые работы.

Первая обязательная лицензия – на деятельность по технической защите конфиденциальной информации. Ее описание и требования к получателю доступны в положении о лицензировании. Отдельный приказ ФСТЭК устанавливает формы документации, которую необходимо заполнить.

Также разработчику потребуется лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации. Подробности о ее получении также можно найти в постановлении и приказе.

Александр Ермаков

Технический директор Arenadata

Для разработки СЗИ компания-разработчик должна обладать лицензией ФСТЭК РФ на разработку средств защиты конфиденциальной информации. Но не стоит забывать, что часто компании-разработчики дополнительно оказывают услуги по внедрению, а также обслуживанию своих продуктов у клиентов. В этом случае разработчику необходимо также получить лицензию ФСТЭК РФ на техническую защиту конфиденциальной информации. Нашей компании потребовалось получить обе лицензии.

Все только начинается

Важно помнить, что попадание в реестр лицензий ФСТЭК накладывает на разработчика ряд обязательств. То есть это не финал, после которого сертификат можно разместить на своем сайте и забыть о нем.

На производителя сертифицированных СЗИ ложится обязанность по контролю за распространением продукта. Каждую копию сертифицированных СЗИ необходимо особым образом маркировать. Куда и как его наносить, ФСТЭК определила в тематическом разделе уже упоминавшегося в этой статье приказа.

Дополнительно компания обязана вести специальный журнал учета. В него вносят каждую копию сертифицированного СЗИ, которое промаркировано в соответствии с требованиями.

Третье обязательство – предоставлять во ФСТЭК отчетность по промаркированным образцам сертифицированного средства защиты информации. Делать это необходимо ежегодно.

Выводы

Включить свой продукт в реестр сертифицированных ФСТЭК СЗИ – задача трудоемкая, но вполне решаемая. Каждой компании потребуется свой промежуток времени, чтобы достичь результата. Он может составлять от шести месяцев до двух лет, поэтому стоит запастись терпением.

Другой важный вывод – для получения желаемого результата не стоит торопиться на этапе предварительной подготовки. Важно убедиться в базовом соответствии своего решения всем требованиям к СЗИ определенного класса до подачи заявки. Даже такой сценарий полностью не исключит необходимости доработок «здесь и сейчас», но уменьшит вероятность такого развития событий.

Получения желаемого сертификата ФСТЭК – не только важная веха для разработчика, но и ответственность. У компании появляются дополнительные обязательства, которые необходимо соблюдать.