Сертификация ФСТЭК: самый подробный гайд. Часть первая – подготовка
Сертификация по требованиям ФСТЭК России остается ключевым инструментом обеспечения информационной безопасности в России, особенно в последние годы. На чем бы ни специализировалась ваша организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной обработкой данных, имеет важное значение. Однако, для многих разработчиков процесс выглядит непонятным, приходится разбираться на ходу, из-за чего проведение сертификационных испытаний может затянуться на год и более. Мы в eXpress изначально выбрали стратегию security-first — и стали единственным супераппом в классе «онлайн-коммуникации», сертифицированным ФСТЭК России по 4 уровню доверия.
Меня зовут Максим Рубан, я руковожу направлением информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress. В серии статей я подробно покажу процесс прохождения сертификации, что важно не забыть и где сэкономить ресурсы.
Начнем с изучения законодательной базы, подготовки процессов и необходимых документов.
Как подойти к сертификации ФСТЭК
Сертификация ФСТЭК — это процесс оценки соответствия информационных систем и систем защиты информации требованиям безопасности. Сертификация необходима для использования информационных технологий в государственных информационных системах (ГИС), критических информационных инфраструктурах (КИИ), информационных системах персональных данных (ИСПДн), автоматизированных системах управления технологическим процессом (АСУ ТП) и органах местного самоуправления. При проведении сертификации проверяются технические и организационные меры защиты информации, наличие уязвимостей, а также соответствие установленным нормам и стандартам безопасности Российской Федерации.
Получение лицензий
Первоначально вашей компании необходимо получить необходимые лицензии ФСТЭК России для начала работ по сертификации, а именно, лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации и лицензию на деятельность по технической защите конфиденциальной информации.
Необходимая информация содержится в нормативных документах:
Постановление Правительства Российской Федерации от 3 марта 2012 г. N 171. «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»
Приказ ФСТЭК России от 12 января 2023 г. N 4. «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. N 133 и внесенных в него изменений».
Обеспечение необходимыми документами
После получения лицензий, разработчику программного или программно-аппаратного обеспечения необходимо изучить нормативную методическую базу ФСТЭК России и определить, где планируется применять разработанный софт. Основные документы для понимания процесса сертификации:
Приказ ФСТЭК России от 2 июня 2020 г. № 76, Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
Приказ ФСТЭК России от 3 апреля 2018 г. № 55. Об утверждении положения о системе сертификации средств защиты информации.
ГОСТ Р 56939–2016 Национальный стандарт Российской Федерации по защите информации. Разработка безопасного программного обеспечения, общие требования.
Если планируется применять в ИСПДн:
Федеральный закон от 27 июля 2006 г. «О персональных данных» №152-ФЗ.
Постановление Правительства от 01 ноября 2012 г. № 1119.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Если планируется применять в ГИС:
Приказ ФСТЭК России от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
Если планируется применять в АСУ ТП:
Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Если планируется применять в КИИ:
Федеральный закон от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры РФ» № 187-ФЗ.
Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Методический документ ФСТЭК России от 11 февраля 2014 г. Меры защиты информации в государственных информационных системах.
Если после изучения документов ваша готовность сертифицировать продукт не исчезла, то необходимо изучить «Методику выявления уязвимостей и недекларированных возможностей». Это документ с ограниченным доступом, его необходимо запросить официальным письмом у ФСТЭК России. Они необходимы разработчику для понимания алгоритмов проверки на наличие уязвимостей и недекларированных возможностей (НДВ) в ПО.
Также существуют так называемые профили защиты. Это набор требований ФСТЭК России под определенные типы сертифицируемого изделия, такие как: средства антивирусной проверки, операционные системы, средства доверенной загрузки, межсетевые экраны, средства контроля подключения съемных машинных носителей информации, систем обнаружения вторжений.
Подготовительные работы по сертификации
После ознакомления с нормативными документами и перед подачей заявки на сертификацию нужно выполнить несколько подготовительных работ.
1. Определить схему сертификации
a. единичный образец (если планируется применять одну единственную копию продукта);
b. партия (если планируется применять определенное количество копий продукта);
c. серийное производство (если нет четких границ по количеству продаваемых копий).
2. Определить необходимый уровень доверия в соответствии с Приказом №76 ФСТЭК России (зависит от того, в каких ИС планируется применять средство).
3. Разработать необходимый минимальный комплект документов для подачи заявки. Документы составляются в соответствии с ЕСПД (ГОСТ 19) Единая система программной документации:
a. Формуляр
b. Технические условия и/или Техническое задание
c. Руководство пользователя
d. Руководство администратора
Также для прохождения сертификации потребуется разработать дополнительную документацию для выполнения требований Методики и Приказа ФСТЭК России от 2 июня 2020 г. № 76. Если осуществляется сертификация серийного производства, также потребуется выполнение требований ГОСТ Р 56939–2024 Защита информации. Разработка безопасного программного обеспечения.
В процессе сертификации проводится анализ документов, содержащих описание реализации предъявляемых требований. Основной объем занимает реализация и описание требований из Приказа ФСТЭК № 76.
Что необходимо отразить в документации:
Проектирование архитектуры безопасности средства. Необходимо предоставить описание: безопасности процесса инициализации средства; обеспечения собственной защиты средства от несанкционированного доступа; невозможности обхода функций безопасности средства.
Разработка функциональной спецификации средства. Необходимо предоставить описание: назначения и способов использования каждого интерфейса функций безопасности; идентификации параметров, связанных с каждым интерфейсом функций безопасности; идентификации интерфейсов средства, не влияющих на функции безопасности средства.
Проектирование средства. Необходимо предоставить описание: перечня подсистем, реализующих функции безопасности средства; перечня подсистем, поддерживающих выполнение функций безопасности; перечня подсистем, не влияющих на выполнение функций безопасности.
Разработка проектной (программной) документации. Проектная документация средства, включающая проект на уровне подсистем средства (эскизный проект) и проект на уровне модулей средства (технический проект).
Управление конфигурацией средства. Необходимо предоставить описание: уникальной маркировки средства; элементов конфигурации средства, включающий в том числе документацию; порядка управления изменениями средства и документации.
Важно помнить, что требования и состав документов варьируются в зависимости от уровня контроля, на который проводится сертификация средства.
Надеемся, наш гайд станет опорой для компаний, которые начинают готовиться к сертификации ФСТЭК. А непосредственно про процесс сертификации ФСТЭК мы поговорим в следующей статье.