Сертификация программного обеспечения ФСТЭК

Дата публикации: 23 ноября 2017

Вадим Владимирович Петров
Ведущий эксперт по защите информации

255

Для работы с информацией конфиденциального характера и подготовки к оформлению лицензии на ТЗКИ подойдет только программное обеспечение, прошедшее сертификацию ФСТЭК. Заявку на ее прохождение может подать как изготовитель данного ПО, так и продавец, и поставщик, а также лицо, уполномоченное изготовителем. В нашей стране за выдачу таких сертификатов отвечают несколько ведомств, но основными из них являются ФСТЭК и ФСБ.

Если программное обеспечение для гарантии безопасности информации использует протоколы шифрования, значит, сертификация будет проходить под контролем ФСБ. Необходимо учесть, что на территории РФ разрешены к применению только шифровальные алгоритмы отечественной разработки. Чтобы узнать, каким именно стандартам должно отвечать ПО для успешного прохождения процедуры, нужно получить особый допуск к документам с грифом “для служебного пользования” – в открытом доступе этих сведений нет.

Сертификацией некриптографических СЗИ заведует ФСТЭК. В отличие от нормативов ФСБ, требования ФСТЭК к проверяемому ПО выложены на официальном сайте, где их можно просмотреть совершенно свободно.

Следует заметить, что сертификационная система, действующая в России, отличается от своего западного аналога. Международная система Common Criteria требует проверки конкретного продукта только однажды – при получении собственно сертификата, а все дальнейшие копии, выпускаемые по лицензии, уже контроля не проходят. К сожалению, при этом не учитывается, что постоянно выходящие обновления добавляют в программу новые функции, которые также нуждаются в проверке, т.к. свежие версии могут содержать в себе уязвимости.

В то же время в РФ при выдаче документа каждый раз проверяют, соответствует ли данный экземпляр ПО тому, что был сертифицирован изначально. Таким образом, все прошедшие проверку копии ничем не отличаются друг от друга. Что касается обновлений, то они доступны на сайте, к которому имеет доступ каждая компания-владелец ПО, имеющего сертификат. Для такой компании на сайте заводится личный кабинет, через который удобно обновлять свою систему, а также получать другие важные сведения, касающиеся сертифицированных продуктов.

Кто проводит сертификацию

Хотя ФСТЭК и ФСБ отвечают за выдачу сертификатов, самой процедурой они не занимаются: для этого существуют специальные аккредитованные учреждения. Испытательные лаборатории, как следует из названия, отвечают за собственно тестирование продукта, в то время как организации экспертов проверяют, насколько качественно это тестирование было проведено. Лабораторию выбирает компания, подавшая заявку на проверку ПО, в зависимости от того, кто предложит более приемлемую цену, более удобные сроки и т.п. ФСТЭК (или ФСБ) же, во-первых, одобряет выбор лаборатории для испытаний, а, во-вторых, лично назначает независимых экспертов для контроля процедуры. Такая двухступенчатая система позволяет добиться максимальной объективности результатов.

Компания, подававшая заявку, берет на себя все расходы, связанные с проведением тестирования и оформлением требуемых документов. В некоторых случаях она может по договоренности с владельцем ПО сертифицировать за свой счет и все выпускаемые для данного ПО обновления. Кроме того, она обязана вести учет всех копий своего продукта, получивших сертификат ФСТЭК.

Нужна косультация по лицензированию ФСТЭК?

Проконсультироваться