Как устроены сертификаты безопасности для операционных систем28.03.2024 08:46

Маркет

28 Марта 2024 08:4128 Мар 2024 08:41 |
Поделиться

В современном цифровом мире безопасность операционных систем становится все более актуальной и приоритетной задачей. В этой статье мы рассмотрим вопрос обеспечения безопасности операционных систем через призму сертификации и аккредитации в России.

Система сертификации ПО включает в себя реестр российского программного обеспечения, а также выдачу сертификатов безопасности со стороны Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ России) и Министерства обороны Российской Федерации.

Перейти к обзору ОС 2024

Вхождение в реестр российского ПО

Реестр отечественного программного обеспечения, также известный как «Единый реестр российских программ для компьютеров и баз данных», представляет собой список компаний в сфере информационных технологий России, которые разрабатывают программы и базы данных, не зависящие от иностранных систем и патентов. Он включает в себя программное обеспечение и базы данных, разработанные в России и способные работать независимо от программ, созданных в «недружественных» странах.

С 2016 г. Российская Федерация ежегодно инвестирует от 7 до 22 миллиардов рублей в отечественную ИТ-индустрию и распределяет эти средства между участниками реестра. Количество программного обеспечения, включенного в список, не ограничено: благодаря программе импортозамещения государство заинтересовано в максимальном количестве качественных отечественных продуктов.

Принцип работы реестра

Реестр отечественного программного обеспечения представляет собой список, в котором собраны все программы и базы данных, прошедшие проверку и соответствующие законодательству. Этот реестр ведется специалистами из Министерства цифрового развития, известного как Минцифра. Если компания и ее программное обеспечение соответствуют всем требованиям, их разработка включается в реестр, после чего они получают доступ ко всем бонусам и льготам.

Минцифры ведет два отдельных реестра: один — для российского программного обеспечения, а другой — для программного обеспечения из «дружественных» стран, то есть из стран Евразийского союза. Разработчики из таких стран, как Беларусь, Казахстан и других членов союза, также получают преимущества при участии в государственных закупках, если аналогичные отечественные продукты отсутствуют.

Как попасть в реестр

Для того, чтобы включить свое программное обеспечение в реестр отечественных продуктов, необходимо подать заявку через портал Госуслуг. Для этого требуется иметь учетную запись, подтвержденную с помощью электронной цифровой подписи. Заявка подается после того, как вся необходимая информация собрана и оформлена.

Оплата государственной пошлины не требуется, однако если в заявке указаны неверные данные, она будет отклонена. Повторно подать заявку можно только через 12 месяцев, и в течение этого года придется уплачивать НДС.

Сертификаты ФСТЭК России

Сертификат ФСТЭК — это документ, подтверждающий, что программное обеспечение (ПО) соответствует требованиям безопасности, установленным законодательством России и правилами ФСТЭК. Его выдают на основе результатов испытаний и оценки уровня безопасности ПО.

Для получения сертификата нужно провести комплексную оценку безопасности информационной системы, включая анализ угроз безопасности, техническое тестирование и оценку устойчивости. Эту процедуру обычно выполняют специализированные компании с лицензией ФСТЭК.

Компания-разработчик должна подать заявку на сертификацию, предоставить необходимые документы и оплатить государственную пошлину.

Уровни доверия

Согласно приказу ФСТЭК России № 76 от 2 июня 2020 г., установлены 6 уровней доверия к средствам технической защиты информации и информационных технологий:

  • 6 уровень — для критической информационной инфраструктуры 3 категории, государственных информационных
  • 5 уровень — для критической информационной инфраструктуры 2 категории, государственных информационных систем 2 класса защищенности
  • 4 уровень — для критической информационной инфраструктуры 1 категории, государственных информационных систем 1 класса защищенности
  • 1, 2 и 3 уровни — для систем, обрабатывающих информацию, составляющую государственную тайну.

Классы защиты

Сертификация ФСТЭК производится на четырех уровнях защиты (от 1-го до 4-го), в зависимости от требований к безопасности информационных систем. Каждый уровень имеет свои особенности и рекомендации для применения в различных ситуациях:

  1. Уровень 1 представляет основной уровень защиты и рекомендуется для систем, содержащих конфиденциальную информацию, но не относящихся к государственной тайне. Он включает в себя необходимость защиты от несанкционированного доступа, возможности резервного копирования и восстановления данных, защиты от вирусов, шпионского ПО и других угроз.
  2. Уровень 2 рекомендуется для систем с конфиденциальной информацией, имеющей ограниченный доступ. Включает в себя все требования уровня 1, а также дополнительные меры защиты, такие как контроль целостности информации, регистрация и учет действий пользователей.
  3. Уровень 3 рекомендуется для систем с конфиденциальной информацией, имеющих ограниченный доступ и требующих повышенной защиты. Он включает в себя все требования уровней 1 и 2, а также дополнительные меры защиты, такие как контроль целостности и конфиденциальности информации, аудит системы и управление доступом.
  4. Уровень 4 рекомендуется для систем, содержащих государственную тайну и имеющих высокую степень охраны информации. Он включает в себя все требования уровней 1–3, а также дополнительные меры защиты, такие как использование аппаратных средств шифрования, контроль целостности системы и защита от компрометации.

Сертификаты ФСБ России

В соответствии с российским законодательством, все средства обеспечения информационной безопасности должны пройти процедуру сертификации. Этот процесс управляется двумя регулирующими органами: Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ). ФСБ отвечает за сертификацию продуктов, использующих криптографические методы защиты, и поддерживает реестр сертифицированных средств защиты информации.

В процессе сертификации подлежат как программные, так и аппаратные средства, которые помогают снизить риски информационной безопасности. Для каждого типа разработок устанавливаются определенные классификации. Для решений, использующих криптографию, определены следующие категории:

  • Класс КС1 — способны противостоять внешним атакам.
  • Класс КС2 — защищают от атак как извне, так и внутри контролируемой зоны.
  • Класс КС3 — обеспечивают безопасность даже при наличии доступа к устройству.
  • Класс КВ — способны защититься от атак специалистов по анализу средств защиты.
  • Класс КА — обеспечивают максимальную безопасность и защиту от атак со стороны специалистов с полным доступом к аппаратным компонентам.

Сертификацией занимается Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ) ФСБ России. Сертификаты, выданные ФСБ, имеют срок действия три года, который может быть продлен до пяти лет. Эти сертифицированные средства защиты информации необходимы в первую очередь для государственных учреждений и компаний с государственным участием, так как использование иных средств запрещено законом.

Перейти к обзору ОС 2024

Сертификация Минобороны

Сертификация Минобороны РФ представляет собой процесс оценки и подтверждения соответствия продуктов и технологий военным требованиям и стандартам безопасности, установленным Министерством обороны Российской Федерации.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД

Импортонезависимость

Для начала процесса сертификации заявитель должен отправить заявку на Восьмое управление Генерального штаба Вооруженных Сил Российской Федерации (ВС РФ). Эта заявка должна включать необходимые документы и быть подписана руководителем заявителя.

Заявка на сертификацию может быть отправлена только после завершения заявителем предварительных испытаний образца средства защиты информации.

Заключение

В современном информационном мире обеспечение безопасности операционных систем является приоритетной задачей. Российская система сертификации ПО, включающая в себя реестр отечественного программного обеспечения и выдачу сертификатов от ФСТЭК, ФСБ России и Минобороны, играет важную роль в обеспечении защиты информационных систем от различных угроз и атак.

Эти сертификаты являются подтверждением соответствия продуктов определенным стандартам безопасности и способствуют повышению доверия к использованию российских операционных систем как в государственных, так и в корпоративных секторах. Они также способствуют развитию национальной индустрии информационных технологий и укреплению цифровой безопасности страны.

Полный текст статьи читайте на CNews