Как получить сертификат фстэк на программное обеспечение

Обновлено: 04.07.2024

Вопросы защиты информации - неотъемлимая часть личной жизнью людей, но и кроме этого, имеет связь с работой, функционированием государства, бизнесов и т.д. В современном мире, где постоянно формируется единое информационное пространство, способы защиты информации, становятся основополагающим принципом построения взаимодействия всех структур государства, начиная от госорганов и банков, заканчивая больницами и общественным транспортом.

Главной задачей любого государства, является обеспечение контроля информации, которая связана с государственной безопасностью. По этой причине, к программным решениям, которые находятся на локальном рынке, и которые связаны с любой государственной структурой, предъявляются особые требования к ПО и они должны быть сертифицированы ФСТЭК. Среди систем с особыми требованиями можно выделить: системы органов государственной власти, правоохранительных органов, информационные системы банкового сектора, телеком системы, системы внутренней связи правоохранительных структур, сети связи в районах без резервного канала связи, системы управления электроснабжением, общественным и воздушным транспортом, системы управления ликвидации ЧС и управление водоснабжением и т.д. Как видно, значимая часть государственных систем, требуют защиты данных. В перечисленных системах происходит обработка, обмен и хранение различной информации, которая в той или иной степени, влияет на информационную безопасность государства.

Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.

Сертификация ФСБ предназначена для проверки программного обеспечения, использующее криптографические алгоритмы. Сертификацию проходит программное обеспечение только с российскими алоритмами, любые другие сразу отсекаются. Требования для систем ФСБ находятся в закрытом доступе.

Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.

В мире, все программное обеспечение, проходит международную сертификацию Common Criteria. Однако сертификация ФСТЭК, значительно отличается от общемирового стандарта. Для каждого экземпляра ПО или патча, который хочет претендовать на сертификат, проводится отдельная проверка на соответствие стандартам. То есть любой, выпущенный патч или обновленная версия, должна проходить сертификацию снова. Лишь только после дополнительных проверок, программное обеспечение может считать сертифицированным ФСТЭК. В свою очередь, компетентные органы, могут в любой момент проверить наличие дополнительных сертифицированных патчей и исправлений для выпущенного программно обеспечения.

Common Criteria, имеет другую систему сертификации. Любое программное обеспечение проверяется только один раз, все последующие патчи и обновления, могут содержать вредоносный код, или алгоритмы шифрования, которые могут нести в себе угрозу для государственной безопасности. Таким образом мы имеем, что новая версия ПО, на бинарном уровне может координально отличаться от той, которая получила сертификат.

ФСТЭК не является испытательной лабораторией, это государственный орган исполнительной власти, который инициирует проверки. Все действия по сертификации производят официальные лицензиары, которыми являются различные экспертные организации и лаборатории.

Заказчик проверки, разработчик программного обеспечения, может сам выбрать для проверки любую сертифицированную испытательную лабораторию, однако обычно, ФСТЭК сам назначит экспертную организацию, которая будет проверять результат.

В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579) и пунктом 1 постановления Правительства Российской Федерации от 15 мая 2010 г. N 330 приказываю:

Директор Федеральной службы
по техническому и экспортному контролю
В.СЕЛИН

Приложение
к приказу ФСТЭК России
от 5 августа 2021 г. N 121

ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ОТ 3 АПРЕЛЯ 2018 Г. N 55

1. Пункт 3 дополнить абзацем следующего содержания:

"Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.".

2. Пункт 14 дополнить абзацами следующего содержания:

"Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.".

3. Абзац второй пункта 15 признать утратившим силу.

4. Пункт 37 изложить в следующей редакции:

"37. Для проведения сертификационных испытаний испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации.

При сертификации партии средства, предназначенного для защиты информации от утечки по техническим каналам, для отбора образцов должна быть представлена вся партия образцов средства защиты информации.

При сертификации серийного производства средств защиты информации для осуществления отбора образцов должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов, которое необходимо отобрать для проведения сертификационных испытаний.

При сертификации партии или серийно производимого средства, предназначенного для защиты информации от утечки по техническим каналам, объем выборки образцов определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.

При сертификации партии или серийно производимого средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий отбирается один образец средства защиты информации.

Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.".

5. Дополнить пунктами 37.1 и 37.2 следующего содержания:

"37.1. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:

номер и дата решения о проведении сертификации;

дата осуществления отбора образца (образцов) средства защиты информации;

наименование средства защиты информации;

наименование испытательной лаборатории;

фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;

фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;

схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);

количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации;

количество отобранных образцов средства защиты информации с указанием их заводских номеров;

контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).

Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.

37.2. На отобранный образец (образцы) средства защиты информации заявитель представляет в испытательную лабораторию следующую документацию:

задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);

формуляр (паспорт) на средство защиты информации;

иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.

В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.".

6. Пункт 38 изложить в следующей редакции:

"38. Заявитель обязан предоставить возможность ознакомления испытательной лаборатории с образцом средства защиты информации и его производством.".

7. В пункте 39 слова "и орган по сертификации" исключить.

8. Пункт 40 изложить в следующей редакции:

"40. Испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.".

9. В пункте 41 слова "орган по сертификации" заменить словами "испытательная лаборатория".

10. Пункт 43 изложить в следующей редакции:

"43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.

К программе и методике сертификационных испытаний, представляемым на утверждение в орган по сертификации, прилагается следующая документация:

задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);

формуляр (паспорт) на средство защиты информации;

иная конструкторская (программная) и эксплуатационная документация на средство защиты информации, предусмотренная требованиями по безопасности информации.

Орган по сертификации в течение 30 календарных дней со дня получения программы и методики сертификационных испытаний рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.

В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.

Испытательная лаборатория в течение 10 календарных дней со дня получения программы и методики сертификационных испытаний устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.

При повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.

Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней со дня получения программы и методики сертификационных испытаний.

Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.".

11. Пункты 44 и 45 признать утратившими силу.

12. Абзац пятый пункта 47 дополнить словами "в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания".

13. Пункт 63 изложить в следующей редакции:

"63. На основании сертификата соответствия заявитель организует маркирование средства защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, который имеет вид: РОСС RU.01.XXXXX.XXXXXX.

Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России.

Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации.

Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.

Идентификатор может содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации.";

14. Пункт 64 изложить в следующей редакции:

"64. В случае сертификации единичного образца средства защиты информации или партии средства защиты информации идентификатор сертифицированных образцов средства защиты информации указывается в сертификате соответствия.".

15. Пункты 65 и 66 признать утратившими силу.

а) в абзаце первом слово "действующего" исключить;

б) в абзаце втором слова "знаками соответствия" заменить словом "идентификатором";

в) абзац третий признать утратившим силу.

17. В пункте 68 слова "заводских номеров образцов средства защиты информации и номеров знаков соответствия" заменить словами "идентификаторов".

18. Пункт 69 изложить в следующей редакции:

"69. Идентификатором маркируется корпус изделия (при наличии) или съемный машинный носитель информации, содержащий программное обеспечение сертифицированного средства защиты информации.

Идентификатор заносится в формуляр (паспорт) на средство защиты информации.".

19. Дополнить пунктом 70.1 следующего содержания:

"70.1. Заявитель ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения о произведенных и (или) промаркированных сертифицированных средствах защиты информации, содержащие наименование средства и присвоенные образцам идентификаторы.".

20. Дополнить пунктом 82.1 следующего содержания:

"82.1. При продлении срока действия сертификата соответствия сертификационные испытания проводятся по сокращенной программе:

для средства, предназначенного для защиты информации от утечки по техническим каналам, проводится проверка его производства;

для средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий проводится оценка его соответствия требованиям по безопасности информации, устанавливающим уровни доверия.".

Задайте вопрос юристу:

Читайте также:

  
• Собрание сход граждан выступает как форма решения населения вопросов
  
• Что такое фиас страхователя
  
• Есть ли легальные эйфоретики
  
• Что такое гражданин 6 класс обществознание
  
• Нужна ли характеристика из школы для оформления инвалидности