8 (800) 302-85-23

25.04.2022

Сертификация ФСТЭК

Сертификация ФСТЭК

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

ФЗ № 152 от 26.01.2007 обозначает необходимость соблюдения правил работы с персональными данными (ПДн), сохранения их целостности, конфиденциальности. При этом никак не обозначены технические требования в отношении используемого ПО и IT- систем, работающих с информацией, что чревато неоднозначностью и спорностью подходов к обработке, передаче, хранению ПДн. Решить эти проблемы призвана сертификация ФСТЭК, которая гарантирует, что ПО, используемое оператором для обеспечения безопасности информации, соответствует заявленным требованиям к СЗИ.

Что такое сертификация ФСТЭК?

Данная процедура связана с получением документального подтверждения, что ПО и IT-инструменты, которые использует оператор в ходе ведения своей деятельности, соответствуют действующим стандартам безопасности ФСТЭК. Документальное подтверждения соответствия ПО стандартам безопасности может быть представлено в виде сертификата и аттестата.

Разница между сертификатом и аттестатом заключается в том, что первый нужен компаниям, которые занимаются разработкой программного обеспечения по защите информации и выводят новый программный продукт на рынок. Второй требуется организациям, которые производят обработку, хранение важной информации, для которой предусмотрена защита, согласно уровню ее критичности.

Процедуры сертификации и аттестации ПО могут существенно отличаться от случая к случаю как по продолжительности проведения тестовых испытаний, так и по уровню требований, предъявляемых к ним. Это связано с разными уровнями сертификатов ФСТЭК и категориями данных.

процедуры сертификации фстэк

Зачем нужна сертификация ФСТЭК?

  • Для подтверждения надежности и безопасности ПО при работе с критически важными сведениями.

  • Для вывода на рынок нового ПО, которое предназначено для использования в информационных системах с повышенными требованными к безопасности.

  • Для исключения штрафов и уголовного наказания со стороны регуляторов при использовании несертифицированного ПО в информационных системах, где это недопустимо.

Аттестация ФСТЭК является обязательной для организаций, которые работают в ГИС, АСУ ТП, относятся к объектам КИИ, обрабатывают ПДн и государственную тайну. В таких организациях также недопустимо использование несертифицированного ПО, т.к. это несет огромные риски информационной безопасности. Игнорирование сертификации или переход на несертифицированное ПО наказывается крупными штрафами и даже уголовной ответственностью. ФСТЭК располагает собственным реестром, куда внесены все проверенные системы защиты данных, что упрощает поиск и подтверждение сертификатов ПО.

Кому необходимо проходить аттестацию ФСТЭК?

Организациям, работающим с важной информацией, требуется получение аттестата ФСТЭК. Сертификацию ФСТЭК, в свою очередь, проходят разработчики средств защиты информации (СЗИ). Получение аттестата ФСТЭК будет обязательным условием для организации, если она работает с государственной тайной, ПДн, иной информацией, внесенной в список ограниченного доступа и охраняемой законодательством РФ. Сюда включены сведения, относящиеся к первым трем уровням защищенности. Например, сведения биометрического характера, которые позволяют идентифицировать личность, разведанные, указывающие на дислокацию военных сил и расположение важных объектов, сведения, касающиеся семейной тайны или деловой переписки и открывающие приватную информацию третьей стороне.

Под обязательную аттестацию попадают все государственные информационные системы, где используется автоматизация при работе с данными. На это указывает Приказ ФСТЭК № 17 от 11.02.2013 (статья 3). В отношении коммерческих организаций аттестация носит добровольный характер согласно положению об аттестации, однако при этом должна обязательно присутствовать независимая оценка эффективности действующих мер по защите информации (Приказ ФСТЭК № 21, ФЗ № 152). Получить подобную оценку возможно только путем прохождения аттестации. Отсюда следует, что и некоммерческие организации, если они работают с ПДн, также должны обладать аттестатом о соответствии требованиям безопасности, чтобы избежать наказания со стороны проверяющих органов.

Исключением для аттестации выступают:

  • Случаи, когда оператор данных не производит хранение и обработку ПДн. Например, малый бизнес, который не собирает никаких сведений о своих клиентах или использует обезличенную информацию в процессе отношений с клиентом, по которой невозможно его идентифицировать.

  • Случаи, когда оператор данных хранит исключительно информацию четвертого уровня защищенности. Это общедоступные ПДн, находящиеся в открытых источниках. Например, ФИО, род деятельности, место проживания человека.

аттестация фстэк

Специфика сертификации ФСТЭК

Согласно Приказу ФСТЭК РФ № 55 от 3.04.2018 обязательной сертификации подлежит все ПО, которое применяется для защиты государственной тайны и ПДн. При этом важно принимать во внимание следующие моменты, когда идет речь о прохождении сертификации ПО:

  1. Сертифицированная версия ПО имеет ряд существенных отличий от обычной версии. Во-первых, она поставляется совместно с сертификатом, что исключает какие-либо дополнительные действия в ее отношении. Во-вторых, класс надежности ПО зафиксирован и не вызывает сомнений. При этом присутствует ряд недостатков: задержки с обновлением программного обеспечения и присутствие ограничений по функционалу. Процесс сертификации ФСТЭК, как правило, занимает продолжительное время – в среднем, 5-12 месяцев. Учитывая, что сертифицируют отлаженную и обновленную версию ПО, следующее обновление смещается в сертифицированной версии на месяцы по сравнению с обычным вариантом ПО. Часть функционала, сертифицированного программного продукта нередко ограничена, особенно если речь идет об исключении недекларированных возможностей. Это связано с присвоением определенного класса защиты и уровня защищенности ПО. Таким образом безопасность ПО нередко превалирует над удобством и функциональностью.

  2. Двойные стандарты. Не исключены случаи, когда в рамках одной организации присутствует несколько разных информационных систем. Одна требует сертификации ФСТЭК, вторая – нет. Все будет зависеть от категории информации и уровня ее защиты. Допускается использование как сертифицированных, так и обычных СЗИ в одной организации, но при этом должен быть соответствующий контроль и четкое разделение двух разных информационных систем, исключающие их пересечение.

  3. Совмещение сертифицированной ОС и несертифицированных программных продуктов. Такой вариант возможен при условии, что несертифицированное ПО не относится к СЗИ. Также при использовании несертифицированных пакетов должен соблюдаться ряд требований: исключается замена пакетов в составе сертифицированного ПО, они должны быть работоспособны в изолированной рабочей среде.

  4. Смена характера деятельности организации в пользу обработки ПДн зачастую требует смены СЗИ с обязательным привлечением сертифицированных решений. Здесь можно действовать по-разному: сохранить старое, привычное решение и приобрести дополнительные, устанавливаемые поверх ПО, средства защиты, которые перекроют новые бреши в защите, либо сделать откат ПО до ранней, но сертифицированной версии, при условии, что сохранился тот же поставщик программного обеспечения.

  5. Регулярное обновление требований ФСТЭК. Риски и угрозы не стоят на месте, появляются новые угрозы в отношении критически важной информации. Соответственно меняются и требования к СЗИ, обновляется список сертифицированного ПО. Высока вероятность, что от чего-то придется отказаться и заменить на более современное и надежное решение. В любом случае сертификация ФСТЭК требует времени, поэтому смена СЗИ, аттестация выполняются постепенно, чтобы привести информационные системы организации к действующим стандартам безопасности без ненужных рисков.

Использование сертифицированных СЗИ при работе с критически важной информацией – обязательное условие для операторов данных. Это снижает риски угрозы безопасности информации, помогает избежать наказания со стороны регуляторов. Сертификация ФСТЭК обеспечивает оптимальные условия для защиты ценной и конфиденциальной информации, поэтому ее можно рассматривать как некий стандарт надежности в сфере информационной безопасности.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.