
Что дает сертификат соответствия ФСТЭК?
Сертификат соответствия ФСТЭК выдается средствам защиты информации, которые не используют шифрование для обеспечения сохранности данных. Этот документ удостоверяет, что данное СЗИ отвечает требованиям, закрепленным в законах Российской Федерации. Сертификат может быть выдан следующим СЗИ:
- ОС;
- СУБД;
- межсетевые экраны;
- антивирусы, предназначенные для широкого использования на территории РФ;
- СЗИ сетевого и системного уровней, позволяющие контролировать степень защищенности и запрещающие неавторизованный доступ в систему;
- прикладные информационные системы;
- системы автоматизации документооборота;
- генераторы паролей и т.д.
Наличие сертификата соответствия ФСТЭК является одним из необходимых условий, соблюдение которых подтверждает благонадежность данного СЗИ и позволяет использовать его для работы с государственной тайной. Это прописано в Постановлении Правительства Российской Федерации от 20 июня 2017 г. №608, которое так и озаглавлено: «О сертификации средств защиты информации». Таким образом, компаниям, принадлежащим государству, а также правительственным учреждениям, чья деятельность включает обработку сведений, имеющих отношение к гостайне, необходимо использовать только сертифицированное оборудование и ПО либо сертифицировать все используемые средства информационной безопасности в ходе оформления лицензии ФСТЭК.
С 1995 г. выдача документов происходит в рамках особой системы сертификации ФСТЭК. Ее задача – выяснить, соответствует ли проверяемый объект требованиям, указанным в руководящем документе «Защита от несанкционированного доступа к информации». Для каждого вида СЗИ, будь то программное обеспечение или автоматизированная система, руководящий документ свой. Однако в каждом из них есть такой параметр, как оценочный уровень доверия. Он выражает оценку степени защищенности объекта.
Для работы с данными различной степени секретности требуются СЗИ, гарантирующие защиту соответствующего уровня:
- конфиденциальным данным нужен четвертый уровень защищенности;
- секретной информации соответствует третий уровень;
- обработку совершенно секретных данных доверят СЗИ уровнем безопасности не ниже, чем второй;
- особо важные данные допускают использование защитных средств только высшего, первого уровня.
Кроме этого уровня в сертификате ФСТЭК также указывается, на основании каких правовых актов происходило изготовление исследуемого СЗИ и каким требованиям должен отвечать итоговый продукт. Здесь же находится информация о том, какие проверки прошло исследуемое защитное средство (включая тестирование на наличие недекларированных возможностей), заключение экспертов и данные о лаборатории, проводившей исследования и выдавшей искомый сертификат.
Проверки, необходимые для получения сертификата, должны подтвердить, что данное СЗИ:
- отвечает ТУ;
- отвечает международным стандартам, принятым для данного класса средств информационной безопасности;
- демонстрирует все прописанные в инструкции по применению возможности – и ничего сверх того, т.е. не имеет никаких недокументированных функций;
- соответствует своему уровню защищенности;
- закрыто от неавторизованного доступа;
- имеет датчики случайных чисел, соответствующие уровню криптографической безопасности и т.д.
В случае успешного прохождения всех проверок исследуемое СЗИ получает сертификат соответствия ФСТЭК.
Нужна помощь в сертификации СЗИ или другого оборудования и ПО? Обращайтесь, это наш профиль.
Трекбэк с Вашего сайта.