Сертификация ФСТЭК программного обеспечения
В Федеральном законе № 152 от 26.01.2007 указана необходимость соблюдения правил работы с персональными данными (ПДн). Правила означают сохранение их конфиденциальности и предотвращение несанкционированного доступа к личной информации пользователей.
Технические требования в отношении используемого программного обеспечения и IT-систем, работающих с ПДн, в законе не указаны. Это приводит к спорам и разногласиям. Сертификация ФСТЭК позволяет решить эту проблему и подтвердить надежность средств защиты информации.
Что такое сертификат ФСТЭК
Наличие сертификата ФСТЭК подтверждает, что системы защиты информации (СЗИ) или IT-продукты успешно прошли проверочные процедуры на соответствие действующим стандартам.
Сертификация не только обеспечивает защиту ПДн, но и содействует формированию рынка защищенных технологий, позволяет потребителю выбрать качественный и эффективный продукт.
Зачем и кому нужна сертификация ФСТЭК?
Процедуру проводят для подтверждения надежности и безопасности ПО, вывода на рынок ПО, предназначенного для работы с информационными системами с повышенными требованиями безопасности. Использование несертифицированной продукции в информационных системах, где это недопустимо, влечет за собой санкции в виде штрафов и уголовного наказания.
В сертификате нуждаются не только компании-разработчики ПО, но и организации:
- обрабатывающие ПДн и информацию, отнесенную к гостайне;
- работающие с ГИС и АСУ ТП;
- являющиеся частью КИИ.
Сертификат распространяется на программное обеспечение. Но в процессе сертификации проверяется также оборудование, предназначенное для хранения данных: серверы, облачные ресурсы и т.д. Они проходят процедуру аттестации.
Аттестация не проводится в отношении оборудования, которое работает с простыми и общедоступными данными, такими как ФИО, год рождения и др. Исключения касаются и предприятий малого бизнеса, которые не собирают ПДн о клиентах или использует обезличенную информацию, которая не позволяет его идентифицировать.
В одной организации допускается одновременное использование сертифицированных и обычных СЗИ, но при условии соответствующего контроля и разделения разных информационных систем.
Как проходит сертификация
Прежде чем получить сертификат организация проходит ряд проверок со стороны контролирующих органов и независимых экспертов. Окончательный выбор испытаний будет зависеть от типа нужного сертификата.
Самые строгие проверки предусмотрены для предприятий, работающих с биометрией. Если же сертифицируются СЗИ, не предназначенные для работы с секретной и конфиденциальной информацией, то используется более простой метод.
Соимость сертификации ФСТЭК
Система сертификации | Преимущества | Образцы выдаваемых сертификатов | Стоимость |
---|---|---|---|
РосТехСертификация (РТС)
|
|
от 25 000 Р
Выгода в декабре
7 000Р |
|
АЛЬФА РЕГИСТР
|
|
от 59 750 Р
Выгода в декабре
15 000Р |
|
DeutscheManagement Systeme (DMS)
|
|
от 129 000 Р
Выгода в декабре
21 000Р |
|
International Certification Network (IQNET)
|
|
от 290 000 Р
Выгода в декабре
30 000Р |
Виды сертификатов
Сертификат для тендера
В соответствии с законом 152-ФЗ, оператор ПДн должен обеспечить безопасность полученной информации с использованием специальных программ. Сертификат для тендера выдается компаниям для осуществления легальной деятельности на территории России.
Получению сертификата ФСТЭК предшествует оформление лицензии ФСТЭК. В среднем процедура лицензирования занимает около 6 месяцев, процедура сертификации – еще около 10 месяцев.
Компании, которые планируют пройти процедуру сертификации, должны учитывать несколько аспектов:
- Актуальность сертификатов о состоянии кабельной системы, центра обработки данных и другого оборудования. Как правило, такие документы действительны в течение года. Если используете чужое оборудование, то необходимо дополнительно предоставить договор аренды.
- Информация о помещении. Если используется арендуемое помещение, то потребуются документы владельца.
- Операторы ПДн должны иметь высшее образование в сфере технической защиты информации.
- Сертификация оборудования и ПО проводится при участии сертификационного центра. Его сотрудники проверят, соответствует ли продукт перечню необходимых требований.
- Пакет документов для сертификации включает описание и характеристики продукции, гарантийное письмо, заявление. Полный перечень требований к заявлению на прохождение сертификации указан в постановлении правительства №79.
В случае, если пакет документов неполный или в документах имеются ошибки, у соискателя будет 30 дней (со дня получения ответа) для внесения исправлений.
Сертификат ФСТЭК для экспорта
За счет возможности двойного назначения такой сертификат получают все компании, осуществляющие внешнеэкономическую деятельность. Перечень товаров, которые могут использоваться не только в мирных, но и в военных целях, перечислен в указе президента РФ №1661. В него включены материалы, которые могут использоваться при изготовлении:
- взрывчатки;
- ядов;
- оружия, в т.ч. химического и ядерного;
- защитного снаряжения.
Также в список включены токсины, химикаты, некоторые технологии и оборудование.
Другие названия этого сертификата – Заключение двойного применения и Заключение по экспортному контролю ЭСКОНТ.
Сертификат действует до тех пор, пока действует внешнеторговый контракт. По истечении этого срока документ придется получать заново. Его продление не предусмотрено.
Экспортеры подают в сертификационный центр следующий пакет документов:
- заявление установленного образца;
- гарантийное письмо;
- копию контракта;
- техническое описание ПО/изделия;
- сферы применения продукции, ее назначение, цели использования за пределами РФ.
Решение о выдаче сертификата будет вынесено спустя 30 дней с момента подачи пакета документов.
Сложности при получении сертификата ФСТЭК
Вместе с сертифицированным ПО пользователь получает сертификат, подтверждающий уровень защищенности системы хранения данных. Для такого продукта характерен ряд особенностей:
- Задержки с обновлением. Процедура оценки ФСТЭК занимает от 5 месяцев до 1 года, а т.к. сертификацию проводят для отлаженного ПО, выход новых версий смещается на месяцы по сравнению с общедоступными вариантами ПО.
- Требования ФСТЭК могут измениться. Но происходит это не единовременно: о любых изменениях служба предупреждает заранее. В среднем у вас будет около года чтобы адаптировать все системы к новым реалиям.
Также в процессе сертификация заявители сталкиваются с рядом сложностей:
- Оборудование. Для прохождения сертификации и аттестации компания должна иметь соответствующее оборудование. Если в собственности предприятия его нет, то придется покупать его отдельно. Процесс подготовки к сертификации длительный. Если вы начнете процедуру с покупки оборудования, то к моменту подачи заявления его придется поверять заново, т.к. сертификаты о проверке действуют 1 год. Получить сертификат можно и с арендуемым оборудованием, но в этом случае придется заключать дополнительные договоры и подтверждать, что мощности находятся у арендатора, а не у третьих лиц.
- Проблема аренды. Если вы арендуете помещение на правах субаренды, то придется предоставить информацию об арендодателе и собственниках помещения, заканчивая владельцем помещения.
- Кадастровые номера. Часто номер помещения не совпадает с кадастровым номером, поэтому заявителю приходится проходить всю процедуру заново.
- Проблема с персоналом. Сотрудники компании должны иметь не только дипломы о высшем профильном образовании, но и необходимый опыт.
Федеральная служба по техническому и экспортному контролю ФСТЭК требует прохождения процедуры сертификации от разработчиков программного обеспечения и всех структур, которые работают с конфиденциальной информацией.
Процедура сертификации занимает много времени и требует тщательной подготовки, а иногда и прохождения аттестации. Для того, чтобы процедура прошла с наименьшими затратами по времени и по стоимости, предлагаем вам воспользоваться услугами нашей компании.