Сертификация по требованиям ФСТЭК России остается ключевым инструментом обеспечения информационной безопасности в России, особенно в последние годы. На чем бы ни специализировалась ваша организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной обработкой данных, имеет важное значение. Однако, для многих разработчиков процесс выглядит непонятным, приходится разбираться на ходу, из‑за чего проведение сертификационных испытаний может затянуться на год и более. Мы в eXpress изначально выбрали стратегию security‑first — и стали единственным супераппом в классе «онлайн‑коммуникации», сертифицированным ФСТЭК России по 4 уровню доверия.
Меня зовут Максим Рубан, я руковожу направлением информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress. В серии статей я подробно покажу процесс прохождения сертификации, что важно не забыть и где сэкономить ресурсы.
Начнем с изучения законодательной базы, подготовки процессов и необходимых документов.
Как подойти к сертификации ФСТЭК
Сертификация ФСТЭК — это процесс оценки соответствия информационных систем и систем защиты информации требованиям безопасности. Сертификация необходима для использования информационных технологий в государственных информационных системах (ГИС), критических информационных инфраструктурах (КИИ), информационных системах персональных данных (ИСПДн), автоматизированных системах управления технологическим процессом (АСУ ТП) и органах местного самоуправления. При проведении сертификации проверяются технические и организационные меры защиты информации, наличие уязвимостей, а также соответствие установленным нормам и стандартам безопасности Российской Федерации.
Получение лицензий
Первоначально вашей компании необходимо получить необходимые лицензии ФСТЭК России для начала работ по сертификации, а именно, лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации и лицензию на деятельность по технической защите конфиденциальной информации.
Необходимая информация содержится в нормативных документах:
Постановление Правительства Российской Федерации от 3 марта 2012 г. N 171. «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».
Приказ ФСТЭК России от 12 января 2023 г. N 4. «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. N 133 и внесенных в него изменений».
Обеспечение необходимыми документами
После получения лицензий, разработчику программного или программно‑аппаратного обеспечения необходимо изучить нормативную методическую базу ФСТЭК России и определить, где планируется применять разработанный софт. Основные документы для понимания процесса сертификации:
Приказ ФСТЭК России от 2 июня 2020 г. № 76, Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
Приказ ФСТЭК России от 3 апреля 2018 г. № 55. Об утверждении положения о системе сертификации средств защиты информации.
ГОСТ Р 56 939–2016 Национальный стандарт Российской Федерации по защите информации. Разработка безопасного программного обеспечения, общие требования.
Если планируется применять в ИСПДн:
Федеральный закон от 27 июля 2006 г. «О персональных данных» № 152-ФЗ.
Постановление Правительства от 01 ноября 2012 г. № 1119.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Если планируется применять в ГИС:
Приказ ФСТЭК России от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
Если планируется применять в АСУ ТП:
Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Если планируется применять в КИИ:
Федеральный закон от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры РФ» № 187-ФЗ.
Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Методический документ ФСТЭК России от 11 февраля 2014 г. Меры защиты информации в государственных информационных системах.
Если после изучения документов ваша готовность сертифицировать продукт не исчезла, то необходимо изучить «Методику выявления уязвимостей и недекларированных возможностей». Это документ с ограниченным доступом, его необходимо запросить официальным письмом у ФСТЭК России. Они необходимы разработчику для понимания алгоритмов проверки на наличие уязвимостей и недекларированных возможностей (НДВ) в ПО.
Также существуют так называемые профили защиты. Это набор требований ФСТЭК России под определенные типы сертифицируемого изделия, такие как: средства антивирусной проверки, операционные системы, средства доверенной загрузки, межсетевые экраны, средства контроля подключения съемных машинных носителей информации, систем обнаружения вторжений.
Подготовительные работы по сертификации
После ознакомления с нормативными документами и перед подачей заявки на сертификацию нужно выполнить несколько подготовительных работ.
1. Определить схему сертификации
a. единичный образец (если планируется применять одну единственную копию продукта);
b. партия (если планируется применять определенное количество копий продукта);
c. серийное производство (если нет четких границ по количеству продаваемых копий).
2. Определить необходимый уровень доверия в соответствии с Приказом № 76 ФСТЭК России (зависит от того, в каких ИС планируется применять средство).
3. Разработать необходимый минимальный комплект документов для подачи заявки. Документы составляются в соответствии с ЕСПД (ГОСТ 19) Единая система программной документации:
a. Формуляр
b. Технические условия и/или Техническое задание
c. Руководство пользователя
d. Руководство администратора
Также для прохождения сертификации потребуется разработать дополнительную документацию для выполнения требований Методики и Приказа ФСТЭК России от 2 июня 2020 г. № 76. Если осуществляется сертификация серийного производства, также потребуется выполнение требований ГОСТ Р 56 939–2024 Защита информации. Разработка безопасного программного обеспечения.
В процессе сертификации проводится анализ документов, содержащих описание реализации предъявляемых требований. Основной объем занимает реализация и описание требований из Приказа ФСТЭК № 76.
Что необходимо отразить в документации:
Проектирование архитектуры безопасности средства. Необходимо предоставить описание: безопасности процесса инициализации средства; обеспечения собственной защиты средства от несанкционированного доступа; невозможности обхода функций безопасности средства.
Разработка функциональной спецификации средства. Необходимо предоставить описание: назначения и способов использования каждого интерфейса функций безопасности; идентификации параметров, связанных с каждым интерфейсом функций безопасности; идентификации интерфейсов средства, не влияющих на функции безопасности средства.
Проектирование средства. Необходимо предоставить описание: перечня подсистем, реализующих функции безопасности средства; перечня подсистем, поддерживающих выполнение функций безопасности; перечня подсистем, не влияющих на выполнение функций безопасности.
Разработка проектной (программной) документации. Проектная документация средства, включающая проект на уровне подсистем средства (эскизный проект) и проект на уровне модулей средства (технический проект).
Управление конфигурацией средства. Необходимо предоставить описание: уникальной маркировки средства; элементов конфигурации средства, включающий в том числе документацию; порядка управления изменениями средства и документации.
Важно помнить, что требования и состав документов варьируются в зависимости от уровня контроля, на который проводится сертификация средства.
Надеемся, наш гайд станет опорой для компаний, которые начинают готовиться к сертификации ФСТЭК. А непосредственно про процесс сертификации ФСТЭК мы поговорим в следующей статье.
Комментарии (8)
Noospheratu
05.11.2024 12:59Разработать необходимый минимальный комплект документов для подачи заявки.
Для рассмотрения Заявки Регулятором документы "Руководство администратора" и "Руководство пользователя" не являются необходимыми.maxislive77 Автор
05.11.2024 12:59Да, но без руководств процесс сертификации попросту не пройти.
При наличии большого функционала документы получаются объемные и необходимо заложить время на их разработку. В данной статье мы хотели этот факт подсветить.
Тем более сейчас ни один продукт не поставляется без эксплуатационных документов. Поэтому к подаче заявке они нужны.
p.s. например, испытательная лаборатория обязательно запрашивает их при проведении предварительного анализа ПО.
Shaman_RSHU
05.11.2024 12:59А вот у меня опыт получения аттестат без РД. Не нужно путать аттестацию с сертификацией.
p.s. Функционал - это такой математический знак. Функциональность.
maxislive77 Автор
05.11.2024 12:59Не нужно путать аттестацию с сертификацией.
Совершенно верно, здесь мы забегаем вперед и делимся опытом на живом примере.
Любому похожему ПО суждено быть частью системы, где потребуются эксплуатационные документы, а возможно и аттестация. Именно по этой причине мы подготовились заранее.Функционал - это такой математический знак
Век живи, век учись. Благодарю, возьму на заметку.
KOMMEHTATOP
05.11.2024 12:59Да все примерно правильно вам человек описал.
Я тоже на прошлой работе протаскивал там софт.
Человек, тут примерный алгоритм вам расписывает, а вы накинулись из-за какой-то неточности…
maxislive77 Автор
05.11.2024 12:59Благодарю. Критика по существу всегда приветствуется.
Всегда готовы дополнить или уточнить текст, если это требуется.
Скоро выпустим вторую часть статьи.
alexhott
и стали единственным супераппом
кем вы стали? не нашел в стандартах ФСТЭК и ГОСТАХ никаких "сперапов" , статья судя по всему фейк не имеющий отношения к реальности
maxislive77 Автор
Действительно, упоминание "суперапп" в названии продукта отсутствует и термин для отечественного рынка достаточно "новый".
Тем более, наименование продукта "Система коммуникаций "eXpress" указано и в Реестре отечественного ПО.
Наш продукт позволяет выстраивать федеративные коммуникации без "отрыва" от производственного процесса и предоставить работнику удобный и безопасный инструмент.
Запись в двух реестрах и ежегодные премии в различных номинациях. Решать Вам.