Актуальные вопросы по сертификации средств защиты информации

Ваш отзыв

Мы вместе с Сергеем Трошкиным решили подготовить для вас небольшую подборку актуальных вопросов по теме сертификации средств защиты информации (СЗИ), которые часто задают наши заказчики и на которые не всегда можно найти однозначный ответ в нормативных документах:

1. На наш продукт выдан сертификат соответствия ФСТЭК России, необходимо ли нам его переоформлять на соответствие требованиям к уровням доверия)?

Да, переоформить сертификат на соответствие Требованиям к уровням доверия (131 приказ ФСТЭК России) необходимо.

Разработчикам и производителям сертифицированных средств защиты информации необходимо провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия.

Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не проведена до 1 января 2020 г. может быть приостановлено (информационное сообщение ФСТЭК России от 29 марта 2019).

2. Можно ли использовать СЗИ с истекшим сроком действия сертификата?

В соответствии с Положением о системе сертификации средств защиты информации ФСТЭК России (55 приказ ФСТЭК России), истечение срока действия сертификата соответствия не является поводом к отказу от использования пока заявителем будет осуществляться его техническая поддержка.

Для подтверждения продолжения технической поддержки уже появилась отдельная графа в реестре сертифицированных СЗИ:

Пока запись о сертификате на СЗИ есть в реестре и на него действует техническая поддержка от заявителя, такое СЗИ можно применять.

Однако, переход с РД НДВ на Требования к уровням доверия в эту практику может внести свои коррективы. Т.к. действие не переоформленных на новые требования сертификатов может быть приостановлено, а в последствии и прекращено.

3. Достаточно ли будет документации по старым требованиям или потребуется что-то разработать?

Нет, недостаточно. В соответствии с Требованиями к уровням доверия, документацию на объект сертификации потребуется существенно переработать. Объем документов изменился довольно сильно.

4. Обязателен ли ГОСТ по безопасной разработке (ГОСТ Р 56939-2016)?

По факту, да. В соответствии с новым Положением о системе сертификации средств защиты информации ФСТЭК России, испытательная лаборатория должна при проверке производства проверить внедрение практик безопасной разработки у Заявителя. Единственный вариант, когда лаборатория не должна этого делать – это сертификация партии образцов или единичного экземпляра. Однако, теперь такие сертификации возможны лишь для изделий, предназначенных для собственного использования, поэтому они встречаются значительно реже.

5. Можно ли сертифицировать несколько экземпляров СЗИ для продажи?

Нет, это невозможно. Теперь сертификация партии продукции или единичного экземпляра возможна лишь для собственного использования Заявителем. Также не забываем о необходимости организации его технической поддержки.

6. Разработчик не мы, можно ли нам сертифицировать продукт?

Если у разработчика имеется лицензия ФСТЭК России на деятельность по разработке средств защиты конфиденциальной информации / созданию средств защиты, то это возможно.

Проверить наличие лицензии на разработку можно на сайте ФСТЭК России в отдельном реестре, но только в части разработки СЗИ для конфиденциальной информации.

Не забываем, что заявителю потребуется организовать и техническую поддержку продукта, а также внедрить у себя ГОСТ по безопасной разработке программного обеспечения (ГОСТ Р 56939-2016).

7. Каковы сроки на сертификацию?

В среднем весь процесс сертификации занимает порядка 10-12 месяцев.

8. От чего зависит стоимость сертификации?

От объекта сертификации (объем кода, функции безопасности, среды функционирования и т.п.) и требований, на которые необходимо будет его сертифицировать. Для точной оценки сроков и стоимости есть отдельная анкета по сертификации, вы можете запросить ее написав письмо на cert@npo-echelon.ru.

9. Для кого сертификация в системе сертификации ФСТЭК России обязательна?

Как минимум – это все СЗИ, применяющиеся для информации, содержащей сведения составляющие государственную тайну, а также все СЗИ, которые используются в системах, отнесенных к ГИС (17 приказ ФСТЭК России).

Также применять сертифицированные СЗИ обязательно, если конечная система, в которой они применяются, должна проходить аттестацию по требованиям безопасности информации.

10. Как выглядит процесс сертификации?

Если кратко, то вот так:

11. Можно ли сертифицировать программное обеспечение без исходных текстов?

Можно, но не выше 6 уровня контроля в соответствии с Требованиями к уровням доверия.

12. Мы не хотим передавать исходные тексты, возможна ли сертификация по высоким уровням доверия?

В соответствии с новым Положением о системе сертификации ФСТЭК России, проводить испытания можно только на территории Заявителя или Испытательной лаборатории. Где планируется проводить испытания необходимо указывать еще в заявке на сертификацию.

Таким образом, в ИЛ передавать исходные тексты необязательно, можно предоставить к ним доступ и провести все испытания и на территории Заявителя.

13. Можно ли сертифицировать продукт, который используется только для собственных нужд, не имея лицензии на разработку?

Это возможно, но не забываем, что на СЗИ потребуется обеспечить и техническую поддержку.

14. Срок действия на наш сертификат закончился, что делать?

Ответ зависит от планов на сертифицированное изделие.

Если планируется продолжать производить изделие, то необходимо продлить сертификат. Процедура продления сертификата теперь аналогична сертификации.

Если изделие уже предоставлено всем заказчикам и больше производить его не планируется, но заказчики заинтересованы в продолжении использования изделия и заявитель с этим согласен –необходимо продолжить техническую поддержку изделия и уведомить об этом ФСТЭК России.

Если изделие уже неинтересно для заявителя и его заказчиков – необходимо сдать все неиспользованные знаки соответствия в ФСТЭК России.

15. Наш продукт не полностью соответствует требованиям, возможна ли сертификация?

Если для продукта существуют разработанные ФСТЭК России требования (например, для САВЗ, СОВ, МЭ, ОС, СДЗ, СКН), то для его успешной сертификации изделие потребуется доработать до полного соответствия этим требованиям. Если для такого вида изделий требований ФСТЭК России нет, то сертификация возможна на документацию разработчика, а именно – на технические условия (ТУ) или задание по безопасности (ЗБ).

При этом выполнение Требований к уровням доверия также обязательно.

16. Можно ли провести сертификацию только лишь на соответствие техническим условиям или заданию по безопасности?

Нет. Теперь любая сертификация должна в себя включать и проверки на соответствие Требованиям к уровням доверия.

17. Что делать, если нам необходимо внести изменения в свое сертифицированное средство?

Любые изменения в сертифицированное изделие должны быть легализованы.

Если изменяются существующие или добавляются новые функции защиты информации, то для проведения испытаний привлекается испытательная лаборатория и проводится инспекционный контроль.

Если меняются другие функции, испытания проводятся самостоятельно или с привлечением испытательной лаборатории.

18. Что делать, если в сертифицированном изделии обнаружена уязвимость?

Необходимо оперативно устранить уязвимость и довести обновление до пользователей изделия, после чего легализовать изменения изделия.

19. Сертификация в системе сертификации Минобороны России отличается от ФСТЭК России?

Да, отличается. ФСТЭК России предъявляет требования по обязательной сертификации только к СЗИ, а в Минобороны России все изделия, которые обрабатывают защищаемую информацию, должны быть сертифицированы. Кроме того, различаются и требования, на которые  может проводиться сертификация, а также участники сертификации.

20. Применяются ли Требования к уровням доверия в Системе сертификации Минобороны России.

Нет, на данный момент продолжает использоваться руководящий документ «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

21. Требуется ли внедрять процедуры безопасной разработки при сертификации в системе сертификации Минобороны России?

Да, это необходимо для всех разработчиков. Процедуры проверяются при лицензировании деятельности на создание СЗИ, а также при проверке производства при сертификации.

22. Какой порядок внесения изменений в изделие, обладающее сертификатом Минобороны России?

Порядок отличается от применяемого в ФСТЭК России. Порядок инспекционного контроля схож с обычной сертификацией, но проверяются при нем только внесенные изменения.

Если у вас есть еще вопросы в области сертификации СЗИ, то пишите их пожалуйста в комментариях. На самые интересные из них мы постараемся ответить в следующих записях.

Possibly Related Posts:


Вебинар по реализации требований по обеспечению безопасности объектов информатизации от НПО «Эшелон»

Ваш отзыв

НПО «Эшелон» приглашает специалистов компаний-партнеров принять участие в вебинарах по разрабатываемым компанией решениям, которые пройдут 23 и 24 апреля 2020 г.

Тема вебинара: «Реализация требований по обеспечению безопасности объектов информатизации с помощью решений НПО «Эшелон».

Программа вебинара:

  • Нормативные требования по защите объектов информатизации;
  • Комплекс анализа защищенности «Сканер-ВС»;
  • Комплекс межсетевого экранирования и обнаружения вторжений «Рубикон»;
  • SIEM-система «КОМРАД»;
  • Партнерская политика.

Даты проведения: 

  • 23 апреля в 9.00 по МСК для Дальневосточного, Сибирского и Уральского федеральных округов;
  • 24 апреля в 12.00 по МСК для Центрального, Южного, Северо-Кавказского, Северо-Западного федеральных округов.

Длительность: 1 час.

Ведущим вебинара выступит Донской Дмитрий Александрович, директор по развитию региональных продаж АО «НПО «Эшелон».

Для регистрации на вебинар, пройдите по ссылке:

Будем рады видеть Вас среди участников!

Possibly Related Posts:


Информационная безопасность в условиях пандемии COVID-19

Ваш отзыв

На портале Российского совета по международным делам опубликована статья эксперта совета президента ГК «Эшелон» Алексея Сергеевича Маркова «Информационная безопасность в условиях пандемии COVID-19».

В публикации подробно рассмотрены актуальные киберугрозы, связанные с пандемией COVID-19. Сейчас во всем мире растет количество кибератак на организации здравоохранения и медико-биологические НИИ. Относительно новым объектом кибератак по компрометации персональных данных оказались системы телемедицины, популярные в западных странах для организации домашнего лечения. Торговые компании, работающие через интернет, также не остались без внимания злоумышленников.

Что касается России, то на самом начальном этапе карантинных мероприятий уже можно констатировать, что, несмотря на инциденты и недостатки, проблемная ситуация (к безусловной чести отечественных ИТ/ИБ-служб) не привела к какому бы то ни было национальному краху в российском сегменте интернета, однако психологически продолжает держать в напряжении.

С подробным анализом можно ознакомиться в самой статье: «Информационная безопасность в условиях пандемии COVID-19».

О Российском совете по международным делам

Деятельность Российского совета по международным делам направлена на укрепление мира, дружбы и согласия между народами, предотвращение международных конфликтов и кризисное регулирование.

Совет учрежден Министерством иностранных дел Российской Федерации, Министерством образования и науки Российской Федерации, Российской академией наук, Российским союзом промышленников и предпринимателей, а также информационным агентством «Интерфакс».

Possibly Related Posts:


Лицензирование в период «повышенной готовности». ПРОДОЛЖЕНИЕ.

Ваш отзыв

В продолжение темы от 8 апреля про лицензирование.

ФСТЭК России на своем сайте опубликовала Информационное сообщение:

https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2073-informatsionnoe-soobshchenie-fstek-rossii-ot-8-aprelya-2020-g-n-240-24-1552

Текст письма короткий, поэтому приведу его полностью:

Во исполнение постановления Правительства Российской Федерации от 3 апреля 2020 г. N 440 «О продлении действия разрешений и иных особенностях в отношении разрешительной деятельности в 2020 году» ФСТЭК России издан приказ от 8 апреля 2020 г. N 55 «О переносе сроков проведения инспекционного контроля испытательных лабораторий и органов по сертификации и продлении сроков действия аттестатов аккредитации органов по аттестации».

В соответствии с указанным приказом ФСТЭК России инспекционный контроль аккредитованных ФСТЭК России испытательных лабораторий и органов по сертификации, подлежащих контролю в 2020 году, перенесен на 2021 г. План инспекционного контроля аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий на 2021 год будет утвержден и размещен на официальном сайте ФСТЭК России в IV квартале 2020 г.

Действие аттестатов аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации, сроки действия которых истекают (истекли) в период с 15 марта по 31 декабря 2020 г., продлены в пределах сроков действия лицензии на осуществление мероприятий и оказание услуг в области защиты государственной тайны в части технической защиты информации, но не более чем на 12 месяцев. Сведения о продлении действия аттестатов аккредитации органов по аттестации объектов информатизации внесены в Перечень органов по аттестации объектов информатизации, размещенный на официальном сайте ФСТЭК России. Переоформление бланков аттестатов аккредитации указанных органов по аттестации объектов информатизации в соответствии с пунктом 3 постановления Правительства Российской Федерации от 3 апреля 2020 г. N 440 «О продлении действия разрешений и иных особенностях в отношении разрешительной деятельности в 2020 году» не требуется.

Таким образом, предположения, высказанные в предыдущей статье нашли свое подтверждение в документах ФСТЭК России.

В этой связи считаю необходимым особо отметить, что НПО «Эшелон» в качестве Органа по сертификации, Испытательной лаборатории, Аттестационного центра и Органа по аттестации, аккредитованных ФСТЭК России; Испытательной лаборатории и Аттестационного центра, аккредитованных Минобороны России , а также Испытательной лаборатории, аккредитованной ФСБ России, продолжает функционировать в штатном режиме с учетом любых нештатных ситуаций, демонстрируя лучшие профессиональные показатели в области безопасности информации!

Possibly Related Posts:


ОС Astra Linux подтвердила соответствие требованиям ФСТЭК России по первому уровню доверия

Ваш отзыв

ГК Astra Linux, российский разработчик операционных систем, и испытательная лаборатория АО «НПО «Эшелон» сообщают об успешном завершении работ по сертификации операционной системы специального назначения Astra Linux Special Edition релиз «Смоленск» версии 1.6 по первому уровню доверия к средствам технической защиты информации и обеспечения безопасности информационных технологий в системе сертификации СЗИ ФСТЭК России. Полученный сертификат подтверждает право использовать Astra Linux Special Edition в информационных системах, обрабатывающих информацию ограниченного доступа, в том числе персональные данные, служебную, коммерческую и иные виды тайн, включая государственную тайну самого высокого уровня секретности — «особой важности».

9f518854b423c3e4b1cc80c6842d07df.jpg

В прошлом году операционная система специального назначения Astra Linux Special Edition была сертифицирована испытательной лабораторией АО «НПО «Эшелон» в системе сертификации ФСТЭК России по 1-му классу защиты по требованиям безопасности информации к операционным системам общего назначения типа «А». В соответствии с требованиями, указанными в информационном сообщении ФСТЭК России от 29 марта 2019 г. № 240/24/1525, и согласно Приказу ФСТЭК России от 30.07.2018 № 131 и утвержденным им «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», вступившим в силу с 01 июня 2019 года, операционная система специального назначения Astra Linux Special Edition должна была пройти обязательную сертификацию по самому строгому, 1-му, уровню доверия.

В ходе подготовки к проведению сертификационных испытаний в течение 2018-2019 годов в ГК Astra Linux была существенно реорганизована инфраструктура разработки программного обеспечения: созданы и внедрены процедуры поддержки жизненного цикла безопасной разработки (SDL); с привлечением экспертов АО «НПО «Эшелон» и Института системного программирования РАН внедрены методы и средства верификации и безопасной разработки, введен в эксплуатацию стенд доверия, в рамках которого реализована возможность автоматизированной проверки программного обеспечения на потенциальные ошибки средствами статического и динамического анализа кода.

Переоформленный сертификат № 2557 подтверждает, что операционная система специального назначения Astra Linux Special Edition релиз «Смоленск» версии 1.6 полностью отвечает всем требованиям регулятора до 1-ого уровня доверия и класса защиты информации включительно, что обеспечивает правомерность ее применения в IT-системах таких заказчиков, как органы государственной власти, госкорпорации и другие структуры, работающие с информацией любого уровня конфиденциальности и степени секретности.

«Новые требования ФСТЭК России устанавливают действительно жесткие стандарты соответствия безопасности и защищенности ПО. Если в процессе разработки в продукт не внедрена система контроля качества и инструменты выявления уязвимостей, то сертификацию по уровням доверия пройти невозможно. Чем выше уровень (1-ый – максимальный), тем строже предъявляемые требования и лучше исследован сам продукт: более сложные инструменты применяются для проверки его программного кода, обеспечения быстрого поиска, локализации и устранения ошибки. Для контроля качества нами используются уникальные научно-технологические решения и инструментальные средства как собственной разработки, так и полученные в результате многолетнего партнерства с ИСП РАН и АО «НПО «Эшелон». Именно это позволило команде ГК Astra Linux в сотрудничестве с экспертами испытательной лаборатории АО «НПО «Эшелон», специализирующегося на комплексном обеспечении информационной безопасности, в кратчайшие сроки провести комплекс работ и тестовых испытаний для сертификации», — комментирует главный научный сотрудник ГК Astra Linux Петр Девянин.

«Сертификация средств защиты информации на соответствие самому высокому уровню доверия — очень редкое явление в нашей стране. ФСТЭК России существенно повысила требования не только к самим СЗИ, но и к процессам их разработки, а также к испытательным лабораториям и применяемым ими инструментам тестирования. В ходе испытаний эксперты АО «НПО «Эшелон» использовали средства не только собственной разработки, такие как АК-ВС 3.0, «ПИК-Эшелон», AppChecker, но и средства сторонних разработчиков. Отдельную благодарность хочется выразить представителям ГК Astra Linux за оказанное содействие. В Astra Linux Special Edition было внедрено программное обеспечение АК-ВС 3.0, которое позволяет автоматизировать все проверки, определяемые требованиями регулятора, что значительно сокращает сроки проведения испытаний», — отмечает директор департамента сертификации и тестирования АО «НПО «Эшелон» Сергей Трошкин.  

Possibly Related Posts: