Сертификация ФСТЭК: самый подробный гайд. Часть первая – подготовка

Сертификация по требованиям ФСТЭК России остается ключевым инструментом обеспечения информационной безопасности в России, особенно в последние годы. На чем бы ни специализировалась ваша организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной обработкой данных, имеет важное значение. Однако, для многих разработчиков процесс выглядит непонятным, приходится разбираться на ходу, из‑за чего проведение сертификационных испытаний может затянуться на год и более. Мы в eXpress изначально выбрали стратегию security‑first — и стали единственным супераппом в классе «онлайн‑коммуникации», сертифицированным ФСТЭК России по 4 уровню доверия.

Меня зовут Максим Рубан, я руковожу направлением информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress. В серии статей я подробно покажу процесс прохождения сертификации, что важно не забыть и где сэкономить ресурсы.

Начнем с изучения законодательной базы, подготовки процессов и необходимых документов.

Как подойти к сертификации ФСТЭК

Сертификация ФСТЭК — это процесс оценки соответствия информационных систем и систем защиты информации требованиям безопасности. Сертификация необходима для использования информационных технологий в государственных информационных системах (ГИС), критических информационных инфраструктурах (КИИ), информационных системах персональных данных (ИСПДн), автоматизированных системах управления технологическим процессом (АСУ ТП) и органах местного самоуправления. При проведении сертификации проверяются технические и организационные меры защиты информации, наличие уязвимостей, а также соответствие установленным нормам и стандартам безопасности Российской Федерации.

Получение лицензий

Первоначально вашей компании необходимо получить необходимые лицензии ФСТЭК России для начала работ по сертификации, а именно, лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации и лицензию на деятельность по технической защите конфиденциальной информации.

Необходимая информация содержится в нормативных документах:

• Постановление Правительства Российской Федерации от 3 марта 2012 г. N 171. «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».

• Приказ ФСТЭК России от 12 января 2023 г. N 4. «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. N 133 и внесенных в него изменений».

Обеспечение необходимыми документами

После получения лицензий, разработчику программного или программно‑аппаратного обеспечения необходимо изучить нормативную методическую базу ФСТЭК России и определить, где планируется применять разработанный софт. Основные документы для понимания процесса сертификации:

• Приказ ФСТЭК России от 2 июня 2020 г. № 76, Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.

• Приказ ФСТЭК России от 3 апреля 2018 г. № 55. Об утверждении положения о системе сертификации средств защиты информации.

• ГОСТ Р 56 939–2016 Национальный стандарт Российской Федерации по защите информации. Разработка безопасного программного обеспечения, общие требования.

Если планируется применять в ИСПДн: 

• Федеральный закон от 27 июля 2006 г. «О персональных данных» № 152-ФЗ.

• Постановление Правительства от 01 ноября 2012 г. № 1119.

• Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Если планируется применять в ГИС:

• Приказ ФСТЭК России от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

Если планируется применять в АСУ ТП:

• Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Если планируется применять в КИИ:

• Федеральный закон от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры РФ» № 187-ФЗ.

• Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

• Методический документ ФСТЭК России от 11 февраля 2014 г. Меры защиты информации в государственных информационных системах.

Если после изучения документов ваша готовность сертифицировать продукт не исчезла, то необходимо изучить «Методику выявления уязвимостей и недекларированных возможностей». Это документ с ограниченным доступом, его необходимо запросить официальным письмом у ФСТЭК России. Они необходимы разработчику для понимания алгоритмов проверки на наличие уязвимостей и недекларированных возможностей (НДВ) в ПО.

Также существуют так называемые профили защиты. Это набор требований ФСТЭК России под определенные типы сертифицируемого изделия, такие как: средства антивирусной проверки, операционные системы, средства доверенной загрузки, межсетевые экраны, средства контроля подключения съемных машинных носителей информации, систем обнаружения вторжений.

Подготовительные работы по сертификации

После ознакомления с нормативными документами и перед подачей заявки на сертификацию нужно выполнить несколько подготовительных работ.

1. Определить схему сертификации

a. единичный образец (если планируется применять одну единственную копию продукта);

b. партия (если планируется применять определенное количество копий продукта);

c. серийное производство (если нет четких границ по количеству продаваемых копий).

2. Определить необходимый уровень доверия в соответствии с Приказом № 76 ФСТЭК России (зависит от того, в каких ИС планируется применять средство).

3. Разработать необходимый минимальный комплект документов для подачи заявки. Документы составляются в соответствии с ЕСПД (ГОСТ 19) Единая система программной документации:

a. Формуляр

b. Технические условия и/или Техническое задание

c. Руководство пользователя

d. Руководство администратора

Также для прохождения сертификации потребуется разработать дополнительную документацию для выполнения требований Методики и Приказа ФСТЭК России от 2 июня 2020 г. № 76. Если осуществляется сертификация серийного производства, также потребуется выполнение требований ГОСТ Р 56 939–2024 Защита информации. Разработка безопасного программного обеспечения.

В процессе сертификации проводится анализ документов, содержащих описание реализации предъявляемых требований. Основной объем занимает реализация и описание требований из Приказа ФСТЭК № 76.

Что необходимо отразить в документации:

1. Проектирование архитектуры безопасности средства. Необходимо предоставить описание: безопасности процесса инициализации средства; обеспечения собственной защиты средства от несанкционированного доступа; невозможности обхода функций безопасности средства.

2. Разработка функциональной спецификации средства. Необходимо предоставить описание: назначения и способов использования каждого интерфейса функций безопасности; идентификации параметров, связанных с каждым интерфейсом функций безопасности; идентификации интерфейсов средства, не влияющих на функции безопасности средства.

3. Проектирование средства. Необходимо предоставить описание: перечня подсистем, реализующих функции безопасности средства; перечня подсистем, поддерживающих выполнение функций безопасности; перечня подсистем, не влияющих на выполнение функций безопасности.

4. Разработка проектной (программной) документации. Проектная документация средства, включающая проект на уровне подсистем средства (эскизный проект) и проект на уровне модулей средства (технический проект).

5. Управление конфигурацией средства. Необходимо предоставить описание: уникальной маркировки средства; элементов конфигурации средства, включающий в том числе документацию; порядка управления изменениями средства и документации.

Важно помнить, что требования и состав документов варьируются в зависимости от уровня контроля, на который проводится сертификация средства.

Надеемся, наш гайд станет опорой для компаний, которые начинают готовиться к сертификации ФСТЭК. А непосредственно про процесс сертификации ФСТЭК мы поговорим в следующей статье.