8 вопросов о сертификации и аттестации ФСТЭК России: для чего это нужно и кому полезно

C каждым годом все больше компаний обращают внимание на наличие сертификата ФСТЭК России у программного обеспечения. Для многих этот сертификат стал своеобразным знаком качества от государства. Однако что означает наличие этого документа? И в чем разница между сертификацией и аттестацией по стандартам регулятора рынка? С этими и другими вопросами разберемся далее.

Зачем нужен сертификат ФСТЭК России?

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — это федеральный орган, который выполняет специальные и контрольные функции по обеспечению государственной безопасности, связанной с критической информационной инфраструктурой, вопросами государственной тайны, противодействием иностранной технической разведке и не только.

В 21 приказе ФСТЭК России устанавливает требования к обеспечению безопасности персональных данных в автоматизированных системах и программном обеспечении. Приказ содержит меры защиты от несанкционированного доступа, раскрытия или потери информации. Эти требования распространяются на средства защиты информации и автоматизированные системы управления.

Автоматизированные системы управления (АСУ) — это программные и аппаратные средства, которые предназначены для управления процессами предприятия или производства. Например, это могут быть системы управления складом и цепочек поставок, системы контроля доступа и видеонаблюдения, бухгалтерское, кадровое программное обеспечение и тому подобное.

Средства защиты информации (СЗИ) — это программные средства, направленные на защиту информации от утечки, потери, неправомерного доступа и изменений. К ним относятся антивирусы, межсетевые экраны, средства управления учетными записями и правами доступа, средства резервного копирования данных и не только.

Таким образом, сертификат ФСТЭК России подтверждает соответствие подобного программного обеспечения требованиям безопасности, которые установлены законодательством нашей страны.

Сертификация ФСТЭК России — это обязательно?

Для разработчиков ПО — необязательна, а вот для некоторых компаний и организаций — да.

Хоть для компаний-разработчиков это дело является добровольным, в конкурентной борьбе наличие сертификата регулятора может быть очень полезным. Во-первых, он подтверждает высокий уровень безопасности программного решения. Во-вторых, позволяет работать с организациями государственного сектора.

Здесь мы подходим к тому, что для госсектора или компаний с государственным участием использование только сертифицированного ПО — обязательное условие. Кроме того, использование такого ПО необходимо компаниям, которые работают с особо чувствительной информацией или выполняют государственные заказы.

В чем разница между сертификацией и аттестацией ФСТЭК России?

Сертификация – это процесс проверки соответствия программного обеспечения требованиям безопасности, установленным законодательством РФ. Наличие сертификата подтверждает, что ПО соответствует стандартам и нормам и способно обеспечить защиту информации от утечки или несанкционированного доступа.

Аттестация – это процесс оценки защищенности информационной системы, которая может включать в себя оборудование, аппаратные комплексы, помещения и специальные компетенции персонала.

Основная разница в том, что сертификация относится к оценке программных продуктов, а аттестация — к оценке информационной системы в целом.

Как проходит сертификация и аттестация?

Сертификация состоит из нескольких этапов. Сначала разработчик подает заявку во ФСТЭК России и предоставляет необходимые документы на ПО, которое хочет сертифицировать. Если на этапе проверки документов все в порядке, ПО тестируют на уязвимости и недекларированные возможности.

Недекларированные или недокументированные возможности — это функциональность, которая не указана в документации, и обычным пользователям неизвестна, однако злоумышленники могут воспользоваться ею, чтобы получить доступ к данным или вывести ПО из строя.

Если программный продукт соответствует всем требованиям безопасности, ФСТЭК России выдает сертификат. Проверка длится от 5 месяцев до 1 года. Процедуру сертификации регламентирует «Положение о системе сертификации средств защиты информации», утвержденное Приказом №55 ФСТЭК России.

Процедура аттестации проходит по схожему принципу, однако включает проверку всех элементов информационной системы и по времени может занять примерно столько же времени, что и сертификация. Процедуру аттестации регламентирует Приказ №77 ФСТЭК России, утвердивший новый порядок проведения аттестационных испытаний основных типов информационных систем, а также защищаемых помещений.

Чем сертифицированное ПО отличается от обычного?

Устойчивость сертифицированного ПО к различным типам угроз подтверждается тщательными проверками: от анализа документации до аудита исходного кода и тестирования на уязвимости. Наличие сертификата — это знак качества, который позволяет использовать такое ПО в госсекторе, а также в компаниях, где обрабатываются данные, требующие особого (а порой максимального) уровня защищенности.

Важно понимать, что раз и навсегда создать на 100% безопасное ПО сложно. Каждый день хакеры находят новые способы взлома, поэтому после получения сертификата ФСТЭК России разработчик ПО делает все, чтобы защитить его от будущих угроз. Например, регулярно выпускает обновленные версии программ и следит за трендами в сфере информационной безопасности.

Какие бывают уровни защищенности (доверия) по ФСТЭК России?

Регулятор выделяет 4 уровня защищенности или доверия, присваиваемых программному обеспечению. Технические требования к каждому уровню собраны в приложении к 21 приказу ФСТЭК. Коротко рассмотрим суть каждого уровня.

• 4 УЗ позволяет использовать ПО для защиты общедоступных данных, таких как имя и фамилия, род деятельности, контактный номер телефона. Это самый простой уровень, который не требует сложных способов защиты; достаточно будет использовать антивирус и регулярно обновлять ПО.
• 3 УЗ позволяет вдобавок к общедоступным хранить биометрические и специальные данные, а также работать при угрозах, связанных с недокументированными возможностями в ПО и уязвимостями в оборудовании. Этот уровень подходит для многих компаний. При нем достаточно соблюдать простые меры безопасности, мониторить уязвимости и ввести ограничение доступа к управлению информационной системой.
• 2 УЗ подходит для хранения практически любых видов данных. Помимо базовой защиты, важно установить систему обнаружения вторжений и обязательно выполнять резервное копирование данных.
• 1 УЗ — наивысший уровень доверия, который позволяет хранить специальные и биометрические данные при самых серьезных типах угроз, которые связаны с недокументироваными возможностями в системном ПО, например, в операционных системах. В данном случае важно обеспечить бесперебойную работу серверов и устанавливать ПО, заранее одобренное службой безопасности компании.

У Astra Cloud есть решения, которые прошли сертификацию ФСТЭК России?

«Группа Астра», ведущий разработчик инфраструктурного ПО, стремится официально подтвердить высокий уровень надежности своих продуктов. На сегодняшний день уже три программных решения получили сертификаты ФСТЭК.

Astra Linux Server — операционная система для управления серверами с профилем защиты типа «А» первого класса и 1-м уровнем защиты по классификации ФСТЭК. Подробнее о решении.

ALD Pro — система централизованного управления доменом, которая имеет 2 уровень доверия и подходит для разных типов информационных систем, например, ГИС, информационных систем персональных данных, а также автоматизированных систем управления техническими процессами. Подробнее о решении.

СУБД Tantor — система управления базами данных, которая получила сертификат ФСТЭК 4-го уровня защиты. СУБД Tantor можно применять для защиты информации в ГИС, информационных системах персональных данных, автоматизированных системах управления техническими процессами и других ИТ-системах. Подробнее о решении.

RuBackup — единое решение для защиты и восстановления данных, которое получило сертификат ФСТЭК России 4 уровня доверия. Продукт можно использовать в том числе в государственных информационных системах и в информационных системах персональных данных до 1 уровня защищенности включительно. Подробнее о решении.

Astra Cloud — облачная платформа от вендора со стеком программных продуктов «Группы Астра». Решения Astra Cloud подходят для публичного сектора и крупного бизнеса. Узнайте подробнее о возможностях или запросите консультацию специалистов.

Какие еще продукты «Группы Астра» получили сертификаты ФСТЭК России?

«Группа Астра» не останавливается на достигнутом и продолжает процесс сертификации своего ПО. В ближайшее время подтвердит безопасность и соответствие государственным нормам платформа для управления виртуализацией VMmanager.

Программный комплекс средств виртуализации «Брест» получил сертификат ФСТЭК в середине октября 2024 года.

Операционная система Astra Linux Special Edition также имеет сертификат ФСТЭК России 1-го уровня защиты, включая последнюю версию Astra Linux 1.8.

На базе СУБД Tantor разработана защищенная система управления базами данных (ЗСУБД), которая включена в состав операционной системы Astra Linux 1.8. Данная ЗСУБД также получила сертификат ФСТЭК России по 1-му классу защиты.

Помимо прочего, в 2024 году ПК СВ «Брест» прошла сертификацию в Белоруссии в Оперативно-аналитическом центре при Президенте Белоруссии, что подтверждает соответствие стандартам безопасности соседней республики.