Сертификация

Частые вопросы

• Что такое ФСТЭК
  
  

  ФСТЭК России, или Федеральная служба по техническому и экспортному контролю, — это государственный орган, отвечающий за безопасность в области технического и экспортного контроля. Основные задачи ФСТЭК включают:

  - разработку и реализацию политики защиты информации;
  - контроль за соблюдением экспортного законодательства;
  - лицензирование деятельности, связанной с государственной тайной.

  Основанная в 1992 году, ФСТЭК контролирует информацию, технологии и товары двойного назначения, используемые в военной и гражданской сферах. Она подчиняется Министерству обороны РФ и управляется Президентом РФ. ФСТЭК также:

  - защищает данные в информационных системах и телекоммуникациях;
  - обеспечивает сохранность государственной тайны и конфиденциальной информации;
  - противостоит техническим разведкам других стран;
  - контролирует экспорт товаров двойного назначения.

• Зачем нужна сертификация ФСТЭК программного обеспечения
  
  

  Сертификация ФСТЭК — это процесс получения документа, подтверждающего, что средства защиты информации соответствуют требованиям ФСТЭК России. Она необходима для:

  - защиты конфиденциальной информации;
  - выбора качественных средств защиты;
  - развития рынка защищенных технологий.

  Необходимость сертификации зависит от сферы деятельности и типа обрабатываемой информации.

• Где посмотреть список сертифицированного программного обеспечения
  
  

  Реестр ФСТЭК — это инструмент для проверки подлинности сертификатов, лицензий и аккредитаций в области информационной безопасности. Отсутствие информации в реестре может означать поддельность документа. В таких случаях стоит обратиться к органу, выдавшему сертификат. Реестр ФСТЭК — официальный источник для проверки.

• По каким нормативным документам необходимо наличие сертификации
  
  

  Приказ ФСТЭК России от 2 июня 2020 г. № 76, Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
  Приказ ФСТЭК России от 3 апреля 2018 г. № 55. Об утверждении положения о системе сертификации средств защиты информации.
  ГОСТ Р 56939–2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
  Федеральный закон от 27 июля 2006 г. «О персональных данных» № 152-ФЗ.
  Постановление Правительства от 01 ноября 2012 г. № 1119.
  Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
  Приказ ФСТЭК России от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
  Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
  Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».
  Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
  Методический документ ФСТЭК России от 11 февраля 2014 г. Меры защиты информации в государственных информационных системах.

• Где обязательно применение сертифицированного программного обеспечения
  
  

  В организациях, которые работают с важной информацией или с государственной тайной:

  - банки;
  - государственные учреждения;
  - медицинские организации;
  - образовательные учреждения;
  - компании из сферы телекоммуникаций и связи;
  - организации, связанные с военной или государственной тайной.

• Обязательно ли применение сертифицированного программного обеспечения в ИСПДн
  
  

  Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ требует проведения организационных и технических мер для защиты персональных данных, уделяя особое внимание защите информационных систем, а не только программному обеспечению. Приказ ФСТЭК России от 18.02.2013 г. № 21 определяет требования к сертифицированным программам в зависимости от уровня защиты данных. Например, для первого уровня защиты необходимо использовать ПО, проверенное на отсутствие недекларированных возможностей не ниже четвертого уровня контроля.

  Для третьего уровня, где актуальны только угрозы третьего типа, такие требования отсутствуют. Следует подчеркнуть, что в соответствии с Приказ ФСТЭК России от 18.02.2013 г. № 21, сертифицированные программы являются лишь одной из мер для обеспечения безопасности персональных данных и используются только для нейтрализации актуальных угроз. Для выполнения требований Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ необходимо проводить полный комплекс мероприятий по защите персональных данных, а не ограничиваться только сертифицированным ПО.

• Чем отличается информационная система от программы
  
  

  Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ).

  Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

  Таким образом, информационная система охватывает базы данных, а также технические устройства, такие как компьютеры, серверы и коммуникационное оборудование, на которых эти базы данных размещены. Кроме того, она включает программы, которые обрабатывают содержащуюся в базах данных информацию. Программа или программное обеспечение представляет собой лишь одну из многих составляющих, формирующих всю информационную систему.

• Что проверяют при сертификации ФСТЭК программного обеспечения
  
  

  При сертификации средств защиты информации учитываются следующие критерии:

  1) Функциональность — средство выполняет заявленные функции без существенных ошибок.
  2) Защитные свойства — оценивается уровень защищенности от угроз: несанкционированного доступа, вирусов и утечек данных.
  3) Криптографическая стойкость — если средство использует шифрование, оно должно соответствовать современным стандартам.
  4) Управление доступом и аутентификация — оценивается, как средство обеспечивает контроль доступа и проверку пользователей.
  5) Документация — полная и понятная документация о продукте и его использовании.
  6) Совместимость — возможность программы работать с другими системами и программами.

• Процесс сертификации ФСТЭК (заявитель, испытательная лаборатория, орган по сертификации)
  
  

  В системе сертификации участвуют:

  - федеральный орган по сертификации (ФСТЭК России) – организует проведение сертификации, разрабатывает и устанавливает требования по безопасности информации к средствам защиты информации;
  - орган по сертификации – осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации по требованиям безопасности информации;
  - испытательная лаборатория – проводит сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы;
  - заявители.

  Основным документом, регламентирующим проведение сертификации, является Приказ ФСТЭК России № 55. Он определяет состав участников, организацию и порядок сертификации, а также перечень изделий, подлежащих сертификации.

  В настоящее время заявителем на программные продукты «1С-Битрикс24» и «1С-Битрикс: Управление сайтом» (лицензия Энтерпрайз) является ООО «СИС груп».

• Что такое уровни доверия, уровень контроля и класс решения
  
  

  Классы сертифицированных решений, уровни доверия и уровни контроля описаны в документе «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденном Приказом ФСТЭК России №76 от 02.06.2020 г. В данном документе определены 6 уровней доверия к СЗИ и СОБИТ, которые характеризуют безопасность их применения для обработки и защиты информации ограниченного доступа и для обеспечения безопасности значимых объектов КИИ РФ. Самый низкий уровень доверия - шестой, самый высокий - первый, при этом они дифференцированы следующим образом:

  - СЗИ и СОБИТ, соответствующие 6 уровню доверия, можно использовать на ЗОКИИ с 3 категорией значимости, в ГИС с 3 классом защищенности, в АСУТП с 3 классом защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности ПДн;
  - СЗИ и СОБИТ, соответствующие 5 уровню доверия, можно использовать на ЗОКИИ с 2 категорией значимости, в ГИС с 2 классом защищенности, в АСУТП с 2 классом защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;
  - СЗИ и СОБИТ, соответствующие 4 уровню доверия, можно использовать на ЗОКИИ с 1 категорией значимости, в ГИС с 1 классом защищенности, в АСУТП с 1 классом защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса;
  - СЗИ и СОБИТ, соответствующие 1, 2, 3 уровням доверия, применяются в информационных системах, обрабатывающих государственную тайну.

  В Приказе ФСТЭК России №76 также установлено соответствие между классами СЗИ и СВТ (средств вычислительной техники) и уровнями доверия: СЗИ 6 класса должны соответствовать 6 уровню доверия, СЗИ 5 класса - 5 уровню доверия, СЗИ 4 класса и СВТ 5 класса - 4 уровню доверия.

  К работам по поиску уязвимостей и недекларированных возможностей в СЗИ и СОБИТ предъявляются дополнительные требования по уровням контроля:

  - испытания решений, соответствующих 6 уровню доверия, должны проводиться по 6 уровню контроля, включая проверку аппаратных платформ решений на наличие микросхем, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз;
  - испытания решений, соответствующих 5 уровню доверия, должны проводиться по 5 уровню контроля, включая дополнительную к 6 уровню проверку корректности структурной и функциональной схем аппаратной платформы, а также проверку корректности данных из формуляра на решение;
  - испытания решений, соответствующих 4 уровню доверия, должны проводиться по 4 уровню контроля, включая дополнительную к 5 уровню проверку компонентов аппаратной платформы на соответствие структурной и функциональной схемам, а также проверку потенциально опасных аппаратных компонентов, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз.

• Чем отличается аттестация от сертификации
  
  

  Если необходимо удостовериться в соответствии информационной (автоматизированной) системы требованиям ФСТЭК России, проводится аттестация. Вид аттестации зависит от различных факторов и может включать аттестацию ИСПДн, ЗП или АС. Процедура аттестации представляет собой комплексную проверку всех компонентов информационной системы: проверяются помещения, оборудование, физическая защита, программное обеспечение и его безопасность, а также компетентность персонала и другие аспекты. При положительных результатах испытаний выдается аттестат соответствия для вашей информационной системы. Основным документом, регулирующим процедуру аттестации ФСТЭК, является Приказ ФСТЭК России от 29.04.2021 г. № 77, который устанавливает новый порядок проведения аттестационных испытаний для основных типов информационных систем и защищаемых помещений.

  Если вам нужно убедиться, что ваше программное обеспечение соответствует требованиям ФСТЭК России, вам потребуется пройти сертификацию. Можно также сертифицировать комплексы, состоящие из программ и оборудования, или средства защиты. Обычно проверяют именно программное обеспечение. Информационные системы сами по себе не сертифицируются, но в них часто используется сертифицированное ПО и средства защиты. Сертификация проводится для средств защиты, таких как межсетевые экраны, и для прикладного ПО, чтобы подтвердить их соответствие стандартам ФСТЭК России. Основной документ, который регулирует сертификацию, — это "Положение о системе сертификации средств защиты информации", утвержденное Приказом ФСТЭК России от 03.04.2018 г. № 55.

• Как происходит аттестация
  
  

  Процесс аттестации ИС регламентирован Приказом ФСТЭК России от 29.04.2021 г. № 77. Рассмотрим основные моменты:

  1) Предварительная подготовка. Специалисты органа по аттестации проводят анализ ГИС, оценивают категорию данных и технические средства, анализируют риски утечек и взломов.
  2) Проектирование и внедрение системы защиты. Эксперты разрабатывают план аттестации, определяют ресурсы и сроки проверки, устанавливают и настраивают средства защиты данных.
  3) Испытания и техническая экспертиза. С помощью ПО и специализированного оборудования специалисты моделируют разные атаки на систему и оценивают ее устойчивость к ним. Результаты технической экспертизы сопоставляют с установленными стандартами безопасности. В случае несоответствия разрабатывают план доработок и улучшений.
  4) Документация результатов. На каждом этапе оформляют отчетные документы с учетом ГОСТов.
  5) Заключение и сертификация. Если информационная система успешно прошла все этапы аттестации и соответствует установленным стандартам, выдается сертификат. Этот документ подтверждает, что ГИС имеет необходимый уровень безопасности и готова к эксплуатации.

• Кому и зачем нужна аттестация
  
  

  Наличие аттестата соответствия требованиям по защите информации сразу снимает практически все вопросы к объекту проверки со стороны регулятора (ФСТЭК России, ФСБ России, Роскомнадзор).

  На текущий момент следует аттестовать:

  - государственные информационные системы (прямое требование Приказа ФСТЭК России от 11.02.2013 № 17);
  - рабочие места и переговорные комнаты специалистов по защите информации лицензиатов ФСТЭК России, ФСБ России (для снятия вопросов об уровне их защищённости со стороны регуляторов);
  - объекты КИИ (для снятия вопросов об уровне их защищённости со стороны регуляторов);
  - информационные системы персональных данных (в качестве подстраховки для снижения суммы штрафа на случай возможной утечки);
  - рабочие места специалистов, оказывающих услуги государственным органам и бюджетным учреждениям, обрабатывающим их информацию.

• Что входит в пакет сертификации продуктов 1С-Битрикс?
  
  

  Пакет сертификации в соответствии с комплектностью, определенной в формуляре, включает:

  1) Физический носитель с образом изделия, идентичный образцу, прошедшему сертификационные испытания
  2) Формуляр в твердой копии
  3) Заверенная копия сертификата
  4) Электронный ключ eToken для доступа к порталу с обновлениями
  5) Абонемент на сертифицированную поддержку
  6) Диск MediaKit, с размещенной на нем документацией, в том числе:
  - Технические условия
  - Руководство администратора
  - Руководство пользователя
  - Формуляр
  - Электронное приложение к формуляру (контрольные суммы)

• Где найти документацию по установке и активации лицензий сертифицированных версий продукта 1С-Битрикс?
  
  

  Руководство администратора, входящее в пакет сертификации, включает в себя процедуру установки и активации лицензии изделия.

• Где и как получить обновления сертифицированных продуктов 1С-Битрикс?
  
  

  Чтобы получить обновления для сертифицированных продуктов 1С-Битрикс, вам необходимо воспользоваться электронным ключом eToken, который предоставляется в комплекте поставки. Этот ключ обеспечивает доступ к специальному порталу, где размещены все необходимые обновления. Портал с обновлениями находится по адресу https://update.certsys.ru.

  Используя eToken, вы сможете зайти на этот ресурс и загрузить актуальные обновления для сертифицированных продуктов 1С-Битрикс.