Реестр средств защиты информации ФСТЭК (Федеральной службы по таможенному и экспортному контролю) – крупный и известный государственный перечень сертифицированных продуктов. Многие организации и ведомства законодательно обязаны использовать только входящие в него СЗИ. Есть и не столь явное преимущество – уровень доверия к имеющим сертификат службы решениям явно выше чем у тех, кто данную процедуру не прошел.
Мотивация многих разработчиков сертифицировать свою продукцию ясна. Но чтобы довести процесс до желаемого итога, стоит запастись терпением и временем. Начать планирование пути рекомендуем с этой статьи.
Реестр ФСТЭК существует относительно недавно. Служба начала его вести в нынешнем виде только в июне 2020 года. На момент написания этой статьи в реестре 1961 заполненная строка. С полным перечнем прошедших сертификацию компаний можно ознакомиться здесь. Также доступны опции его скачивания в форматах ODS или CSV.
По каждому решению в таблице представлены номер, дата оформления и срок действия сертификата, название и шифр средства, тип сертификации, реквизиты заявителя и сведения о лаборатории, ответственной за испытания. Все эти сведения доступны любому пользователю, в том числе и потенциальному клиенту компании. Убедиться в наличии у продукта такого сертификата можно в несколько кликов.
Государственные структуры изучают данный документ особенно тщательно. Еще в 2015 году было принято постановление, обязывающее их использовать только сертифицированные средства защиты информации. С тех пор в него дважды вносились дополнения – актуальная версия обновлена в июне 2023 года. Если компания обязана осуществлять свою деятельность в соответствии с Федеральным законом №152 о защите персональных данных, без реестра СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно сертифицированных средств защиты информации требуют госзакупки в соответствии с ФЗ№44 и ФЗ№223.
Дмитрий Юркин
К. т. н., доцент, начальник испытательной лаборатории компании «Газинформсервис»
Основным фактором успешного прохождения сертификации продукции в системе сертификации ФСТЭК России является готовность разработчика выполнять процедуры безопасной разработки. Суть процесса сертификации – показать регулятору (ФСТЭК России) в лице Органа по сертификации (назначается решением ФСТЭК России) силами разработчика и испытательной лаборатории насколько испытываемый продукт безопасен в призме нормативной базы ФСТЭК России.
Сертификацию ФСТЭК могут пройти два вида решений:
Первое понятие шире и включает весь комплекс программных, технических, криптографических и прочих средств для обеспечения безопасности данных. Определение второго имеется в ГОСТ Р 51583-2000, где автоматизированной системой в защищенном исполнении называют систему, которая выполняет требуемые функции в соответствии с нормативными документами по защите информации.
Дмитрий Давкин
Начальник отдела ТЗКИ Cloud Networks
Фактически можно сразу обратиться за предметной консультацией и коммерческим предложением к потенциальному исполнителю процесса, который подскажет, какие шаги предпринять. Но основное – четкое понимание целей сертификации, какие продукты и в каком составе хотелось бы сертифицировать, в достаточном ли объеме в наличии есть документация на продукт, в какой степени завершенности находится актуальная версия продукта(ов), которые планируется сертифицировать.
Все требования для заявленных на сертификацию решений подробно описаны в документации ФСТЭК, которую лучше тщательно изучить до подачи заявки. Актуальную версию требований можно найти на этой странице. Предлагаемый продукт должен соответствовать требованиям определенного уровня доверия к средствам защиты. Всего их шесть и количество критериев увеличивается от шестого к первому.
Если разработчик определил свою продукцию, как автоматизированную систему в защищенном исполнении, потребуется только соответствие базового набора требований из документа об уровнях доверия. То есть чем выше уровень доверия, чем более трудоемкой может стать процедура получения сертификата ФСТЭК.
Прогнозировать, сколько времени займет сертификация конкретного продукта – дело весьма неблагодарное. В плане компании лучше заложить на это дело порядка года, однако сроки могут меняться. Процесс разделен на несколько этапов, которые подробно описаны в приказе ФСТЭК «Об утверждении положения о системе сертификации средств защиты информации». Схематично они выглядят так:
Анна Кривенко
Эксперт центра развития продуктов NGR Softlab
Сертификационные испытания СЗИ – это, пожалуй, самый сложный и длительный этап сертификации. Он начинается с отбора образцов продукта и документации. Далее лаборатория в течение 20 дней оформляет программу и методики испытаний, а орган по сертификации рассматривает и утверждает их еще 30 дней. В процессе испытаний, которые проводятся по утвержденным программе и методикам, лаборатория производит оценку соответствия заявленных характеристик продукта фактическим, а также проверяет соответствие продукта и процессов его разработки, производства, поддержки предъявляемым требованиям. По результатам проверок лаборатория оформляет протоколы и техническое заключение.
В процессе внесения своего решения в реестр ФСТЭК СЗИ компания может столкнуться с рядом сложностей. Основное – несоответствие продукта предъявляемым требованиям. Отказ возможен на нескольких этапах. Чтобы не тратить время с таким неприятным для компании итогом, лучше уделить больше времени предварительной подготовке – изучению требований и проверке соответствия им своего решения.
Если в процессе сертификации выявлены несоответствия, компания может их исправить, а не прекращать сертификацию. Однако работа над исправлениями в моменте и необходимость оперативно устранять замечания могут означать для команды излишнюю нагрузку и стресс. Как раз тот случай, когда лучше по максимуму подстелить соломки заранее.
Анастасия Ильина
Независимый эксперт компании «Индид»
На этапе принятия решения на проведение сертификационных испытаний компания-разработчик может неверно оценить свои возможности ввиду плохого понимания требований по безопасности, например, проигнорировать внедрение процедур безопасной разработки, не иметь необходимого комплекта документов или не иметь в штате компании необходимых специалистов для проведения каждого вида процедур по анализу уязвимостей.
На этапе испытаний сильно увеличивает сроки сертификационных испытаний внесение изменений в дистрибутив СЗИ или отсутствие его версии, готовой к сертификации.
Часть требований касаются не самого решения, а его разработчика. У него должны быть лицензии на проводимые работы.
Первая обязательная лицензия – на деятельность по технической защите конфиденциальной информации. Ее описание и требования к получателю доступны в положении о лицензировании. Отдельный приказ ФСТЭК устанавливает формы документации, которую необходимо заполнить.
Также разработчику потребуется лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации. Подробности о ее получении также можно найти в постановлении и приказе.
Александр Ермаков
Технический директор Arenadata
Для разработки СЗИ компания-разработчик должна обладать лицензией ФСТЭК РФ на разработку средств защиты конфиденциальной информации. Но не стоит забывать, что часто компании-разработчики дополнительно оказывают услуги по внедрению, а также обслуживанию своих продуктов у клиентов. В этом случае разработчику необходимо также получить лицензию ФСТЭК РФ на техническую защиту конфиденциальной информации. Нашей компании потребовалось получить обе лицензии.
Важно помнить, что попадание в составленный ФСТЭК реестр сертифицированных средств защиты информации накладывает на разработчика ряд обязательств. То есть это не финал, после которого сертификат можно разместить на своем сайте и забыть о нем.
На производителя сертифицированных СЗИ ложится обязанность по контролю за распространением продукта. Каждую копию сертифицированных СЗИ необходимо особым образом маркировать. Куда и как его наносить, ФСТЭК определила в тематическом разделе уже упоминавшегося в этой статье приказа.
Дополнительно компания обязана вести специальный журнал учета. В него вносят каждую копию сертифицированного СЗИ, которое промаркировано в соответствии с требованиями.
Третье обязательство – предоставлять во ФСТЭК отчетность по промаркированным образцам сертифицированного средства защиты информации. Делать это необходимо ежегодно.
Включить свой продукт в реестр сертифицированных ФСТЭК СЗИ – задача трудоемкая, но вполне решаемая. Каждой компании потребуется свой промежуток времени, чтобы достичь результата. Он может составлять от шести месяцев до двух лет, поэтому стоит запастись терпением.
Другой важный вывод – для получения желаемого результата не стоит торопиться на этапе предварительной подготовки. Важно убедиться в базовом соответствии своего решения всем требованиям к СЗИ определенного класса до подачи заявки. Даже такой сценарий полностью не исключит необходимости доработок «здесь и сейчас», но уменьшит вероятность такого развития событий.
Получения желаемого сертификата ФСТЭК – не только важная веха для разработчика, но и ответственность. У компании появляются дополнительные обязательства, которые необходимо соблюдать.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться