Сертификация ФСТЭК для чайников
Что такое сертификация ФСТЭК?
Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.
Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:
- Защиту конфиденциальной информации строго определенного уровня.
- Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
- Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.
Зачем нужна сертификация ФСТЭК?
Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.
Сферы деятельности с обязательной сертификацией средств защиты информации:
- Государственные информационные системы (ГИС).
- Автоматизированные системы управления технологическим процессом (АСУ ТП).
- Персональные данные (ЗПДн).
- Критическая информационная инфраструктура (КИИ).
- Государственная тайна (ЗГТ).
- Конфиденциальная информация (служебная информация).
Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.
Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.
Отличия сертифицированных версий от версий общего пользования
Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.
У сертифицированных версий продуктов есть свои особенности:
- Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
- У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.
Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.
Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:
- Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
- Они не имеют отношения к средствам защиты информации.
- Они могут работать в замкнутой программной среде.
Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.
В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.
Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
Есть два варианта дальнейшего развития событий:
- Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
- Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.
Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?
Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.
Чем может помочь компания Softline?
- В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
- У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.
Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков