Сертификация средств защиты информации в России

Нормативная база

Основой для сертификации СЗИ является:

• Положение о системе сертификации СЗИ, утверждённое приказом ФСТЭК России №55 от 03.04.2018;
• профильные документы ФСТЭК, определяющие требования к средствам защиты информации и порядку их оценки.

Важно:

Постановление Правительства №608 не вводит обязательность сертификации СЗИ. Оно лишь определяет общие вопросы лицензирования деятельности по технической защите информации. Требования к сертификации устанавливаются исключительно ФСТЭК.

Какие средства подлежат сертификации

Сертификация проводится в отношении СЗИ, предназначенных для:

• защиты информации, составляющей гостайну;
• защиты данных ограниченного доступа (кроме гостайны), если это прямо предусмотрено нормативными документами;
• обеспечения безопасности ИТ-технологий;
• контроля эффективности применяемых защитных механизмов.

Важно: ФСТЭК не использует классификацию «технические / программные / организационные».

Классы защиты и уровни доверия

Модель уровней доверия, использовавшаяся ранее, устарела.

Сегодня применяются актуальные требования ФСТЭК, включающие:

• уровни контроля корректности реализации функций защиты;
• требования к разработке, тестированию и сопровождению;
• требования к документации и жизненному циклу продукта.

Кто может быть заявителем

Заявителем на сертификацию СЗИ может быть только:

• разработчик,
• производитель,
• поставщик, имеющий официальные полномочия.

Пользователь не может выступать заявителем. Это принципиальный юридический момент.

Схемы оценки соответствия

Положение о системе сертификации СЗИ предусматривает три схемы:

• Сертификация единичного экземпляра. Испытания проводятся для конкретного изделия.
• Сертификация партии. Проверяется выборка образцов из партии.
• Сертификация серийного производства. Оценивается не только продукт, но и процессы разработки, сопровождения и производства.

Дополнительно проверяется организация технической поддержки и сопровождения.

Как проходит сертификация

Процедура включает:

• идентификацию продукта и анализ применимых требований;
• подготовку документации;
• проведение испытаний в аккредитованной лаборатории ФСТЭК;
• анализ результатов;
• оформление и регистрацию сертификата.

Сертификацию проводят только аккредитованные органы и лаборатории ФСТЭК.

Кейс из практики

«Сертификация СЗИ для разработчика: продукт вышел на рынок госзаказа»

Ситуация: Разработчик корпоративного решения по контролю целостности обратился за консультацией: продукт был готов к выводу на рынок, но без сертификата ФСТЭК его не допускали к участию в проектах для государственных и крупных корпоративных заказчиков.

Что было сделано:

• провели анализ архитектуры и определили применимые требования ФСТЭК;
• помогли подготовить комплект технической документации;
• организовали взаимодействие с аккредитованной лабораторией;
• сопровождали процесс испытаний и устранения замечаний;
• подготовили пакет документов для подачи в орган сертификации.

Результат: Продукт успешно прошёл испытания и получил сертификат ФСТЭК.

Компания вышла на рынок госзаказа и заключила первые контракты в течение трёх месяцев после получения сертификата.

Преимущества сертификации СЗИ

• подтверждение корректности реализации механизмов защиты;
• допуск к государственным и корпоративным проектам;
• повышение доверия со стороны заказчиков и партнёров;
• конкурентное преимущество на рынке информационной безопасности;
• возможность участия в тендерах, где сертификация является обязательным условием;
• повышение стоимости и статуса продукта;
• укрепление репутации разработчика или производителя.

Оставьте заявку — поможем подготовить продукт к сертификации СЗИ и пройти процедуру корректно, прозрачно и без ошибок.