Сертификация ФСТЭК: самый подробный гайд. Часть вторая – процесс сертификации
Итак, вы определились со стратегией сертификации ФСТЭК, изучили регламенты и собрали список необходимых документов для ее прохождения. Очень подробно мы рассматривали эти этапы в первой части гайда. Напомню, что материалы собрала моя команда и я, CISO супераппа для бизнеса eXpress Максим Рубан. Во второй части мы по шагам рассмотрим процесс получения сертификата и поделимся всем, что знаем из своего опыта прохождения сертификации ФСТЭК России по 4 уровню доверия.
Основным документом, регламентирующим проведение сертификации, является Приказ ФСТЭК России № 55. Он определяет состав участников, организацию и порядок сертификации, а также перечень изделий, подлежащих сертификации. Это могут быть:
средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Как выглядит процесс сертификации ФСТЭК России
В системе сертификации участвуют:
Федеральный орган по сертификации (ФСТЭК России) — организует проведение сертификации, разрабатывает и устанавливает требования по безопасности информации к средствам защиты информации;
Орган по сертификации — осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации по требованиям безопасности информации;
Испытательная лаборатория — проводит сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы;
Изготовители средств защиты информации (заявители) — разрабатывают и/или производят средства защиты информации в соответствии с требованиями по безопасности информации.
Всего в этом процессе можно выделить 9 этапов:
Оформление и согласование заявки на проведение сертификации.
Подача заявки.
Выдача решения о проведении сертификации.
Предварительное ознакомление с изделием.
Подготовка, отправка и согласование программы и методики испытаний.
Проведение сертификационных испытаний.
Подготовка, отправка и согласование материалов сертификационных испытаний.
Выдача заключения по результатам испытаний и проекта сертификата.
Выдача сертификата на изделие заявителю.
Остановимся на каждом этапе подробнее.
1. Оформление и согласование заявки на проведение сертификации
На первом этапе заявитель выбирает из Реестра аккредитованных ФСТЭК России испытательных лабораторий Испытательную лабораторию, которая будет проводить испытания. Компании нужно заключить с ней договор и подготовить заявку, в которой также отражается информация о заявителе, схеме сертификации, наличии лицензий и т.п. Шаблон заявки есть в приложении к Приказу ФСТЭК России №55.
Заявителями на осуществление сертификации являются не только изготовители. При условии применения средства защиты информации в собственных целях это могут быть федеральные органы государственной власти, органы государственной власти субъектов РФ и органы местного самоуправления и организации.
2. Подача заявки
Заявитель направляет составленную заявку во ФСТЭК России. Также к заявке нужно приложить:
1. Формуляр или паспорт изделия (1 экз.)
2. Технические условия и/или Техническое задание (2 экз.)
3. Задание по безопасности при сертификации по Профилям защиты (2 экз.)
Если разработчик и заявитель — это разные лица, то к заявке также необходимо приложить договор о предоставлении заявителю права на сертификацию от разработчика.
3. Выдача решения о проведении сертификационных испытаний
Далее ФСТЭК России выносит решение о проведении сертификационных испытаний, в котором указано наименование и назначение средства защиты информации; заявитель; Испытательная лаборатория; орган по сертификации; наименования документов, на соответствие требованиям которых должна проводиться сертификация средства защиты информации и схема сертификации средства защиты информации;
Орган по сертификации выбирает ФСТЭК России, повлиять на выбор нельзя. После вынесения решения, заявитель обращается в орган по сертификации и заключает с ним договор.
4. Предварительное ознакомление с изделием
На данном этапе Испытательная лаборатория осуществляет предварительное ознакомление с изделием, запрашивает у заявителя необходимую информацию, осуществляет компиляцию и разворачивает тестовый стенд изделия совместно с разработчиком.
5. Подготовка, отправка и согласование Программы и методики испытаний
Испытательная лаборатория проводит анализ представленной документации и готовит программу и методику испытаний (ПМИ) на проверку заявленным требованиям безопасности информации, направляет и согласовывает ПМИ с органом по сертификации.
Важно, чтобы в Технических условиях сертифицируемого изделия были указаны реализованные Функции безопасности (ФБ) изделия. Перечень ФБ можно найти в Методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах».
6. Проведение сертификационных испытаний
Этот этап является самым объемным, т.к. лаборатория должна провести ряд испытаний для проверки соответствия требованиям безопасности информации. Тут на первый план выходят требования из Приказа ФСТЭК России № 76 и «Методики выявления уязвимостей и недекларированных возможностей». Неопытному разработчику может быть трудно реализовать все предъявляемые методы тестирования. Разработка собственной методики проведения испытаний поможет разобраться в требованиях и значительно ускорит процесс для Лаборатории.
Согласно последним требованиям Методики, испытательная лаборатория может принимать результаты испытаний непосредственно от разработчика изделия. Поэтому, зная предъявляемые требования, можно реализовать их выполнение заранее и на постоянной основе.
Самыми объемными проверками являются: статический и динамический анализ, фаззинг-тестирование, тестирование на проникновение, тестирование на отсутствие недекларированных возможностей, анализ заимствованных компонентов (SCA-анализ). Интеграция проверок в CI/CD значительно уменьшает сроки получения сертификата и повышает безопасность продукта. Вот почему желательно заранее выстраивать полноценный жизненный цикл безопасной разработки продукта, в том числе опираясь на требования ГОСТ 56939–2024.
7. Подготовка, отправка и согласование материалов сертификационных испытаний
После проведения всех проверок и оформления материалов, Испытательная лаборатория направляет их на дополнительную верификацию органу по сертификации. Как правило, на этом этапе возникает ряд вопросов и замечаний по материалам и документации, которые необходимо оперативно устранить.
8. Выдача заключения по результатам испытаний и проекта сертификата
Наконец, по результатам устранения всех замечаний, орган по сертификации направляет техническое заключение и проект сертификата во ФСТЭК России.
9. Выдача сертификата на изделие заявителю
ФСТЭК России рассматривает полученные материалы и подготавливает сертификат, который направляется заявителю. Срок проведения испытаний определяется договором с Испытательной лабораторией и Органом по сертификации, срок рассмотрения материалов и исправления замечаний определяется Приказом ФСТЭК России № 55.
Так выглядит таймлайн сертификации
Мы получили сертификат ФСТЭК: что дальше?
Сертификация ФСТЭК России не является разовой акцией или просто «галочкой» в списке требований. Напротив, это непрерывный, динамический процесс, который требует внимательного планирования, преданности, и тщательного следования протоколам безопасности и нормативам.
Сертификация подразумевает управление и поддержание безопасности: разработчику важно позаботиться о мониторинге, обновлении и улучшении защищенности своего ПО, чтобы продукт оставался безопасным на фоне непрерывно меняющегося ландшафта угроз кибербезопасности. Особенно это актуально при разработке новой функциональности и последующем внесении изменений в сертифицированный продукт.
Как осуществлять техническую поддержку сертифицированного ИТ-продукта:
обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации;
устранять недостатки и дефект средств защиты информации, в том числе уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации;
информировать потребителей об обновлении программного обеспечения средств защиты информации и об изменениях в эксплуатационной документации.
Мы в eXpress реализовали безопасную разработку ПО с интеграцией различных видов анализаторов в CI/CD. При каждой сборке выполняется динамический анализ, модульное тестирование, сбор покрытия, фаззинг-тестирование, статический анализ. При необходимости проведения сертификации определенной версии, нужно всего лишь выгрузить полученные артефакты из пайплайнов. Безусловно, первоначальное внедрение практик и их регламентация требует усилий и времени, но оно окупает себя упрощением последующих процессов сертификации ФСТЭК России и не только.
В 2024-м году ФСТЭК России выступил с инициативой упрощения процесса ресертификации при выпуске обновлений ранее сертифицированных продуктов. Изменения в порядок сертификации, а именно, введение сертификации безопасной разработки, уже обсуждаются в техническом комитете по стандартизации «Защита информации» при ФСТЭК России.
Для чего мы создали этот подробный гайд
Чтобы донести до компаний, которые задумываются над сертификацией своих продуктов, что этот процесс требует постоянного внимания и усилий с учетом динамичного развития функциональности ПО. Необходимо не только выполнить конкретный набор требований, но и в целом развивать в своей компании культуру безопасности и следовать принципу активного управления рисками. Результат стоит вложенных усилий — потребители сертифицированного отечественного ПО уверены в безопасности продуктов, а производители демонстрируют зрелость выстроенных процессов безопасной разработки.