Сертификация ФСТЭК

ФЗ № 152 от 26.01.2007 обозначает необходимость соблюдения правил работы с персональными данными (ПДн), сохранения их целостности, конфиденциальности. При этом никак не обозначены технические требования в отношении используемого ПО и IT- систем, работающих с информацией, что чревато неоднозначностью и спорностью подходов к обработке, передаче, хранению ПДн. Решить эти проблемы призвана сертификация ФСТЭК, которая гарантирует, что ПО, используемое оператором для обеспечения безопасности информации, соответствует заявленным требованиям к СЗИ.

Что такое сертификация ФСТЭК?

Данная процедура связана с получением документального подтверждения, что ПО и IT-инструменты, которые использует оператор в ходе ведения своей деятельности, соответствуют действующим стандартам безопасности ФСТЭК. Документальное подтверждения соответствия ПО стандартам безопасности может быть представлено в виде сертификата и аттестата.

Разница между сертификатом и аттестатом заключается в том, что первый нужен компаниям, которые занимаются разработкой программного обеспечения по защите информации и выводят новый программный продукт на рынок. Второй требуется организациям, которые производят обработку, хранение важной информации, для которой предусмотрена защита, согласно уровню ее критичности.

Процедуры сертификации и аттестации ПО могут существенно отличаться от случая к случаю как по продолжительности проведения тестовых испытаний, так и по уровню требований, предъявляемых к ним. Это связано с разными уровнями сертификатов ФСТЭК и категориями данных.

Зачем нужна сертификация ФСТЭК?

• Для подтверждения надежности и безопасности ПО при работе с критически важными сведениями.

• Для вывода на рынок нового ПО, которое предназначено для использования в информационных системах с повышенными требованными к безопасности.

• Для исключения штрафов и уголовного наказания со стороны регуляторов при использовании несертифицированного ПО в информационных системах, где это недопустимо.

Аттестация ФСТЭК является обязательной для организаций, которые работают в ГИС, АСУ ТП, относятся к объектам КИИ, обрабатывают ПДн и государственную тайну. В таких организациях также недопустимо использование несертифицированного ПО, т.к. это несет огромные риски информационной безопасности. Игнорирование сертификации или переход на несертифицированное ПО наказывается крупными штрафами и даже уголовной ответственностью. ФСТЭК располагает собственным реестром, куда внесены все проверенные системы защиты данных, что упрощает поиск и подтверждение сертификатов ПО.

Кому необходимо проходить аттестацию ФСТЭК?

Организациям, работающим с важной информацией, требуется получение аттестата ФСТЭК. Сертификацию ФСТЭК, в свою очередь, проходят разработчики средств защиты информации (СЗИ). Получение аттестата ФСТЭК будет обязательным условием для организации, если она работает с государственной тайной, ПДн, иной информацией, внесенной в список ограниченного доступа и охраняемой законодательством РФ. Сюда включены сведения, относящиеся к первым трем уровням защищенности. Например, сведения биометрического характера, которые позволяют идентифицировать личность, разведанные, указывающие на дислокацию военных сил и расположение важных объектов, сведения, касающиеся семейной тайны или деловой переписки и открывающие приватную информацию третьей стороне.

Под обязательную аттестацию попадают все государственные информационные системы, где используется автоматизация при работе с данными. На это указывает Приказ ФСТЭК № 17 от 11.02.2013 (статья 3). В отношении коммерческих организаций аттестация носит добровольный характер согласно положению об аттестации, однако при этом должна обязательно присутствовать независимая оценка эффективности действующих мер по защите информации (Приказ ФСТЭК № 21, ФЗ № 152). Получить подобную оценку возможно только путем прохождения аттестации. Отсюда следует, что и некоммерческие организации, если они работают с ПДн, также должны обладать аттестатом о соответствии требованиям безопасности, чтобы избежать наказания со стороны проверяющих органов.

Исключением для аттестации выступают:

• Случаи, когда оператор данных не производит хранение и обработку ПДн. Например, малый бизнес, который не собирает никаких сведений о своих клиентах или использует обезличенную информацию в процессе отношений с клиентом, по которой невозможно его идентифицировать.

• Случаи, когда оператор данных хранит исключительно информацию четвертого уровня защищенности. Это общедоступные ПДн, находящиеся в открытых источниках. Например, ФИО, род деятельности, место проживания человека.

Специфика сертификации ФСТЭК

Согласно Приказу ФСТЭК РФ № 55 от 3.04.2018 обязательной сертификации подлежит все ПО, которое применяется для защиты государственной тайны и ПДн. При этом важно принимать во внимание следующие моменты, когда идет речь о прохождении сертификации ПО:

1. Сертифицированная версия ПО имеет ряд существенных отличий от обычной версии. Во-первых, она поставляется совместно с сертификатом, что исключает какие-либо дополнительные действия в ее отношении. Во-вторых, класс надежности ПО зафиксирован и не вызывает сомнений. При этом присутствует ряд недостатков: задержки с обновлением программного обеспечения и присутствие ограничений по функционалу. Процесс сертификации ФСТЭК, как правило, занимает продолжительное время – в среднем, 5-12 месяцев. Учитывая, что сертифицируют отлаженную и обновленную версию ПО, следующее обновление смещается в сертифицированной версии на месяцы по сравнению с обычным вариантом ПО. Часть функционала, сертифицированного программного продукта нередко ограничена, особенно если речь идет об исключении недекларированных возможностей. Это связано с присвоением определенного класса защиты и уровня защищенности ПО. Таким образом безопасность ПО нередко превалирует над удобством и функциональностью.

2. Двойные стандарты. Не исключены случаи, когда в рамках одной организации присутствует несколько разных информационных систем. Одна требует сертификации ФСТЭК, вторая – нет. Все будет зависеть от категории информации и уровня ее защиты. Допускается использование как сертифицированных, так и обычных СЗИ в одной организации, но при этом должен быть соответствующий контроль и четкое разделение двух разных информационных систем, исключающие их пересечение.

3. Совмещение сертифицированной ОС и несертифицированных программных продуктов. Такой вариант возможен при условии, что несертифицированное ПО не относится к СЗИ. Также при использовании несертифицированных пакетов должен соблюдаться ряд требований: исключается замена пакетов в составе сертифицированного ПО, они должны быть работоспособны в изолированной рабочей среде.

4. Смена характера деятельности организации в пользу обработки ПДн зачастую требует смены СЗИ с обязательным привлечением сертифицированных решений. Здесь можно действовать по-разному: сохранить старое, привычное решение и приобрести дополнительные, устанавливаемые поверх ПО, средства защиты, которые перекроют новые бреши в защите, либо сделать откат ПО до ранней, но сертифицированной версии, при условии, что сохранился тот же поставщик программного обеспечения.

5. Регулярное обновление требований ФСТЭК. Риски и угрозы не стоят на месте, появляются новые угрозы в отношении критически важной информации. Соответственно меняются и требования к СЗИ, обновляется список сертифицированного ПО. Высока вероятность, что от чего-то придется отказаться и заменить на более современное и надежное решение. В любом случае сертификация ФСТЭК требует времени, поэтому смена СЗИ, аттестация выполняются постепенно, чтобы привести информационные системы организации к действующим стандартам безопасности без ненужных рисков.

Использование сертифицированных СЗИ при работе с критически важной информацией – обязательное условие для операторов данных. Это снижает риски угрозы безопасности информации, помогает избежать наказания со стороны регуляторов. Сертификация ФСТЭК обеспечивает оптимальные условия для защиты ценной и конфиденциальной информации, поэтому ее можно рассматривать как некий стандарт надежности в сфере информационной безопасности.