Как настроить смартфоны и ПК. Информационный портал

Порядок сертификации фстэк. Сертификаты фстэк

03.11.2019 Интересное

Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

Испытательная лаборатория ЗАО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям руководящих документов Гостехкомиссии России и включает в себя проверки продукции и документации на нее.

На железнодорожном транспорте, как правило, проводятся проверки программного обеспечения по требованиям руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Готовность Заявителя

Готовность программной документации по ГОСТ ЕСПД (ЕСКД)
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения

Сбор информации

Определение наименования и обозначения программного изделия
Определение объема исходного кода, подлежащего анализу на отсутствие НДВ
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
*НДВ – недекларированная возможность

Передача информации

Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.

Коммерческое предложение

Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.

Подготовка Заявки

Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее во ФСТЭК России.
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
Скачать бланк заявки на проведение сертификации можно ЗДЕСЬ.
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации

Получение Решения

Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний

Заключение договора

Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.

Анализ документации

Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
Формуляр (ГОСТ 19.501-78)
Спецификация (ГОСТ 19.202-78)
Описание программы (ГОСТ 19.402-78)
Описание применения (ГОСТ 19.502-78)
Текст программы (ГОСТ 19.401-78)

Разработка программы испытаний

По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.

Проведение испытаний

После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
анализ программной документации,
фиксация исходного состояния ПО,
испытания программного продукта (статические испытания исходного кода, динамический анализ)
Осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)

Результаты испытаний

Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
протоколы испытаний продукции,
техническое заключение,
акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.

Операционные системы "Microsoft Windows 8.1", "Microsoft Windows 8.1 Профессиональная", "Microsoft Windows 8.1 Корпоративная"

Сертификат № 3263

07.11.2014 07.11.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.

Ограничения по применению

  1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
  2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.

Операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная"

Сертификат № 2180/1

04.10.2011 04.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:


Серверные операционные системы

Программный комплекс "Microsoft Windows Server 2012 Standard"

Сертификат № 2949

06.09.2013 05.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-002-82487552-2013 01 St ФО и 501110-002-82487552-2013 02 St ФО.

Ограничения по применению

  1. Программный комплекс "Microsoft Windows Server 2012 Standard" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  2. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2012 Datacenter"

Сертификат № 2950

06.09.2013 06.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

  1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
  2. Программный комплекс "Microsoft Windows Server 2012 Datacenter" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition"

Сертификат № 1928

Ограничения по применению

  1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
  2. Программный комплекс "Microsoft Windows Server 2008 Standard Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Сертификат № 1928/1

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition"

Сертификат № 1929

27.10.2009 26.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

  1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
  2. Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Сертификат № 1929/1

14.05.2010 14.05.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно. серия ЗАО "Документальные системы"

Операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter

Сертификат № 2181/1

13.10.2011 13.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:
1.Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2.Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3.На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition"

Сертификат № 1930

29.10.2009 28.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

  1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
  2. Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Серия ЗАО "Документальные системы"

СУБД

Система управления базами данных Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

Сертификат № 3518

15.02.2016 15.02.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ООО "Научно-производственное объединение вычислительных систем"

Система управления базами данных Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Сертификат № 2967

18.09.2013 18.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ЗАО "Документальные системы"

Офисные программные комплексы

Программный комплекс Microsoft Office. Professional Plus 2016

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. серия ЗАО "КЛИО"

Программный комплекс Microsoft Office. Professional Plus 2013

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ 5029-007-82487522-2013 серия ЗАО "Королевская лаборатория информационных объектов"

Программный комплекс Microsoft Office. Standard 2007

Сертификат № 1923

13.10.2009 13.10.2018 Программное средство общего назначения со встроенными стредствами защиты от несанкционированного доступа к информации

Соответствует ЗБ "Microsoft Office Standard 2007. Задание по безопасности. MS.Office_ST_2007.ЗБ. Версия 1.0", имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при выполнении ограничений.

Ограничения по применению:

  • При использовании программного комплекса должны соблюдаться условия, определенные для среды функционирования в задании по безопасности MS.Office 2007.ЗБ.
  • Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководством по безопасной настройке программного комплекса".
  • Программный комплекс "Microsoft®Office. Standard 2007" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
  • На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Серия ООО "ЦБИ"

Межсетевые экраны и шлюзы

Программный комплекс UserGate UTM

Сертификат № 3905

23.03.2018 23.03.2021 Программно-техническое средство защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну Соответствует:
Требования к межсетевым экранам” (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.П3”. (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ”. (ФСТЭК России, 2016);
Требования к системам обнаружения вторжений" (ФСТЭК России, 2011);
Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.П3” (ФСТЭК России, 2012).
Может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г и информационных системах персональных данных (ИСПДн) и государственных информационных системах (ГИС) до 1 класса (уровня) защищенности включительно. Во исполнение требований ФСТЭК при сертификации пройден контроль отсутствия недекларированных возможностей по 4 уровню контроля. Серия АО "НПО "Эшелон"

Средства контроля доступа

Программный комплекс DeviceLock 8 DLP Suite

Сертификат № 3465

05.11.2015 05.11.2023 Программный комплекс, предназначенный для защиты информации от утечек, осуществляющий контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. Программный комплекс соответствует требованиям документов "Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России", утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 – по 4 классу защиты и "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)" (ФСТЭК России, 2014), руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999). Серия ООО "ЦБИ"

Средства резервного копирования и восстановления

Программный комплекс Acronis Backup & Recovery 11. Advanced Workstation

Сертификат № 2678

Программный комплекс Acronis Backup & Recovery 11. Advanced Server

Сертификат № 2677

16.07.2012 16.07.2021 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющее государственную тайну Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий, а также может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 1 класса включительно. Серия ООО "ЦБИ"

Антивирусные средства

Средства уничтожения данных и контроля удаления информации

Средства анализа защищенности

Програмнный комплекс Средство анализа защищенности RedCheck

Сертификат № 3172

23.06.2014 23.06.2020 Современное средство анализа защищенности, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий. серия ООО "ЦБИ"

Средства виртуализации

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну Соответствует требованиям технических условий при выполнении указаний по эксплуатации, приведенной в формуляре АЛМЮ.501000.ВМС06-01.30. серия ООО "ЦБИ"

Программный комплекс VMware Horizon 6 (в редакциях Standard, Advanced и Enterprise)

Сертификат № 3660

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ при выполнении указаний по эксплуатации, приведенных в формуляре АЛМЮ.501000.ВМХ06-01.30. серия ООО "ЦБИ"

Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

  1. Подача заявки на сертификацию во ФСТЭК России.

    В заявке указываются:

    • наименования заявителя
    • адрес заявителя
    • наименование продукции, которую Заявитель хочет сертифицировать
    • перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.
    • схема сертификации (единичный образец продукции или серийное производство)
    • испытательная лаборатория, в которой Заявитель хотел бы провести испытания
    • дополнительные условия или требования

    Заявитель указывает в заявке, что он обязуется:

    • выполнять все условия сертификации;
    • обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
    • оплатить все расходы по проведению сертификации.

    Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!

    Пример заявки на сертификацию программного комплекса представлен на рисунке 5.1.

  2. Решение на проведение сертификационных испытаний

    ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

    • наименование Заявителя, адрес Заявителя;
    • наименование сертифицируемой продукции, код ОКП, ТУ;
    • схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);
    • назначенная испытательная лаборатория и ее адрес;
    • перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;
    • испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;
    • орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;
    • способ оплаты работ.

    Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заказчиком. Решение служит основанием для начала испытаний и "поводом" для заключения договора между Заявителем и испытательной лабораторией. Пример решения на проведение сертификации представлен на рисунке 5.2.

  3. Заключение договора с испытательной лабораторией

    В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

  4. Подготовка исходных данных.

    Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

    Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

    Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

  5. Сертификационные испытания.

    Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному "перезапуску", что повлияет на стоимость и сроки проведения работ.

  6. Оформление результатов испытаний

    Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии – Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

  7. Заключение договора с органом по сертификации

    Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

  8. Экспертиза результатов сертификационных испытаний

    Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

  9. Решение о выдаче сертификата.

    На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке 5.3.

Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.

Для чего нужна сертификация

Для чего нужна сертификация программного обеспечения?

Вопросы защиты конфиденциальной информации тесно переплетены с интересами общества, личности, бизнеса и государства. В наше время, в условиях формирования единого информационного пространства, они являются важнейшей составной частью задач, решаемых государственными органами, учреждениями и организациями при разработке, создании, эксплуатации информационных систем, баз и банка персональных данных информационных систем.

Любое государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. И поэтому к программному обеспечению, которое поставляется на рынок и используется для построения ключевых систем информационной инфраструктуры, предъявляются особые требования.


Ключевые системы информационной инфраструктуры

К таким ключевым системам можно отнести :

  • информационные системы органов государственной власти, органов управления и правоохранительных структур;
  • информационные системы финансово-кредитной и банковской деятельности;
  • информационно-телекоммуникационные системы специального назначения;
  • сети связи правоохранительных структур;
  • сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
  • автоматизированные системы управления энергоснабжением;
  • автоматизированные системы управления наземным и воздушным транспортом;
  • автоматизированные системы управления добычей и транспортировкой нефти и газа;
  • автоматизированные системы предупреждения и ликвидации чрезвычайных ситуаций;
  • автоматизированные системы управления экологически опасными производствами;
  • автоматизированные системы управления водоснабжением;
  • географические и навигационные системы.

И это далеко не полный перечень. В указанных системах накапливается, обрабатывается и передается информация, связанная с производственной, организационно-экономической, научно-технической, кредитно-финансовой и другой деятельностью государства. В ряде систем и сетей циркулирует информация оперативно-диспетчерского и технологического управления, определяющая надежность и безопасность функционирования всего хозяйственного комплекса России и оказывающая существенное влияние на обеспечение ее национальной безопасности в информационной сфере. Именно поэтому эти системы являются ключевыми.

В связи с этим, производители программного обеспечения обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией.

Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации!

Кто обязан использовать сертифицированные программные средства?

Все государственные организации, негосударственные организации, работающие с так называемой «служебной информацией государственных органов», а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных» ).

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

  • В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании»
  • В ФЗ 184 «О техническом регулировании» в ст.4 . «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5»
  • Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»)
  • Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
  • В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
    • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».
    • п. 2.16 . « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
    • п.2.17 . «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».
  • Закон РФ N 5485-1 от 21 июля 1993 г . («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

Органы сертификации

Кем осуществляется сертификация ПО в Российской Федерации?

В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).

Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

  • Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными , ознакомление с ними предполагает наличие специальных допусков.
  • Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте .

Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону . Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, - идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата .

Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Что такое ФСТЭК России и каковы его функции?

ФСТЭК России (до 2004 года – Гостехкомиссия России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями :

  • обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
  • противодействие иностранным техническим разведкам;
  • обеспечение технической защиты информации некриптографическими методами ;
  • осуществление экспортного контроля.

В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.

Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями .

Каким образом осуществляется сертификация ФСТЭК?

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов.

Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.

По аналогии работает и система сертификации ФСБ.

Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей . Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.

Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей.

Сертификация продуктов 1С-Битрикс

С какими организациями сотрудничает «1С-Битрикс» в процессе сертификации и в каком формате?

В данный момент компания «1С-Битрикс» сотрудничает с компанией . Данная компания выступила в следующей роли:

Заявитель , который

a. выполняет все организационные мероприятия, связанные с сертификацией;

b. несет затраты на постоянный учет сертифицированных копий продуктов;

c. непосредственно продает сертифицированные программные продукты «1С-Битрикс».

Достаточно ли использования сертифицированных продукта «1С-Битрикс» для итоговой аттестации информационной системы?

Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.

Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.

Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.

В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.

Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.

Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию . В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.

Как и в какие сроки заказчики получают обновления сертифицированных продуктов?

При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.

Все обновления проходят проверку в испытательной лаборатории. Далее все сертифицированные обновления становятся доступны на Портале сертифицированных обновлений компании "СИС груп". Как правило, данная процедура занимает от нескольких дней до нескольких недель.

Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.

В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет , поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «Сертифицированные информационные системы груп», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.

Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений

Лучшие статьи по теме

Использование плагина Google XML Sitemaps, описание, настройка и решение основных проблем
Использование плагина Google XML Sitemaps, описание, настройка и решение основных проблем
Com соединение в управляемом приложении
Com соединение в управляемом приложении
1c битрикс. Что такое Bitrix. Модули для Битрикс
1c битрикс. Что такое Bitrix. Модули для Битрикс
Категории:
© 2024 bumotors.ru. Как настроить смартфоны и ПК. Информационный портал.