Сертификат соответствия ФСТЭК

Сертификат соответствия ФСТЭК – это дословно документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов. Попробуем это расшифровать на понятийном уровне, и определиться, с чем это связано и о чем идет речь.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю, в функции которой включен специальный контроль в некоторых областях. ФСТЭК  в настоящее время подчинена Министерству обороны РФ. До августа 2004 года данная служба имела другое название и подчинение. Это была Государственная техническая комиссия при Президенте РФ. Одна из функций, которые определены ФСТЭК государством, является техническая защита информации.

К сфере деятельности сертификата соответствия ФСТЭК относятся средства защиты информации (СЗИ) без использования средств криптографии и не составляющих государственную тайну. Т.е обеспечение защиты информационной безопасности некриптографическими методами.

Продукция, подлежащая сертификации ФСТЭК

К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:

  • антивирусные программы массового использования для реализации на российском рынке;
  • межсетевые экраны;
  • средства защиты системного и сетевого уровня (сканеры безопасности, средства мониторинга безопасности, средства защиты от несанкционированного доступа);
  • операционные системы;
  • системы управления базами данных;
  • прикладные информационные системы;
  • системы генерации паролей для доступа к информационным ресурсам;
  • электронные системы документооборота и другие.

В органах государственной власти, а также в государственных корпорациях могут применяться  только программные средства, имеющие требуемые по закону лицензии и сертификаты безопасности информации, включая сертификаты соответствия ФСТЭК.

Основным законом, который регулирует сертификацию в сфере СЗИ является Постановление Правительства РФ № 608 «О сертификации СЗИ» , введенное в действие в 1995 году. Этот закон предписывает: обязательная сертификация и  оформление сертификата соответствия ФСТЭК предусмотрено только для продукции, относящейся к средствам защиты информации для предохранения  сведений, являющимися  государственной тайной.

Для защиты от несанкционированного доступа к конфиденциальным данным не требуется обязательный сертификат соответствия ФСТЭК или Декларация соответствия на СЗИ. В этом случае оценка соответствия СЗИ является  добровольной.

Система сертификации ФСТЭК

ФСТЭК (ранее Правительственная комиссия) создала Систему сертификации средств защиты информации по требованиям безопасности информации, которая  имеет Свидетельство № Р0СС RU.0001.01БИ00 и зарегистрирована в Государственном реестре в 1995 году.

Органы сертификации данной системы производят оценку соответствия СЗИ на основе Руководящих документов (РД) «Защита от несанкционированного доступа к информации». Данные документы разработаны на разные группы продуктов, относящихся к программному, техническому обеспечению, к автоматизированным системам в целом.

Во всех документах имеется показатель — Оценочный уровень доверия (ОУД). Он  введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187. ОУД характеризует уровень доверия к практическому исполнению требований по защите информации.

Классы защищенности изделий

Для защиты информации, значимость которой определяется градацией «секретность/конфиденциальность», установлены следующие классы защищенности изделий Информационных Технологий (ИТ):

  • четвертый класс защищенности изделий ИТ является достаточным для защиты конфиденциальной информации;
  • третий класс защищенности используется для  защиты информации с грифом «Секретно»;
  • второй класс — с грифом «Совершенно секретно»;
  • первый класс используется для защиты информации с грифом «Особой важности».

Сертификат соответствия ФСТЭК содержит сведения: на основе каких нормативных документов происходило  изготовление продукции, содержащей СЗИ и соответствует ли конечный товар требованиям, изложенным в указанном нормативном акте. Здесь же указывается класс защищенности продукта по классификации уровня контроля отсутствия недекларированных возможностей.

Сертификат соответствия ФСТЭК также содержит сведения о сертификационных испытаниях, об экспертном заключении и о лаборатории, где проходили лабораторные исследования с указанием, когда и кем был выполнен инспекционный контроль данной сертификационной лаборатории.

Процедура получения сертификата соответствия ФСТЭК

Сертификационные лаборатории для оформления сертификата соответствия ФСТЭК могут проводить целый ряд различных испытаний:

  • на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
  • на соответствие требованиям Технических условий;
  • на соответствие функциональных возможностей, которые реально имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
  • на соответствие декларируемой безопасности исследуемого товара;
  • на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации будущего пользователя;
  • на соответствие требованиям стандартов предприятий, международным стандартам в сфере СЗИ;
  • исследование датчиков случайных чисел на соответствие криптографическим требованиям и другие исследования.

 Федеральный Закон «О персональных данных»

Приказ ФСТЭК N 58 ввел в действие  5 февраля 2010 года Положение, определяющее способы и методы защиты информации о персональных данных в различных в информационных системах . В нем указано, что СЗИ должны пройти сертификацию  в установленном порядке.  Но такого документа, установленного  Президентом или Правительством РФ, пока не издано.

Тем не менее поставщики информационных систем, которые могут попасть под действие ФЗ № 152 «О персональных данных», стремятся получить Сертификат соответствия ФСТЭК, который подтверждает, что заказчики информационной системы, имеющей данный документ, защищают  информацию о персональных данных от  несанкционированного доступа по требованиям закона.

Добровольный сертификат ФСТЭК

Добровольный сертификат на СЗИ можно оформить не только как сертификат соответствия ФСТЭК, но и обратиться в другие системы сертификации. К ним относятся:

  • Система добровольной сертификации «Газпромсерт». Данная система создана ОАО «Газпром» для нужд своей корпорации.  В некоторых случаях при проведении тендеров на поставки требуется от участника получить сертификат соответствия в данной системе.
  • Система добровольной сертификации «АйТиСертифика» создана ассоциацией «ЕВРААС».

Остались вопросы по оформление сертификата или разрешительного документа? Получите полную информацию о сроках, стоимости и особенностях получения документа у специалистов Центра сертификации РеГОСТ.


Наверх