Сертификат на программное обеспечение что это такое

Обновлено: 25.06.2024

Сертификация программного обеспечения (ПО) проводится исключительно на добровольных основаниях — обязательная проверка для данной продукции не предусмотрена законом.

В Российской Федерации действует несколько ГОСТ и ГОСТ Р, согласно которым ПО проверяется по следующим параметрам:

  • надежность – насколько ПО защищено от сбоев и насколько способно поддерживать работоспособность после сбоев и ошибок;
  • защита информации;
  • эффективность – соотношение функциональности и затрачиваемых ресурсов вычислительной техники;
  • функциональные возможности – соответствует ли программный продукт потребностям;
  • практичность – насколько удобно использовать ПО;
  • мобильность – насколько ПО может быть интегрировано в различные операционные системы.

Добровольный сертификат на ПО позволяет вам занять более выгодные позиции на рынке, а вашим потребителям показывает, что продукции можно доверять. Таким образом, косвенно его оформление повышает продажи и укрепляет ваши позиции в конкурентной среде, увеличивает доверие со стороны партнеров и инвесторов.

Виды программ

Все программное обеспечение (soft) можно разделить на несколько разновидностей с точки зрения цели разработки и решаемых ими задач. Добровольный сертификат можно оформить на ПО любого вида:

  • системное ПО – входит в состав операционных систем как неотъемлемая часть, управляет аппаратным обеспечением. Например, драйвер – служебная программа, которая обеспечивает доступ ОС к устройствам;
  • обслуживающее ПО – они выполняют вспомогательные функции, классический пример – это антивирусы и архиваторы;
  • прикладное ПО – используются для обработки информации, это широкий спектр программ для работы с текстом, таблицами, мультимедиа, аудиофайлами, для моделирования, расчетов и другое

Нормативная база

Сертификация осуществляется в соответствии с техническими условиями изготовителя или ГОСТ. В частности, в сфере разработки ПО действуют:

  • ГОСТ Р ИСО/МЭК 27000-2012 — Система менеджмента защиты информации;
  • ГОСТ Р 51904-2002 — Требования к к разработке ПО встроенных систем;
  • ГОСТ Р 54593-2011 — Свободное программное обеспечение. Общие положения;
  • И другие документы (уточняйте у специалистов нашего центра).

Всего в данной сфере насчитывается несколько десятков стандартов, охватывающих весь цикл производства ПО.

Ответственность

В данном случае ответственность за отсутствие документа не наступает благодаря добровольному характеру процедуры, хотя само наличие такого документа станет значительным конкурентным преимуществом.

Однако, существуют санкции, которые наступают за подделку документов. Обычно они лежат в сфере административной ответственности. В частности, согласно ст. 14 КоАП, предусмотрены крупные штрафы.

В отдельных случаях предусмотрена уголовная ответственность.

Содержание добровольного сертификата на программное обеспечение

Даннаый разрешительный документ составляется на номерном бланке, который заверяется печатью органа и подписью его руководителя. Документ обязательно содержит информацию об этом органе, сведения о заявленном ПО, основания для выдачи (реквизиты протоколов и актов), а также номера ГОСТов или ТУ, соответствие которым подтверждено.

Срок действия сертификата составляет не более 3х лет.

Что нужно предоставить для оформления сертификата?

Для прохождения сертификационных проверок заявитель предоставляет в центр:

  • сведения о своей компании и о разработчике (заявитель и разработчик – не всегда одна и та же компания);
  • информацию о продукте, который проходит сертификацию.

Этапы проведения проверок ПО

В нашей стране оценка качества любой продукции осуществляется строго по утвержденным правилам. Алгоритм действий следующий:

  • заявитель обращается в официальный центр;
  • Осуществляется сбор всех необходимых сведений;
  • проводится исследование и анализ работы продукта;
  • если все в порядке, орган выдает добровольный сертификат и регистрирует его в едином реестре.

Оставьте заявку на нашем сайте. Консультации бесплатны!

Проводится оценка соответствия программ и в системе ГОСТ Р, на основании которой выдается добровольный сертификат соответствия. Помимо системы ГОСТов, разработчики или владельцы программного обеспечения сертифицируют данную продукцию и в других системах со своими специальными стандартами.

сертификация в области информационной безопасности

Сертификация систем менеджмента информационной безопасности - это подтверждение соответствия политики компании в области обеспечения защищенности применяемых IT-технологий и инструментов современным стандартам.

Сертификация IT-систем и лицензирование

Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона о т 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:

  • создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
  • техническое обслуживание таких продуктов;
  • создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
  • деятельность по защите конфиденциальной информации при помощи технических средств.

Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

Виды сертификатов

Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:

  • корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
  • персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.

Корпоративные сертификаты

информационная сертификация

Персональные сертификаты

Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

  • CISSP — безопасность IT-продуктов;
  • ISSAP — архитектура безопасности;
  • ISSEP — инженерия в IT-безопасности;
  • ISSMP — управление продуктами в области безопасности;
  • CISM — информационная безопасность;
  • другие сертификаты.

Система управления информационной безопасностью

Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.

Преимущества внедрения стандарта ISO 27001 для предприятия

Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:

  • конфиденциальность — предотвращение несанкционированного использования информации, которое способно навредить компании;
  • целостность — достижение необходимой степени полноты и корректности информации, а также соответствия способов ее обработки поставленным задачам;
  • доступность — обеспечение бесперебойного доступа к информации для авторизованных пользователей.

Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.

Обратите внимание!

Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.

Оценочные критерии и требования по ISO 27001

Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:

  • продуманная политика IT-безопасности;
  • структурированная программа управления IT-безопасностью в организации;
  • гарантия защищенности информации при необходимости обеспечения доступа к ней третьих лиц;
  • предотвращение потерь, повреждений, хищения информации и ее компрометации;
  • обеспечение безопасного функционирования инструментов обработки информации;
  • минимизация рисков появления сбоев в работе комплекса;
  • поддержание безопасности каналов обмена информацией;
  • внедрение эффективных методов обнаружения несанкционированной активности;
  • организация системы контроля доступа к информации;
  • обеспечение безопасности системных файлов.

Процедура сертификации на соответствие требованиям ISO 27001

Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

сертификация в информационной сфере

Этапы

Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

  1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
  2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
  3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
  4. Оформление сертификационной документации.
  5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

Документы по итогам сертификации

Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.

Стоимость

Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы. В среднем эксперты оценивают общую стоимость работ по сертификации на соответствие стандартам ISO 27001 в сумму от 30 до 60 тысяч долларов.

Сертификация ФСТЭК для чайников

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

  • Защиту конфиденциальной информации строго определенного уровня.
  • Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
  • Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

  • Государственные информационные системы (ГИС).
  • Автоматизированные системы управления технологическим процессом (АСУ ТП).
  • Персональные данные (ЗПДн).
  • Критическая информационная инфраструктура (КИИ).
  • Государственная тайна (ЗГТ).
  • Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

  1. Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
  2. У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

  • Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
  • Они не имеют отношения к средствам защиты информации.
  • Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

  1. Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
  2. Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

  • В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
  • У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

21 января 2019 года,

регистрационный N 53444

Приложение N 1
к приказу Министерства цифрового
развития, связи и массовых
коммуникаций Российской
Федерации
от 19 декабря 2018 года N 722

2. В целях подтверждения соответствия программного обеспечения дополнительным требованиям в соответствии с пунктом 30(4) Правил формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных, утвержденных постановлением Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" (Собрание законодательства Российской Федерации 2015, N 47, ст.6600; 2017, N 14, ст.2062, N 52, ст.8168; 2018, N 49, ст.7600) (далее - Правила), обладатель исключительного права на программное обеспечение или лицо, уполномоченное обладателями такого права (далее - правообладатель программного обеспечения), представляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство) обращение о подтверждении соответствия программного обеспечения дополнительным требованиям (далее - обращение).

3. Обращение и документы, предусмотренные пунктом 5 настоящего Порядка, представляются в электронном виде посредством заполнения соответствующих электронных форм в федеральной государственной информационной системе "Реестры программ для электронных вычислительных машин и баз данных", созданной в соответствии с пунктом 6(1) постановления Правительства Российской Федерации от 16 ноября 2015 г. N 1236. Обращение должно быть подписано усиленной квалифицированной электронной подписью правообладателя программного обеспечения.

4. Обращение, указанное в пункте 2 настоящего Порядка, должно содержать следующие сведения:

1) порядковый номер реестровой записи;

2) дату формирования реестровой записи;

3) название программного обеспечения;

4) сведения о правообладателе программного обеспечения:

4.1) в отношении гражданина Российской Федерации - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика (при наличии);

4.2) в отношении юридического лица - полное наименование, основной государственный регистрационный номер регистрации в качестве юридического лица, идентификационный номер налогоплательщика;

4.3) в отношении Российской Федерации - слова "Российская Федерация";

4.4) в отношении субъекта Российской Федерации - полное наименование субъекта Российской Федерации;

4.5) в отношении муниципального образования - полное наименование муниципального образования (согласно уставу муниципального образования);

5) адрес страницы сайта правообладателя программного обеспечения в информационно-телекоммуникационной сети "Интернет", на которой размещена эксплуатационная документация и информация по обеспечению сопровождения пользователей, с указанием адреса электронной почты и контактной информации, необходимой для взаимодействия пользователей и правообладателей программного обеспечения;

6) класс (классы) программного обеспечения, которому соответствует программное обеспечение в реестре российского программного обеспечения;

7) тип офисного программного обеспечения в соответствии с пунктом 3 дополнительных требований;

8) контрольная сумма для каждого файла (файлов) экземпляра программного обеспечения;

9) адрес электронной почты и номер телефона, по которым осуществляется связь с правообладателем программного обеспечения.

5. К обращению должны прилагаться следующие документы в электронном виде:

1) документ, подтверждающий полномочия лица, подписавшего обращение, на осуществление действий от имени правообладателя (правообладателей) программного обеспечения (не требуется, если заявление подписано правообладателем, являющимся гражданином Российской Федерации, или лицом, имеющим право действовать без доверенности от имени правообладателя, являющегося юридическим лицом, согласно сведениям, внесенным в Единый государственный реестр юридических лиц);

2) документы, содержащие описание функциональных характеристик программного обеспечения (в случае направления на экспертизу офисного программного обеспечения):

2.1) инструкции или руководства пользователя программного обеспечения, содержащие описание всех функций программного обеспечения;

2.2) инструкции или руководства администратора программного обеспечения, содержащие инструкции по установке программного обеспечения;

2.3) инструкции по развертыванию и администрированию серверной части программного обеспечения (в случае ее наличия), а также технические требования к аппаратному обеспечению, необходимому для функционирования программного обеспечения;

2.4) документ, содержащий соотнесение положений дополнительных требований с документами, переданными правообладателем, в рамках которых данные требования могут быть проверены.

Заявитель должен предоставить адрес страницы сайта правообладателя программного обеспечения в информационно-телекоммуникационной сети "Интернет", на которой размещены указанные в настоящем подпункте документы, либо электронный носитель с соответствующими документами;

3) экземпляр программного обеспечения без технических средств защиты авторских прав или со средствами устранения ограничений использования программного обеспечения, установленных путем применения технических средств защиты авторских прав (далее - экземпляр программного обеспечения), соответствующий программному обеспечению, сведения о котором включены в реестр российского программного обеспечения.

Правообладатель должен представить экземпляр программного обеспечения на электронном носителе в Министерство не позднее трех рабочих дней со дня направления обращения в соответствии с пунктами 2-5 настоящего Порядка.

6. Правообладатель должен обеспечить возможность консультирования специалистов, осуществляющих экспертизу программного обеспечения, по вопросам функционирования программного обеспечения на период проведения экспертизы по номеру телефона и адресу электронной почты, указанным в обращении.

7. Министерство в течение пяти рабочих дней со дня получения обращения проводит проверку представленных документов и сведений на соответствие требованиям пунктов 3-5 настоящего Порядка, регистрирует обращение и информирует об этом правообладателя программного обеспечения по адресу электронной почты, указанному в обращении.

В случае несоответствия представленных документов и сведений требованиям пунктов 3-5 настоящего Порядка Министерство отказывает в приеме обращения.

В случае отказа в приеме обращения Министерство не позднее истечения срока, предусмотренного абзацем первым настоящего пункта, информирует правообладателя программного обеспечения об отказе в приеме обращения по адресу электронной почты, указанному в обращении, с указанием причин отказа.

Документы и материалы, прилагаемые к обращению, размещению на официальном сайте не подлежат.

9. Министерство в течение трех рабочих дней со дня регистрации обращения направляет посредством электронной почты поручение в некоммерческую экспертную организацию, которая привлекается Министерством в соответствии с абзацем четвертым пункта 30(4) Правил (далее - организация, осуществляющая экспертизу), на проведение экспертизы и подготовки экспертного заключения о соответствии или несоответствии программного обеспечения дополнительным требованиям (далее соответственно - поручение, экспертиза, экспертное заключение), к которому прилагаются обращение, экземпляр программного обеспечения, а также документы и сведения, предоставленные правообладателем программного обеспечения в соответствии с пунктами 4 и 5 настоящего Порядка.

10. Для проведения экспертизы правообладатель программного обеспечения в присутствии представителей организации, осуществляющей экспертизу, производит установку и настройку программного обеспечения, в объеме, необходимом для проведения экспертизы, на предоставленном ему аппаратном обеспечении на территории организации, осуществляющей экспертизу, в срок не позднее 10 рабочих дней со дня регистрации Министерством обращения.

В случае если правообладателем программного обеспечения не обеспечена установка и настройка программного обеспечения, организация, осуществляющая экспертизу, в срок не позднее рабочего дня, следующего за днем истечения срока, указанного в абзаце первом настоящего пункта, направляет соответствующие сведения посредством электронной почты в Министерство.

Министерство в срок не позднее рабочего дня, следующего за днем получения вышеуказанных сведений от организации, осуществляющей экспертизу, информирует заявителя об отказе в проведении экспертизы по адресу электронной почты, указанному в обращении, с указанием причин отказа.

11. Экспертиза программного обеспечения проводится в соответствии с утвержденной настоящим приказом Методикой подтверждения соответствия программ для электронных вычислительных машин и баз данных, сведения о которых включены в реестр российского программного обеспечения, дополнительным требованиям, установленным к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, утвержденным постановлением Правительства Российской Федерации от 23 марта 2017 г. N 325.

12. По результатам экспертизы программного обеспечения составляется экспертное заключение, содержащее следующие сведения:

1) дата составления экспертного заключения;

2) наименование программного обеспечения;

3) сведения о правообладателе программного обеспечения;

4) порядковый номер и дата формирования реестровой записи;

5) класс (классы) программного обеспечения, которому (которым) соответствует программное обеспечение в реестре российского программного обеспечения;

6) сведения об экземпляре программного обеспечения:

6.1) состав файлов, входящих в экземпляр программного обеспечения (имя, версия, контрольная сумма файлов);

6.2) состав документации к программному обеспечению;

7) описание программно-аппаратного комплекса, на котором выполнялось тестирование программного обеспечения;

8) компоненты программно-аппаратного комплекса, характеристики компонентов программно-аппаратного комплекса;

Решает ли покупка сертифицированной программы проблему защиты ПДн?

Купить сертифицированную ФСТЭК учетную программу и успокоиться — это ли не мечта кадровика, бухгалтера, ИТ-специалиста! К сожалению, работа в прикладной сертифицированной программе не отменяет выполнения комплекса мер по защите персональных данных при их обработке в информационных системах.

В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

Разберемся с понятиями

Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

Чего же хочет закон?

Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

Обеспечьте защиту персональных данных в вашей компании

Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам. Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

На практике сертифицированные программы имеют ряд ограничений:

  • сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
  • сертификат выдается только на конкретную версию/платформу программного обеспечения;
  • при переходе на новую версию программного обеспечения сертификат становится недействительным;
  • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
  • сертификат действует не более трех лет.

Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных. Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

Как выполнить требования и не парализовать работу предприятия

Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также: