сертификат фстэк для чего нужен
Для чего нужна сертификация ФСТЭК?
Главной задачей любого государства, является обеспечение контроля информации, которая связана с государственной безопасностью. По этой причине, к программным решениям, которые находятся на локальном рынке, и которые связаны с любой государственной структурой, предъявляются особые требования к ПО и они должны быть сертифицированы ФСТЭК. Среди систем с особыми требованиями можно выделить: системы органов государственной власти, правоохранительных органов, информационные системы банкового сектора, телеком системы, системы внутренней связи правоохранительных структур, сети связи в районах без резервного канала связи, системы управления электроснабжением, общественным и воздушным транспортом, системы управления ликвидации ЧС и управление водоснабжением и т.д. Как видно, значимая часть государственных систем, требуют защиты данных. В перечисленных системах происходит обработка, обмен и хранение различной информации, которая в той или иной степени, влияет на информационную безопасность государства.
Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.
Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.
В мире, все программное обеспечение, проходит международную сертификацию Common Criteria. Однако сертификация ФСТЭК, значительно отличается от общемирового стандарта. Для каждого экземпляра ПО или патча, который хочет претендовать на сертификат, проводится отдельная проверка на соответствие стандартам. То есть любой, выпущенный патч или обновленная версия, должна проходить сертификацию снова. Лишь только после дополнительных проверок, программное обеспечение может считать сертифицированным ФСТЭК. В свою очередь, компетентные органы, могут в любой момент проверить наличие дополнительных сертифицированных патчей и исправлений для выпущенного программно обеспечения.
Common Criteria, имеет другую систему сертификации. Любое программное обеспечение проверяется только один раз, все последующие патчи и обновления, могут содержать вредоносный код, или алгоритмы шифрования, которые могут нести в себе угрозу для государственной безопасности. Таким образом мы имеем, что новая версия ПО, на бинарном уровне может координально отличаться от той, которая получила сертификат.
ФСТЭК не является испытательной лабораторией, это государственный орган исполнительной власти, который инициирует проверки. Все действия по сертификации производят официальные лицензиары, которыми являются различные экспертные организации и лаборатории.
Заказчик проверки, разработчик программного обеспечения, может сам выбрать для проверки любую сертифицированную испытательную лабораторию, однако обычно, ФСТЭК сам назначит экспертную организацию, которая будет проверять результат.
В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.
Зачем нужны сертифицированные средства защиты информации?
Сертификат – справка очень важная, но слегка бумажная.
Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.
Что даёт сертификация?
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.
Придётся разобраться в продукте и в технологии его разработки
Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».
Что общего между сертификаторами и Лангольерами
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.
НаучИтесь натягивать сову на глобус
Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей. Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Кому нужны сертифицированные продукты?
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Кому нужна сертифицированная система защиты и управления мобильными устройствами?
Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.
Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!
Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Реализовать функции безопасности в своём ПО и сертифицировать его. На это нужен год и специально выделенные люди, которые будут жертвовать свои человеко-часы на алтаре процесса сертификации. Иногда так делают, но чаще идут по второму пути.
Купить сертифицированные средства защиты, которые выполнят требования, необходимые для аттестации.
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
MDM / EMM / UEM с сертификатом ФСТЭК России.
Антивирус с сертификатом ФСТЭК России.
А сейчас рекламная пауза!
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Как получить лицензию ФСТЭК?
Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» обязывает организации получать лицензию ФСТЭК России на оказание услуг в области технической защиты конфиденциальной информации. Для этого необходимо подготовить обширный пакет документов и выполнить ряд требований. Что следует принять во внимание, чтобы лицензирование прошло максимально безболезненно и эффективно?
Какие документы требуются для получения лицензии ФСТЭК?
Процесс лицензирования подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).
На бумаге все выглядит достаточно просто.
Однако в реальности все сложнее. Лицензирующий орган один на всю страну, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. По телефону задавать вопросы можно, для этого дается два часа два раза в неделю, не более пяти минут на один сеанс связи, много выяснить не получится. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно, особенно если есть недопонимания в правилах лицензирования или затруднения с выполнением хотя бы одного из требований. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.
К заявлению на получение лицензии необходимо приложить:
Те, кто впервые получает лицензию, должны представить нотариально заверенные учредительные документы организации.
Камни преткновения
Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:
Комплекс услуг по подготовке организаций к лицензированию ФСТЭК
Лайфхак по успешному лицензированию
Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:
Первичное получение лицензии и плановая проверка: отличия
Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.
Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.
Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.
Работы по лицензированию: цена вопроса
С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.
В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта Контур.Безопасность.
В комплекс услуг входят:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Лицензия ФСТЭК России: почему большинству компаний она не нужна
В России в некоторых случаях нужно получать лицензии ФСТЭК на разработку программного обеспечения и технических средств для защиты персональных данных. Разбираемся, что это за документы и почему вам они, скорее всего, не нужны.
Что именно лицензирует ФСТЭК
ФСТЭК — Федеральная служба по техническому и экспортному контролю. У этой службы много обязанностей, одна из которых — контроль защиты персональных данных и гостайны.
Юридические требования к защите данных прописаны в 152-ФЗ, а вот технические устанавливает именно ФСТЭК в своих приказах и инструкциях. И именно ФСТЭК проверяет, соблюдают ли компании эти технические требования, в том числе выдает следующие документы:
Лицензия ФСТЭК на техническую защиту конфиденциальной информации. Разрешает компании оказывать услуги по хранению персональных данных других организаций, устанавливать и настраивать оборудование и программы, предназначенные для защиты данных. Например, компания с такой лицензией может построить защищенное облако или помочь другой компании организовать защищенную инфраструктуру.
У VK Cloud Solutions (бывш. MCS) есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации
Лицензия на разработку средств защиты конфиденциальной информации. Разрешает компании разрабатывать ПО и технические средства для защиты информации: антивирусы, межсетевые экраны и другие.
Лицензия на разработку средств защиты у VK Cloud Solutions (бывш. MCS) тоже есть
Лицензия на охрану гостайны. Разрешает компании хранить сведения, которые относятся к государственной тайне, а также разрабатывать средства для их защиты.
Кому нужна лицензия ФСТЭК
Этот документ нужен только IT-компаниям, которые:
Если компания просто хранит персональные данные клиентов и сотрудников, лицензия ей не нужна — это подтверждается специальным разъяснением ФСТЭК. То есть ФСТЭК не выдает никакой лицензии на обработку персональных данных, потому что она для этой деятельности не требуется.
Если компания разрабатывает ПО, не связанное с защитой информации, о получении лицензии ФСТЭК думать тоже не надо.
Чем лицензия отличается от аттестата и сертификата ФСТЭК
Кроме лицензий ФСТЭК выдает еще аттестаты и сертификаты. Сравним эти три документа, чтобы понять отличия:
Получается, что если организации нужна лицензия ФСТЭК, в будущем ей наверняка понадобятся сертификаты на разработанные продукты. А аттестат может понадобиться любой организации, но обычно нужен только крупным компаниям, которые хранят много разных персональных данных.
Сертификация ФСТЭК для чайников
Что такое сертификация ФСТЭК?
Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.
Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:
Зачем нужна сертификация ФСТЭК?
Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.
Сферы деятельности с обязательной сертификацией средств защиты информации:
Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.
Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.
Отличия сертифицированных версий от версий общего пользования
Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.
У сертифицированных версий продуктов есть свои особенности:
Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.
Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:
Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.
В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.
Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
Есть два варианта дальнейшего развития событий:
Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?
Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.
Чем может помочь компания Softline?
Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков