Справка фстэк что это
Обновлено: 30.06.2024
Сертификат – справка очень важная, но слегка бумажная.
Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.
Что даёт сертификация?
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.
В области сертификации средств защиты информации в России два основных регулятора – ФСТЭК и ФСБ. ФСБ занимается, в основном, сертификацией криптографических средств, а остальные средства защиты информации (не)нужно (обсудим дальше) сертифицировать во ФСТЭК.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Придётся разобраться в продукте и в технологии его разработки
Итак, сертификация - процесс суровый. Испытательные лаборатории вынимают душу разработчиков не хуже Шан Цунга.
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
Что общего между сертификаторами и Лангольерами
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
НаучИтесь натягивать сову на глобус
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Кому нужны сертифицированные продукты?
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Кому нужна сертифицированная система защиты и управления мобильными устройствами?
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
А сервер ГИС за это будет возвращать на смартфон рекомендации о том, как заточить фрезу, когда можно сходить по нужде и др., чтобы получить 13-ю зарплату.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Реализовать функции безопасности в своём ПО и сертифицировать его. На это нужен год и специально выделенные люди, которые будут жертвовать свои человеко-часы на алтаре процесса сертификации. Иногда так делают, но чаще идут по второму пути.
Купить сертифицированные средства защиты, которые выполнят требования, необходимые для аттестации.
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
VPN с ГОСТ шифрованием. Подойдёт любой с сертификатом ФСБ России.
MDM / EMM / UEM с сертификатом ФСТЭК России.
Антивирус с сертификатом ФСТЭК России.
А сейчас рекламная пауза!
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Читайте также: