Что дает сертификат соответствия ФСТЭК?

Сертификат соответствия ФСТЭК выдается средствам защиты информации, которые не используют шифрование для обеспечения сохранности данных. Этот документ удостоверяет, что данное СЗИ отвечает требованиям, закрепленным в законах Российской Федерации. Сертификат может быть выдан следующим СЗИ:

• ОС;
• СУБД;
• межсетевые экраны;
• антивирусы, предназначенные для широкого использования на территории РФ;
• СЗИ сетевого и системного уровней, позволяющие контролировать степень защищенности и запрещающие неавторизованный доступ в систему;
• прикладные информационные системы;
• системы автоматизации документооборота;
• генераторы паролей и т.д.

Наличие сертификата соответствия ФСТЭК является одним из необходимых условий, соблюдение которых подтверждает благонадежность данного СЗИ и позволяет использовать его для работы с государственной тайной. Это прописано в Постановлении Правительства Российской Федерации от 20 июня 2017 г. №608, которое так и озаглавлено: «О сертификации средств защиты информации». Таким образом, компаниям, принадлежащим государству, а также правительственным учреждениям, чья деятельность включает обработку сведений, имеющих отношение к гостайне, необходимо использовать только сертифицированное оборудование и ПО либо сертифицировать все используемые средства информационной безопасности в ходе оформления лицензии ФСТЭК.

С 1995 г. выдача документов происходит в рамках особой системы сертификации ФСТЭК. Ее задача – выяснить, соответствует ли проверяемый объект требованиям, указанным в руководящем документе «Защита от несанкционированного доступа к информации». Для каждого вида СЗИ, будь то программное обеспечение или автоматизированная система, руководящий документ свой. Однако в каждом из них есть такой параметр, как оценочный уровень доверия. Он выражает оценку степени защищенности объекта.

Для работы с данными различной степени секретности требуются СЗИ, гарантирующие защиту соответствующего уровня:

• конфиденциальным данным нужен четвертый уровень защищенности;
• секретной информации соответствует третий уровень;
• обработку совершенно секретных данных доверят СЗИ уровнем безопасности не ниже, чем второй;
• особо важные данные допускают использование защитных средств только высшего, первого уровня.

Кроме этого уровня в сертификате ФСТЭК также указывается, на основании каких правовых актов происходило изготовление исследуемого СЗИ и каким требованиям должен отвечать итоговый продукт. Здесь же находится информация о том, какие проверки прошло исследуемое защитное средство (включая тестирование на наличие недекларированных возможностей), заключение экспертов и данные о лаборатории, проводившей исследования и выдавшей искомый сертификат.

Проверки, необходимые для получения сертификата, должны подтвердить, что данное СЗИ:

• отвечает ТУ;
• отвечает международным стандартам, принятым для данного класса средств информационной безопасности;
• демонстрирует все прописанные в инструкции по применению возможности – и ничего сверх того, т.е. не имеет никаких недокументированных функций;
• соответствует своему уровню защищенности;
• закрыто от неавторизованного доступа;
• имеет датчики случайных чисел, соответствующие уровню криптографической безопасности и т.д.

В случае успешного прохождения всех проверок исследуемое СЗИ получает сертификат соответствия ФСТЭК.

Нужна помощь в сертификации СЗИ или другого оборудования и ПО? Обращайтесь, это наш профиль.