Сертификация ФСТЭК: кому и для чего нужно

Владельцы бизнеса, заказывая IT-решения для своего бизнеса, часто слышат о сертификации сайтов, приложений и программ. Кто проводит оценку и есть ли госстандарт? Сегодня поговорим о самых важных сертификатах на программные разработки, о которых нужно знать и заказчику, и исполнителю.

Государство регулирует качество таких важных программ как сертифицированные средства защиты информации (в документах используют аббревиатуру СЗИ). К ним относятся антивирусы, средства обнаружения вторжений, межсетевые экраны, инструменты для безопасной загрузки, программы для контроля съемных носителей и другие.

Компании — разработчики антивирусов и программ, собирающих личные данные, должны обязательно сертифицировать свои продукты. Только те СЗИ, которые прошли проверку на безопасность, могут использоваться организациями.

Также «документ о соответствии» нужен компаниям, которые собирают и хранят персональные данные: так они подтверждают, что информация не попадёт к третьим лицам.

Мы рассмотрим самую популярную систему, сертификацию ФСТЭК России, и подробно расскажем, кто и как должен её проходить и как оформляются сертификаты и аттестаты.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — это федеральный орган исполнительной власти, который занимается контролем экспортных товаров и безопасностью. ФСТЭК — уполномоченный орган по координации и взаимодействию между разными ведомствами. Реализует политику РФ в области госбезопасности, включая контроль за экспортом.

ФСТЭК России подчиняется Министерству обороны России. Основные полномочия ведомства:

• разрабатывает стратегию по кибербезопасности важнейших объектов и по противодействию техническим разведкам;

• разрабатывает и издаёт правовые документы (предписания, приказы), которые касаются цифровой безопасности;

• контролирует защиту государственной тайны;

• организует работы по оценке соответствия средств защиты информации (СЗИ);

• ведёт экспортный контроль в рамках законодательства РФ;

• разрабатывает программы стандартизации, техническую документацию и национальные стандарты по кибербезопасности в ключевых системах информационной инфраструктуры, а также в сфере противодействия техническим разведкам.

Работа ФСТЭК, особенно полномочия по аттестации и сертификации, связаны с законом № 152-ФЗ «О персональных данных».

О федеральных законах: что говорит 152-ФЗ

Закон Российской Федерации № 152-ФЗ от 27 июля 2006 года, он же «О персональных данных», устанавливает правила и требования к обработке персональных данных граждан. Он регулирует сбор, хранение, использование и распространение этой информации. Данным законом установлены обязанности для организаций, ведущих обработку персональных данных, включая и требования к средствам защиты данных (СЗИ). Конкретные меры зафиксированы в приказе № 21 ФСТЭК России.

Именно этот правовой документ определяет, насколько конкретная программа и IT система соответствует 152-ФЗ. Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат.

Рассмотрим на примере, кто должен обязательно получать сертификаты ФСТЭК.
Допустим, есть компания, которая занимается разработкой ПО, и она взяла госзаказ на портал для государственной информационной системы (ГИС). Чтобы работу приняли и сайт начали использовать по назначению, нужно убедить заказчика в безопасности и соответствии требованиям 152-ФЗ.

Для подтверждения безопасности новому сайту нужен сертификат от ФСТЭК. Этот процесс начинается с обращения в офис организации, после чего начнется детальное изучение портала, проведение тестирования, проверка на уязвимости и скрытые возможности.

Для разных разработок действуют разные стандарты тестов. Если сайт для ГИС собирает биометрические данные, то проверки будут особенно строгими. В случае работы с общедоступными данными, такими как имя или профессия, требования и тесты будут менее жесткими.

Компания получит документ, если портал пройдет проверку. Сертификат станет гарантией безопасности и соответствия техническим требованиям ФСТЭК.

Чтобы убедиться в безопасности своих программ и предложить их бизнесу или государству, разработчикам необходимо получить сертификат соответствия от ФСТЭК. Такие подтверждающие документы выдаются заявителям — разработчикам ПО, относящимся к программам для информационной защиты, включая антивирусные программы и программные комплексы для АСУ. На портале ФСТЭК находится реестр, где представлен каждый сертифицированный СЗИ: по нему можно «пробить» любую программу и понять, законно ли её использование.

Официальными сертификатами должны обладать только разработчики такого ПО. Пользователям таких программ получать его не нужно, но желательно проверить, что он есть. Также компаниям, собирающим персональные данные, может понадобиться аттестация ФСТЭК для подтверждения применения мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения собираемых персональных данных.

Если сертификат ФСТЭК выдается только на средства защиты информации (СЗИ), такие как антивирусные программы, то аттестация проводится для IT-систем, где хранятся персональные данные:

• корпоративные серверы;

• сети компаний;

• облачные хранилища данных;

• государственные и муниципальные информационные системы, в т. ч. числе информационные системы персональных данных;

• информационные системы управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением;

• помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).

Не все компании должны проходить такую аттестацию. Например, небольшие онлайн-магазины или другие компании без клиентских баз ей не подлежат.

Под обязательную аттестацию попадают все государственные информационные системы, где используется автоматизация при работе с данными. На это указывает Приказ ФСТЭК № 17 от 11.02.2013 (статья 3). В отношении коммерческих организаций аттестация носит добровольный характер согласно положению об аттестации, однако при этом должна обязательно присутствовать независимая оценка эффективности действующих мер по защите информации (Приказ ФСТЭК № 21, ФЗ № 152). Получить подобную оценку возможно только путем прохождения аттестации. Отсюда следует, что и некоммерческие организации, если они работают с ПДн, также должны обладать аттестатом о соответствии требованиям безопасности, чтобы избежать наказания со стороны проверяющих органов.

Исключения для аттестации:

1. Случаи, когда оператор данных не производит хранение и обработку ПДн. Например, малый бизнес, который не собирает никаких сведений о своих клиентах или использует обезличенную информацию в процессе отношений с клиентом, по которой невозможно его идентифицировать.
2. Случаи, когда оператор данных хранит исключительно информацию четвертого уровня защищенности. Это общедоступные ПДн, находящиеся в открытых источниках. Например, ФИО, род деятельности, место проживания человека.

Но если компания собирает персональные данные, которые позволяют определить личность человека, такие как биометрия (фото, голос, отпечатки пальцев), а также специальные данные (раса, национальность, политические, религиозные и философские убеждения, состояние здоровья), то это уже точно «третий уровень» или выше. Системе, в которой хранятся такие данные, требуются аттестаты ФСТЭК.

Пройти аттестацию несложно, если использовать СЗИ с сертификатом соответствия ФСТЭК России (за их получение отвечают производители данных программ) и навести справки о лицензиях вашего ПО.

Программное обеспечение для защиты информации требует наличия сертификата ФСТЭК, что подтверждает его безопасность и соответствие закону. Чтобы определить круг компаний и их программных продуктов, разберёмся с важными понятиями.

В проектах по кибербезопасности нужно внимательно выбирать средства защиты данных. Особенно когда речь идет о конфиденциальной информации, которую охраняют законы РФ. К ней относятся:

• персональные данные (подробнее о них мы писали в одной из прошлых статей блога);

• данные критической информационной инфраструктуры,

• государственные информационные системы,

• объекты государственной тайны.

Технические СЗИ и средства обеспечения безопасности информационных технологий защищают от киберугроз. Они предназначены для выявления рисков и мониторинга состояния различных компьютерных систем: приложений, интернет-порталов, устройств, хранилищ данных.

В России средства защиты информации классифицируют по разным признакам. Выделяют такие группы как антивирусы, средства обнаружения вторжений, межсетевые экраны, инструменты для безопасной загрузки, защита от незаконного распространения данных, программы для контроля съемных носителей, системы управления инцидентами и другие.

Если компания выпускает программы или делает приложения в категориях, названных выше, то на свои продукты ей нужно получать сертификат соответствия ФСТЭК. Только так разработчики могут подтвердить безопасность своих программ и далее предлагать их компаниям для защиты информации.

Общий список программных продуктов, сертифицируемых ФСТЭК

• государственные информационные системы;

• программы для сбора и хранения персональных данных 1−3 (в любых организациях)

• автоматизированные системы управления технологическим процессом;

• ПО, связанное с государственной тайной;

• Объекты критической информационной инфраструктуры;

• ПО, связанное с конфиденциальными сведениями.

На сайте ФСТЭК в открытом доступе есть реестр, в который включены все сертифицированные СЗИ.

Помимо IT-компаний, сертификаты получают и производители специализированной электроники, но на них мы не будем останавливаться в рамках статьи.

Заветный документ вручают не просто так: перед этим проводится сложная проверка, включающая несколько этапов. Специалисты по информационной безопасности подробно изучают программный продукт и убеждаются в его защищенности от взлома и внешних атак. Глубина проверки для разных продуктов отличается. Например, для сертификации программы, использующей биометрию, тесты более сложные. Для продуктов, не работающих с секретной информацией — более простые.

После этого программный продукт появится в реестре на сайте ФСТЭК, с указанием номера документа. При передаче другому юрлицу переоформления не потребуется.

Простая проверка — запросить у разработчика сертификат на его программные продукты и сверить номер с занесенным в реестр.

Если диалог с компанией ещё не начат, можно найти продукт в реестре ФСТЭК по его названию. Но учтите, что официальный и торговый нейминг могут отличаться.

Эксперты по кибербезопасности советуют обратить внимание на такие особенности, которые характерны для сертифицированных программ:

1. Редкие обновления. Сертификат нужно получать для каждой версии программы, а это занимает от 9 месяцев до года.
2. Особые ограничения сертифицированных версий: они видны, если программа выпущена в нескольких версиях, сертифицированной и «обычной». Например, ограниченный доступ к некоторым опциям.

Закон запрещает использовать продукты без сертификации ФСТЭК там, где возможна утечка персональных данных или другой важной информации. Если обнаружится, что в компании для защиты информации используются продукты без этого документа, последуют ответственность за нарушение законодательства о персональных данных и договорные штрафные санкции в случае заказной разработки ПО. По решению суда нарушителя могут оштрафовать на большую сумму или даже привлечь к уголовной ответственности.

Для корпоративных порталов, особенно если они работают с конфиденциальной информацией или персональными данными сотрудников, также важно наличие сертификата ФСТЭК. Это гарантирует защиту от утечек данных и несанкционированного доступа: данные сотрудников и информация о работе компании (в том числе та, что признана коммерческой тайной) будет в безопасности. Важно помнить, что утечка важных данных может принести ущерб репутации бизнеса и создать помехи для его развития, а в случае с персональными данными — привести к судебному наказанию компании.

Чтобы не столкнуться с негативными последствиями после проверок, выбирайте для корпоративного портала проверенное ПО: от надежного разработчика и с подлинным сертификатом безопасности. Одно из самых популярных и проверенных решений — портал от Битрикс24. По статистике, программным обеспечением этого разработчика в России пользуется до 48% компаний.

Разработки Битрикс24 полностью лицензированы для работы в России. Вот какие преимущества отмечают пользователи.

• Удобное общение для участников команды. Доступны чаты, лента событий, звонки.

• Быстрые оповещения о событиях. Можно настроить уведомления и действия для разных типов событий.

• Широкие возможности дополнительных модулей. Портал можно интегрировать с CRM и HRM и управлять продажами либо автоматизировать работу с кадрами.

• Отличная визуализация данных: на портале доступны отчеты и диаграммы, которые показывают результат работы команды.

• Автоматизация документооборота: заявления на отпуск, отгулы. Меньше рутины, больше творчества в работе.

• Защищённое хранилище. Данные находятся в облаке, и разработчик гарантирует их безопасность.

Подробнее о возможностях корпоративных порталов Битрикс24 мы писали в отдельной статье.

Конечно, это не единственное из возможных решений. Пройти аттестацию ФСТЭК можно и с другим программным обеспечением, и даже с кастомным решением для портала, то есть разработанным специально для компании-заказчика.
Компания Uplab занимается разработкой сложных программных решений уже много лет. Мы — официальный партнёр Битрикс24 и разработали много сложных программных решений, в том числе и требующих сертификации ФСТЭК. У нас большой опыт нестандартных решений и глубокая экспертиза в разработке ПО по стандартам и законам России. Поэтому нам можно доверить сложные проекты и не сомневаться в результате.