News
Сертифицированные программные продукты, процедура сертификации программного обеспечения, требования безопасности, задачи ФСТЭК и ФСБ.
Согласно требования Федерального закона (Ф3) №781 и Постановления правительства РФ 17.11.07г., все вопросы в сфере защиты персональных данных возложены на ФСТЭК России и ФСБ России. Так же есть ряд уполномоченных представителей*, которые могут сертифицировать программное обеспечение (ПО). Согласно требованиям нормативных документов, использование сертифицированных средств защиты информации обязательно во всех информационных системах обработки персональных данных с 1-го по 3-й класс включительно (все рабочие станции и серверы по обработке персональных данных).

Процедура сертификациии программного обеспечения

Процедура сертификации ПО необходима в двух случаях:
  1. сертификация разработчиками по собственному желанию (цели сертификации могут быть различными);
  2. обязательная сертификация программного обеспечения (если ПО обрабатывает данные, потеря/утечка которых может причинить вред/ущерб частным лицам, компаниям, государственным и иным структурам).

Уведомление об обработке персональных данных и, соответственно, использование сертифицированных средств защиты информации не обязательно в случае:
  • защиты персональных данных субъектов, с которыми у оператора имеются трудовые отношения (например, кадровый отдел в рамках одного юридического лица);
  • данные используются для выполнения договора с Субъектом персональных данных (например, Договора оказания услуг и др.);
  • персональные данные являются обезличенными (то есть отсутствует возможность точно идентифицировать субъекта персональных данных, например вес, рост, дата рождения и др. параметры, не привязанные к каким-либо уникальным идентификаторам (паспорт, ИНН и др.));
  • персональные данные являются общедоступными (то есть данные, которые определены общедоступными данным или другими законами, например данные о кандидатах на выборные должности и др.).

Сертифицированное ПО (требования по безопасности)

  • ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации по требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России и ФСБ России, что подтверждается Сертификатом соответствия.

  • Копия сертификата соответствия(заверенная печатью заявителя) должна входить в комплект поставки сертифицированного ПО;
ПО, дистрибутив, которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

  • Верифицированный дистрибутив ПО, формуляр с указанием контрольной суммы дистрибутива и специальный голографический знак соответствия должны входить в комплект поставки сертифицированного ПО;
ПО, механизмы защиты развернутой версии которого настроены в соответствии с сертифицированными параметрами. ПО сертифицируется на соответствие техническим документам (РД, ТУ или ЗБ) и с параметрами, указанными в этой документации.

  • Комплект поставки сертифицированного ПО должен включать в себя документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации;
ПО, все доработки (обновления) которого, критичные для безопасности, подвергаются сертификационным испытаниям, и доводятся до конечного пользователя. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.

  • Комплект поставки сертифицированного ПО должен включать в себя всё необходимые инструменты для получение потребителем обновлений безопасности;
ПО, контролируемое в процессе эксплуатации. ПО должно иметь средства контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.

  • Комплект поставки сертифицированного ПО должен включать в себя необходимые программные средства (встроенные или наложенные), предназначенные для выполнения данных требований;
ПО, каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.

  • Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации**.

Задачи ФСТЭК и ФСБ

Основными задачами ФСТЭК в сфере сертификации ПО являются:
  • реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
  • осуществление самостоятельного нормативно-правового регулирования вопросов:
  1. обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
  2. противодействия техническим разведкам;
  3. технической защиты информации.
  • осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях***;

Лицензирование ПО ФСБ России

Лицензированию, осуществляемому центром ФСБ России, подлежат:
  • деятельность, связанная с использованием сведений, составляющих государственную тайну;
  • деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
  • деятельность, связанная с созданием средств защиты информации****;

Сведения о системе сертификации программного обеспечения

Все данные о системе сертификации средств защиты информации по требованиям безопасности можно найти на официальном сайте ФСТЭК*****.

Сертифицированные продукты

На данный момент количество сертифицированных продуктов насчитывает 3154 позиции******. Практически все эти продукты вы можете найти на нашем сайте в разделе «Сертифицированное ПО».

Так, например, многие продукты Microsoft сертифицированные ФСТЭК позволяют строить автоматизированные системы до класса защищенности 1Г включительно. 
Русифицированные версии Windows XP Professional и Windows Server 2003 Enterprise Edition соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. 

* — уполномоченные представители сертификации.   
** — информация с официального сайта ФСТЭК России.
*** — полный перечень задач ФСТЭК.
**** — полный перечень задач ФСБ России.
***** — официальный сайт ФСТЭК России.
****** — список сертифицированных продуктов.