Если Вас интересует Сертификация ФСТЭК России, ниже Вы найдете ответы на часто возникающие вопросы. Кликайте на вопрос чтобы увидеть ответ.

Если Заявителем* принято решение о поставке такого ПО на предприятия, относящиеся к Государственным Информационным Системам, поставка возможна только при наличии у поставляемого ПО Сертификата соответствия требованиям ФСТЭК России.

Информация о требованиях размещена на официальном сайте ФСТЭК России в разделе «Техническая защита информации» в подразделе «Сертификация» и предоставляется ФСТЭК России при прохождении процедуры сертификации по запросу Заявителя*. На данный момент обязательным документом для сертификации ФСТЭК России являются: «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». Выполнение Требований к Уровням доверия является обязательным при проведении работ по сертификации средств защиты информации и средств обеспечения безопасности информационных технологий. Требования к уровням доверия устанавливают требования к разработке и производству средств, к проведению испытаний средств, а также к поддержке безопасности средств в ходе их применения. Меры по выявлению уязвимостей и недекларированных возможностей должны быть реализованы в соответствии с Методикой ФСТЭК России (предоставляется в соответствии с  Порядком обеспечения организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе «Обеспечение документами» раздела «Документы»).

В существующей в РФ системе сертификации кроме Заявителя* участвуют так же Испытательные лаборатории (ИЛ), Органы сертификации (ОС) и Федеральный орган сертификации (ФСТЭК России).

На первом этапе крайне важно изготовителю ПО* ознакомиться с требованиями, предъявляемыми ФСТЭК России к программным и программно-техническим средствам и выбрать ИЛ для проведения Сертификационных испытаний (из Реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий).

ФСТЭК России установил строгое соответствие между классом защищённости (ГИС, АСУТП), категорией значимости (ЗО КИИ), уровнем защищенности (ИСПДн), в которых будет эксплуатироваться средство и Уровнем доверия, по которому ПО должно проходить Сертификационные испытания (оценка соответствия продукта заявленным требованиям).

Предварительно нужно определиться с предъявляемыми требованиями к продукту самостоятельно, подготовить Заявку на сертификацию или обращаться в выбранную ИЛ для подготовки Заявки на сертификацию. Весь дальнейший процесс помогут организовать специалисты ИЛ.

Это прежде всего оценка соответствия средства и документации Испытательной лабораторией предъявляемым ФСТЭК России требованиям. Далее проводится экспертная оценка Органом по сертификации. На основании заключения ОС принимается решение ФСТЭК России о выдаче для средства Сертификата соответствия ФСТЭК России (или отказа в выдаче Сертификата в случае выявления несоответствия требованиям).

Условно можно разбить весь процесс сертификации на несколько этапов: получение решения на СИ, Утверждение ПИМ в ОС, Проведение сертификационных испытаний и их экспертная оценка, получение сертификата. Далее о них чуть подробнее.

Первоначально производится подача Заявки на Сертификационные испытания во ФСТЭК России правообладателем ПО* (после согласования возможности и сроков сертификационных испытаний в ИЛ), если по Заявке ФСТЭК России принято положительное Решение, то заключение правообладателем ПО* соответствующих Договоров с выбранной ИЛ и назначенным ФСТЭК России Органом по сертификации, далее происходит предварительное ознакомление ИЛ с продуктом и документацией разработчика СЗИ, разрабатывается ИЛ и утверждается ОС Программа и методики проведения Сертификационных испытаний, далее специалистами ИЛ проводятся Сертификационные испытания на соответствие образца всем требованиям ФСТЭК России, а их результаты проверяются и утверждаются ОС, все материалы и заключения получает ФСТЭК России и на их основании принимает решение о выдаче (или отказе в выдаче) Сертификата соответствия Заявителю*.

После изучения требований ФСТЭК России правообладатель ПО* определяется с ресурсами, необходимыми и достаточными для устранения возможных несоответствий продукта и документации на продукт этим требованиям (своими силами или с привлечением консультирующих организаций), назначаются ответственные лица в штате изготовителя СЗИ* и подаётся Заявка на сертификацию. У изготовителя СЗИ* должна быть лицензия на разработку средств защиты конфиденциальной информации. Сам процесс сертификации может в среднем занимать от двух до шести месяцев и более в зависимости от количества возможных выявленных несоответствий требованиям ФСТЭК России, как в самом продукте, так и в документации к нему, а так же в зависимости от таких факторов, как: количество функций безопасности в СЗИ, количество сред функционирования СЗИ, класс защищённости Информационных систем, в которых будет эксплуатироваться СЗИ и т.д. Узнать примерную стоимость работ по Сертификации вы можете прямо здесь с помощью нашего умного калькулятора, оставив заявку на нашем сайте или по телефону.

Нет, не может. Соответствие процесса разработки СЗИ данным требованиям обязательнo для получения Сертификата соответствия.

* Заявитель на сертификацию ФСТЭК России. Ими могут быть: правообладатели на СЗИ, разработчики СЗИ и/или изготовители СЗИ, эксплуатанты СЗИ.

 

Используемые сокращения:

АС — Автоматизированная система
АСУТП — автоматизированных системах управления производственными и технологическими процессами
ГИС — Государственная информационная система
ЗО КИИ – Значимый объект критической информационной инфраструктуры
ИС — Информационная система
ИЛ – Испытательная лаборатория
ИСПДн — Информационная система персональных данных
ОС – Орган по сертификации
ПО – Программное обеспечение
СЗИ – средства защиты информации
СОБИТ – средства обеспечения безопасности информационных технологий
Средства — программные, программно-технические средствам технической защиты информации, средства обеспечения безопасности информационных технологий, включая защищённые средства обработки информации
УД — Уровень доверия

Узнать дополнительную информацию о нюансах работ по Сертификации ПО (а также программно-аппаратных средств) можно по телефону +7 (495) 580-97-38 или через форму обратной связи.

Ждем ваших заявок!