Что такое сертификация на соответствие требованиям по безопасности информации
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что такое сертификация на соответствие требованиям по безопасности информации
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 3 апреля 2018 года N 55
(с изменениями на 5 августа 2021 года)
Документ с изменениями, внесенными:
приказом ФСТЭК России от 5 августа 2021 года N 121 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 27.10.2021, N 0001202110270025).
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722; 2004, N 52, ст.5480; 2010, N 18, ст.2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330,
2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.
Директор Федеральной службы
в Министерстве юстиции
регистрационный N 51063
УТВЕРЖДЕНО
приказом ФСТЭК России
от 3 апреля 2018 года N 55
Положение о системе сертификации средств защиты информации
(с изменениями на 5 августа 2021 года)
I. Общие положения
1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст.4673; 2003, N 27, ст.2700; 2004, N 27, ст.2711; 2011, N 30, ст.4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст.5140; 2007, N 19, ст.2293; 2011, N 49, ст.7025; 2016, N 15, ст.2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».
3. Сертификации в системе сертификации ФСТЭК России подлежат:
средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
II. Система сертификации ФСТЭК России
5. Участниками системы сертификации ФСТЭК России являются:
федеральный орган по сертификации;
изготовители средств защиты информации.
6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.
8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.
9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.
Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну.
Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст.2716; N 48, ст.6728; 2012, N 26, ст.3446; N 31, ст.4322; 2013, N 9, ст.874; N 27, ст.3477; 2014, N 30, ст.4256; N 42, ст.5615; 2015, N 1, ст.11; N 29, ст.434; N 44, ст.6047; 2016, N 1, ст.51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст.1297; 2016, N 26, ст.4049).
10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.
12. Сертификация средств защиты информации осуществляется по следующим схемам:
Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.
Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.
13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.
14. Срок действия сертификата соответствия не может превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации.
Приказ ФСТЭК России от 05.08.2021 N 121 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55» (Зарегистрировано в Минюсте России 27.10.2021 N 65594)
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 5 августа 2021 г. N 121
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ОТ 3 АПРЕЛЯ 2018 Г. N 55
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579) и пунктом 1 постановления Правительства Российской Федерации от 15 мая 2010 г. N 330 приказываю:
Внести в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55 (зарегистрирован Министерством юстиции Российской Федерации 11 мая 2018 г., регистрационный N 51063), изменения согласно приложению к настоящему приказу.
Директор Федеральной службы
по техническому и экспортному контролю
В.СЕЛИН
Приложение
к приказу ФСТЭК России
от 5 августа 2021 г. N 121
ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННОЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ОТ 3 АПРЕЛЯ 2018 Г. N 55
1. Пункт 3 дополнить абзацем следующего содержания:
«Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.».
2. Пункт 14 дополнить абзацами следующего содержания:
«Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.».
3. Абзац второй пункта 15 признать утратившим силу.
4. Пункт 37 изложить в следующей редакции:
«37. Для проведения сертификационных испытаний испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации.
При сертификации партии средства, предназначенного для защиты информации от утечки по техническим каналам, для отбора образцов должна быть представлена вся партия образцов средства защиты информации.
При сертификации серийного производства средств защиты информации для осуществления отбора образцов должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов, которое необходимо отобрать для проведения сертификационных испытаний.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от утечки по техническим каналам, объем выборки образцов определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.
При сертификации партии или серийно производимого средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий отбирается один образец средства защиты информации.
Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.».
5. Дополнить пунктами 37.1 и 37.2 следующего содержания:
«37.1. По результатам отбора составляется акт отбора образца (образцов) средства защиты информации, в котором указываются:
номер и дата решения о проведении сертификации;
дата осуществления отбора образца (образцов) средства защиты информации;
наименование средства защиты информации;
наименование испытательной лаборатории;
фамилия, имя и отчество (при наличии) специалиста (специалистов) испытательной лаборатории, производившего (производивших) отбор образца (образцов) средства защиты информации;
фамилия, имя и отчество (при наличии) специалиста (специалистов) заявителя, присутствовавшего (присутствовавших) при отборе образца (образцов) средства защиты информации;
схема сертификации средства защиты информации (при сертификации партии средства защиты информации указывается количество образцов средства защиты информации в партии);
количество образцов в партии средства защиты информации, представленной для осуществления отбора образца (образцов) средства защиты информации с указанием заводских номеров образцов средства защиты информации;
количество отобранных образцов средства защиты информации с указанием их заводских номеров;
контрольные суммы программного обеспечения образца (образцов) средства защиты информации (при наличии программного обеспечения средства защиты информации).
Акт отбора образца (образцов) средства защиты информации подписывается специалистами заявителя и испытательной лаборатории, участвовавшими в отборе образца (образцов) средства защиты информации, и утверждается руководителем испытательной лаборатории.
37.2. На отобранный образец (образцы) средства защиты информации заявитель представляет в испытательную лабораторию следующую документацию:
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.
В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.».
6. Пункт 38 изложить в следующей редакции:
«38. Заявитель обязан предоставить возможность ознакомления испытательной лаборатории с образцом средства защиты информации и его производством.».
7. В пункте 39 слова «и орган по сертификации» исключить.
8. Пункт 40 изложить в следующей редакции:
«40. Испытательная лаборатория осуществляет рассмотрение отобранного образца средства защиты информации и документации на него и при выявлении недостатков направляет заявителю предложения по доработке средства защиты информации и (или) документации.».
9. В пункте 41 слова «орган по сертификации» заменить словами «испытательная лаборатория».
10. Пункт 43 изложить в следующей редакции:
«43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.
К программе и методике сертификационных испытаний, представляемым на утверждение в орган по сертификации, прилагается следующая документация:
задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);
формуляр (паспорт) на средство защиты информации;
иная конструкторская (программная) и эксплуатационная документация на средство защиты информации, предусмотренная требованиями по безопасности информации.
Орган по сертификации в течение 30 календарных дней со дня получения программы и методики сертификационных испытаний рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.
В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.
Испытательная лаборатория в течение 10 календарных дней со дня получения программы и методики сертификационных испытаний устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.
При повторном рассмотрении программы и методики сертификационных испытаний органом по сертификации проверяется устранение ранее выявленных недостатков.
Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней со дня получения программы и методики сертификационных испытаний.
Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.».
11. Пункты 44 и 45 признать утратившими силу.
12. Абзац пятый пункта 47 дополнить словами «в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания».
13. Пункт 63 изложить в следующей редакции:
«63. На основании сертификата соответствия заявитель организует маркирование средства защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, который имеет вид: РОСС RU.01.XXXXX.XXXXXX.
Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России.
Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации.
Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.
Идентификатор может содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации.»;
14. Пункт 64 изложить в следующей редакции:
«64. В случае сертификации единичного образца средства защиты информации или партии средства защиты информации идентификатор сертифицированных образцов средства защиты информации указывается в сертификате соответствия.».
15. Пункты 65 и 66 признать утратившими силу.
а) в абзаце первом слово «действующего» исключить;
б) в абзаце втором слова «знаками соответствия» заменить словом «идентификатором»;
в) абзац третий признать утратившим силу.
17. В пункте 68 слова «заводских номеров образцов средства защиты информации и номеров знаков соответствия» заменить словами «идентификаторов».
18. Пункт 69 изложить в следующей редакции:
«69. Идентификатором маркируется корпус изделия (при наличии) или съемный машинный носитель информации, содержащий программное обеспечение сертифицированного средства защиты информации.
Идентификатор заносится в формуляр (паспорт) на средство защиты информации.».
19. Дополнить пунктом 70.1 следующего содержания:
«70.1. Заявитель ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения о произведенных и (или) промаркированных сертифицированных средствах защиты информации, содержащие наименование средства и присвоенные образцам идентификаторы.».
20. Дополнить пунктом 82.1 следующего содержания:
«82.1. При продлении срока действия сертификата соответствия сертификационные испытания проводятся по сокращенной программе:
для средства, предназначенного для защиты информации от утечки по техническим каналам, проводится проверка его производства;
для средства, предназначенного для защиты информации от несанкционированного доступа к информации (воздействия на информацию), или средства обеспечения безопасности информационных технологий проводится оценка его соответствия требованиям по безопасности информации, устанавливающим уровни доверия.».