Сертифицированные программные продукты, процедура сертификации программного обеспечения, требования безопасности, задачи ФСТЭК и ФСБ.
Согласно требования Федерального закона (Ф3) №781 и Постановления правительства РФ 17.11.07г., все вопросы в сфере защиты персональных данных возложены на
ФСТЭК России и
ФСБ России. Так же есть ряд уполномоченных представителей
*, которые могут сертифицировать программное обеспечение (ПО). Согласно требованиям нормативных документов,
использование сертифицированных средств защиты информации обязательно во всех информационных системах обработки персональных данных с 1-го по 3-й класс включительно (все рабочие станции и серверы по обработке персональных данных).
Процедура сертификациии программного обеспечения
Процедура сертификации ПО необходима в двух случаях:
-
сертификация разработчиками по собственному желанию (цели сертификации могут быть различными);
-
обязательная сертификация программного обеспечения (если ПО обрабатывает данные, потеря/утечка которых может причинить вред/ущерб частным лицам, компаниям, государственным и иным структурам).
Уведомление об обработке персональных данных и, соответственно,
использование сертифицированных средств защиты информации не обязательно в случае:
-
защиты персональных данных субъектов, с которыми у оператора имеются трудовые отношения (например, кадровый отдел в рамках одного юридического лица);
-
данные используются для выполнения договора с Субъектом персональных данных (например, Договора оказания услуг и др.);
-
персональные данные являются обезличенными (то есть отсутствует возможность точно идентифицировать субъекта персональных данных, например вес, рост, дата рождения и др. параметры, не привязанные к каким-либо уникальным идентификаторам (паспорт, ИНН и др.));
-
персональные данные являются общедоступными (то есть данные, которые определены общедоступными данным или другими законами, например данные о кандидатах на выборные должности и др.).
Сертифицированное ПО (требования по безопасности)
-
ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации по требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России и ФСБ России, что подтверждается Сертификатом соответствия.
-
Копия сертификата соответствия(заверенная печатью заявителя) должна входить в комплект поставки сертифицированного ПО;
ПО, дистрибутив, которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
-
Верифицированный дистрибутив ПО, формуляр с указанием контрольной суммы дистрибутива и специальный голографический знак соответствия должны входить в комплект поставки сертифицированного ПО;
ПО, механизмы защиты развернутой версии которого настроены в соответствии с сертифицированными параметрами. ПО сертифицируется на соответствие техническим документам (РД, ТУ или ЗБ) и с параметрами, указанными в этой документации.
-
Комплект поставки сертифицированного ПО должен включать в себя документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации;
ПО, все доработки (обновления) которого, критичные для безопасности, подвергаются сертификационным испытаниям, и доводятся до конечного пользователя. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
-
Комплект поставки сертифицированного ПО должен включать в себя всё необходимые инструменты для получение потребителем обновлений безопасности;
ПО, контролируемое в процессе эксплуатации. ПО должно иметь средства контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.
-
Комплект поставки сертифицированного ПО должен включать в себя необходимые программные средства (встроенные или наложенные), предназначенные для выполнения данных требований;
ПО, каждый сертифицированный экземпляр
, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.
-
Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации**.
Задачи ФСТЭК и ФСБ
Основными задачами ФСТЭК в сфере сертификации ПО являются:
-
реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
-
осуществление самостоятельного нормативно-правового регулирования вопросов:
-
обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
-
противодействия техническим разведкам;
-
технической защиты информации.
-
осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях***;
Лицензирование ПО ФСБ России
Лицензированию, осуществляемому центром ФСБ России, подлежат:
-
деятельность, связанная с использованием сведений, составляющих государственную тайну;
-
деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
-
деятельность, связанная с созданием средств защиты информации****;
Сведения о системе сертификации программного обеспечения
Все данные о системе сертификации средств защиты информации по требованиям безопасности можно найти на официальном сайте ФСТЭК
*****.
Сертифицированные продукты
На данный момент количество сертифицированных продуктов насчитывает 3154 позиции
******. Практически все эти продукты вы можете найти на нашем сайте в разделе «
Сертифицированное ПО».
Так, например, многие продукты Microsoft сертифицированные ФСТЭК позволяют строить автоматизированные системы до класса защищенности 1Г включительно.
Русифицированные версии
Windows XP Professional и
Windows Server 2003 Enterprise Edition соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.
* — уполномоченные представители сертификации.
** — информация с официального сайта ФСТЭК России.
*** — полный перечень задач ФСТЭК.
**** — полный перечень задач ФСБ России.
***** — официальный сайт ФСТЭК России.
****** — список сертифицированных продуктов.