Сертифікація у федеральній службі з технічного та експортного контролю (ФСТЭК) проводиться, коли необхідно підтвердити відповідність продукції вимогам захисту інформації.
Випробувальна лабораторія ЗАТ "ІБТранс" більше десяти років проводить випробування програмного забезпечення в системі сертифікації засобів захисту інформації за вимогами захисту інформації. Випробування проводяться на відповідність вимогам керівних документів Держтехкомісії Росії і включає перевірки продукції та документації на неї.
На залізничному транспорті зазвичай проводяться перевірки програмного забезпечення за вимогами керівного документа «Захист від несанкціонованого доступу до інформації Частина 1. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю за відсутністю недекларованих можливостей».
Готовність заявника
Готовність програмної документації з ГОСТ ЕСПД (ЄСКД)
Доступність вихідних кодів ПЗ
Наявність функціонально завершеного ПЗ (стабільна версія ПЗ)
*Заявник - організація-розробник ПЗ, користувач ПЗ, офіційний представник зарубіжної компанії-розробника в РФ, що подають заявку на сертифікацію програмного забезпечення
Збір інформації
Визначення найменування та позначення програмного виробу
Визначення обсягу вихідного коду, що підлягає аналізу відсутність НДВ
Адреси проведення випробувань ПЗ
Технічні та програмні засоби розробки ПЗ
*НДВ – недекларована можливість
Передача інформації
Заявник звертається до випробувальної лабораторії із зібраною інформацією. Випробувальна лабораторія на підставі отриманих даних оцінює можливість проведення робіт, терміни та вартість.
*Випробовувальна лабораторія - організація, акредитована ФСТЕК Росії на проведення сертифікаційних випробувань засобів захисту інформації.
Комерційна пропозиція
Випробувальна лабораторія формує комерційну пропозицію із зазначенням послідовності проведення робіт, порядку розрахунків, вартості та термінів випробувань, обґрунтованих керівними документами та практикою проведення робіт.
Підготовка Заявки
Заявник (з інформаційною підтримкою Випробувальної лабораторії) на фірмовому бланку зі штампом організації оформляє «Заявку на проведення сертифікації програмного забезпечення на відсутність недекларованих можливостей» та направляє її до ФСТЕК Росії.
Інформація, що міститься у заявці: адреса; найменування та банківські реквізити Заявника; найменування продукції, що підлягає сертифікації; схема сертифікації; вимоги, на відповідність яким проводиться сертифікація; адресу випробувальної лабораторії.
Завантажити бланк заявки на проведення сертифікації можна ТУТ.
*ФСТЕК Росії – Федеральний орган із сертифікації продукції з вимогам безпеки інформації
Отримання Рішення
Федеральний орган із сертифікації (ФСТЭК Росії) у місячний термін розглядає заявку на сертифікацію, визначає схему проведення сертифікації засобів захисту, випробувальну лабораторію з урахуванням пропозицій заявника і призначає орган із сертифікації.
За результатами розгляду Заявки ФСТЕК Росії надсилає заявнику, призначений для проведення сертифікації Орган із сертифікації та Випробовувальну лабораторію Рішення щодо заявки на проведення сертифікації. У Рішенні із сертифікації вказується найменування продукції, схема проведення сертифікації, Випробувальна лабораторія, яка проводить випробування продукції та Орган із сертифікації, що контролює процес сертифікації.
*Орган із сертифікації – уповноважена організація (особа), яка здійснює контроль за перебігом випробувань та проводить експертизу матеріалів сертифікаційних випробувань
Укладання договору
Погодження всіх умов проведення робіт між Заявником та Випробовувальною Лабораторією. З консультацій між сторонами формується календарний план робіт. Підписання договору визначає початок сертифікаційних випробувань.
Крім цього, укладається договір із Органом із сертифікації для проведення експертизи матеріалів випробувань. Договір з Органом із сертифікації може укладати як випробувальна лабораторія, так і заявник. Рекомендованим варіантом є укладення договору між Випробовувальною Лабораторією та Органом із сертифікації.
Аналіз документації
Передача Заявником програмної документації на виріб, що підлягає сертифікаційному випробуванню, випробувальної лабораторії.
Програмна документація включає наступний перелік документів, розроблений з урахуванням вимог стандартів ЄСПД (ЄСКД):
Формуляр (ГОСТ 19501-78)
Специфікація (ГОСТ 19202-78)
Опис програми (ГОСТ 19.402-78)
Опис застосування (ГОСТ 19.502-78)
Текст програми (ГОСТ 19.401-78)
Розробка програми випробувань
За результатами аналізу документації фахівці випробувальної лабораторії розробляють «Програму та методику проведення сертифікаційних випробувань» виробу.
Програма та методика випробувань визначає послідовність перевірок, що здійснюються фахівцями лабораторії з метою оцінки відповідності програмного виробу вимогам відповідних нормативних документів ФСТЕК Росії.
Програма та методика випробувань узгоджується із Заявником та затверджується Органом із сертифікації.
У випадку, якщо виріб, що сертифікується, розроблений за участю іноземної організації, Програма та методика випробувань додатково узгоджуються з Федеральним Органом із сертифікації.
Проведення випробувань
Після узгодження Програми та Методики випробувань фахівці лабораторії приступають до випробування програмного виробу. Випробування включають наступні основні кроки:
аналіз програмної документації,
фіксація вихідного стану ПЗ,
випробування програмного продукту (статичні випробування вихідного коду, динамічний аналіз)
Здійснюються виїзди фахівців випробувальної лабораторії на місце проведення випробувань (в організації-розробники програмного виробу)
Результати випробовувань
Випробувальна лабораторія за результатами всіх перевірок продукції, що сертифікується, формує пакет документів, що включає:
протоколи випробувань продукції,
технічний висновок,
акти відбору зразка, складання ПЗ та інші документи.
Весь пакет документів, що включає програмну документацію Заявника, передається до Органу сертифікації для проведення експертизи. Технічний висновок Випробувальної лабораторії надсилається Заявнику.
Нещодавно пройшов атестацію на відповідність вимогам ФСТЕК Росії. ЦОД Rucloud спроектований відповідно до категорії надійності TIER III згідно зі стандартом TIA-942 (резервування N+1 з рівнем відмовостійкості 99,98%). Отримання атестату ФСТЕК стало логічним кроком, який відповідає політиці RUVDS: забезпечення захисту даних клієнтів залишається одним із найважливіших напрямів нашого розвитку. Що таке ФСТЕК і навіщо потрібна сертифікація? Що це означає для нас та наших клієнтів? Про це – нижче.
Інформаційній безпеці нині приділяється особлива увага. Питання ІБ – важлива частина завдань, вирішуваних державними установами та організаціями, комерційними компаніями розробки та експлуатації інформаційних систем, баз персональних даних. У зв'язку з цим необхідно враховувати вимоги міжнародного та російського законодавства до інформаційних систем, призначені для роботи з подібною інформацією.
З кожним роком посилюються вимоги вітчизняних регуляторів: Федеральної служби з технічного та експортного контролю, Федеральної служби безпеки, Міністерства оборони, Служби зовнішньої розвідки, Федеральної служби охорони, Міністерства зв'язку та масових комунікацій, Банку Росії. Кожен з них діє у сфері компетенції, описаної законодавством.
Якщо, наприклад, ФСБ «відповідає» за криптографію, а ФСТЕК – «за все інше» (міжмережеві екрани, антивіруси, системи запобігання вторгненням тощо).
Існують різні вимоги ФСТЕК щодо захисту тих чи інших видів конфіденційної інформації. За підсумками процедури підтвердження відповідності того чи іншого програмного чи програмно-апаратного засобу вимогам безпеки видається сертифікат. Або не видається – залежить від результату.
Оцінка відповідності застосовується у багатьох областях, та ІБ – не виняток. У зарубіжній практиці існує стандарт ISO IEC 15408:2009, призначений для опису критеріїв оцінки ІТ з точки зору інформаційної безпеки. У Росії діють свої засоби захисту.
До ЦОДу пред'являються вимоги, 21-го, 17-го, 31-го наказів ФСТЕК Росії, вимоги ФСБ Росії щодо криптографічного захисту інформації, вимоги Банку Росії, ФЗ-256 «Про безпеку об'єктів паливно-енергетичного комплексу». І це лише основні вимоги.
Наприклад, згідно з 152-ФЗ «Про персональні дані», системи обробки та зберігання персональної інформації росіян повинні не тільки розташовуватися на території нашої держави, а й відповідати вимогам у сфері безпеки, що висуваються законодавством. Особливо це стосується операторів комерційних ЦОД, для яких безпека та безпека інформації клієнтів є одним із ключових критеріїв оцінки якості.
З моменту набрання чинності 152-ФЗ обробка персональних даних, включених до інформаційних систем, здійснюється відповідно до цього закону, що передбачає виконання операторами всіх вимог до програмного забезпечення, що використовується.
Відповідно до федерального закону 149-ФЗ, все програмне забезпечення у державних, правоохоронних, фінансових та інших структурах, що обробляють службову інформацію, підлягає сертифікації ФСТЕК. Закон дозволяє таким організаціям використовувати лише сертифіковане програмне забезпечення.
Якщо у комерційному, корпоративному чи державному ЦОД зберігаються персональні дані, з вимог законодавства серед іншого випливають також необхідні заходи щодо їх фізичного захисту. Конкретний набір заходів залежить від рівня конфіденційності, встановленого для оброблюваних даних. Виходячи з цього, вибирається клас захищеності ЦОД за нормами ФЗ та ФСТЕК і забезпечується, у тому числі і фізична. Найбільш збалансований спосіб забезпечити фізичну безпеку ЦОД – реалізувати багаторівневий захист (з кількома периметрами безпеки). Як і при ешелонованій обороні, прорив одного рівня не означатиме прориву системи безпеки.
Поряд з організаційними заходами та документування комплекс заходів щодо захисту персональних даних передбачає впровадження технічних засобів захисту. За практикою, що склалася, це цілодобова присутність у ЦОД та на його території спеціально навченої збройної охорони, а також засоби відеоспостереження, що охоплюють зовнішній периметр ЦОД та внутрішні приміщення.
На організації, які мають персональними даними громадян, накладається відповідальність і за збереження цих даних. Необхідні заходи фізичного захисту прямо чи опосередковано випливають також з інших стандартів та нормативів – міжнародних та національних, таких як TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 та ін.
Щодо фізичної безпеки виділяють такі вимоги: організація режиму забезпечення безпеки приміщень, контроль фізичного доступу до інфраструктури, у тому числі до приміщень та споруд, контроль внесення та винесення обладнання, включаючи машинні носії. Важлива увага приділяється несанкціонованому доступу до інформації. Правильне побудова та документування процедур контролю доступу дозволяють дотримуватися необхідних вимог щодо забезпечення фізичної безпеки.
Які саме системи та засоби атестовані в нашому дата-центрі?
Усі дії постійно протоколюються, активність за робочим місцем перевіряється на підозрілу та за необхідності, може бути заблокована з оповіщенням відповідальних осіб. Використовується сертифіковане програмне забезпечення, починаючи з сертифікованої ФСТЕК ОС Windows та спеціалізованого програмного забезпечення для контролю доступу та фільтрації трафіку до антивірусного захисту та гіпервізора.
Таким чином, захищається робочий простір, який має пряме відношення до даних клієнтів. Це робиться засобами ОС на робочих станціях, баз даних, спеціалізованими захисними та антивірусними продуктами, міжмережевими екранами, засобами контролю доступу (СКУД), резервного копіювання та відновлення, знищення даних та контролю видалення інформації.
Якщо клієнт попросить винести свою інфраструктуру на окрему машину, можна повністю захистити її, наприклад, встановити туди VipNet, SecretNet, якісь спеціальні антивіруси. І при цьому послуги, які ми надаємо, будуть сертифіковані, а нашого висновку про проведену роботу із захисту інфраструктури клієнта буде достатньо, щоб той міг звітувати перед регулюючими органами.
Виключається етап атестації ІТ-інфраструктури замовника, тим самим до 50% знижується обсяг необхідних трудовитрат та часу, значно скорочується необхідний розмір інвестицій, суттєво полегшується процес атестації інформаційних систем.
Щодо персональних даних, то наші сервери фізично знаходяться в Російській Федерації, RUVDS має також ліцензії Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій №137295 від 30.10.2015 («Телематичні послуги зв'язку») та №137296 від 30.10. 2015 («Послуги зв'язку з передачі даних, за винятком послуг зв'язку з передачі даних для цілей передачі голосової інформації»), тому з приводу виконання цього федерального закону ви можете бути спокійні.
Отримання ліцензії ФСТЕК - це інвестиції у стратегічний розвиток компанії. Ліцензія ФСТЕК не тільки підтверджує компетентність компанії для роботи з персональними даними, але й дає можливість пропонувати послуги компаніям, у тому числі з державного сектора, які зобов'язані дотримуватись вимог щодо захисту конфіденційної інформації, наприклад, самі мають ліцензію ФСТЕК і передають нам як провайдеру послуг дані , що підлягають захисту за нормативами ФСТЕК
Крім резервування на рівні дата-центру та сертифікації ФСТЕК, RUVDS персональних даних та корпоративної інформації третіх осіб. Крім загального страхування, RUVDS спільно з AIG планує запропонувати своїм клієнтам унікальні умови індивідуального страхування їхньої діяльності та даних на компанії.
І, звичайно, у нашому дата-центрі ваші ресурси будуть: аналіз мережевого трафіку проводиться в режимі 24/7, а захист дозволяє стабільно витримувати атаки потужністю до 1500 Гбіт/сек. Аналітична система фільтрує трафік, що входить на вашу адресу, видаляє шкідливу інформацію, передаючи на ваш бік тільки легітимний безпечний трафік.
Теги:
Федеральна служба з технічного та експортного контролю - це федеральний орган виконавчої влади, який здійснює перевірку та контроль в галузі державної безпеки. Сьогодні кожен власник ноутбука при покупці тієї чи іншої антивірусної програми чи програмного забезпечення неодноразово чув такий вираз як сертифікація ФСТЕК. Але мало хто знає, що ж собою є сертифікат ФСТЕК.
Сьогодні питання захисту інформації тісно переплітається з інтересами суспільства, бізнесу та держави. Зазвичай, кожна держава прагне контролювати інформацію, пов'язану з національною безпекою. Тому рік у рік воно ставить основним завданням розробку, експлуатацію добре захищених інформаційних систем, баз персональних даних. У таких системах зберігається, переробляється величезна кількість інформації, пов'язаної практично з усіма видами діяльності держави. Саме тому виробники програмного забезпечення повинні враховувати законодавчі вимоги, що накладаються на інформаційні системи, які беруть участь у державній діяльності. Процедура сертифікації ФСТЕК здійснюється для перевірки відповідності основним показникам безпеки.
Сертифікат ФСТЕКвидається за підсумками проходження наступних етапів:
Система російської сертифікації ПЗ докорінно відрізняється від сертифікації на заході. По-перше, кожна копія програмного забезпечення, яка претендує на сертифікат ФСТЕК, проходить ряд випробувань та експертиз, яким піддавався початковий продукт. По-друге, кожна компанія, яка придбала сертифікований продукт, має захищений доступ до інформаційної бази даного програмного забезпечення, звідки організація отримуватиме оновлення.
З 2004 року федеральний орган виконавчої влади має такі повноваження:
ФСТЕК не займається сертифікаційною діяльністю, він є основним організатором сертифікації. Левову частку дій виконують його ліцензіари – випробувальні лабораторії та експертні центри. Лабораторії досліджують програмне забезпечення, а експертні організації перевіряють якість випробувань. Безперечно, заявник може оформити сертифікат ФСТЕКза результатами випробувань сторонніх організацій. Але в цьому випадку перед тим, як видати сертифікат,ФСТЕКзалишає за собою право призначити повторну перевірку результатів іншої експертної організації. З цієї причини в системі ФСТЕК працює інститут заявника. Вони проводять порівняння копій продуктів, що продаються з програмами, які раніше отримали сертифікат ФСТЕК.
Розглянемо приблизний перелік дій із сертифікації у ФСТЕК Росії.
У заявці зазначаються:
Заявник зазначає, що він зобов'язується:
Важливо: заявник повинен мати ліцензію ФСТЕК на відповідний вид діяльності!
Приклад заявки на сертифікацію програмного комплексу представлено малюнку 5.1.
ФСТЕК протягом місяця після отримання заявки надсилає Заявнику, призначеному органу із сертифікації та випробувальної лабораторії рішення на проведення сертифікаційних випробувань, яке містить таке:
Орган із сертифікації та випробувальна лабораторія можуть бути змінені за погодженням із Замовником. Рішення є підставою для початку випробувань та "приводом" для укладення договору між Заявником та випробувальною лабораторією. Приклад рішення для проведення сертифікації представлений малюнку 5.2.
У договорі з випробувальною лабораторією проведення сертифікаційних випробувань встановлюються терміни, порядок проведення сертифікаційних випробувань, і навіть вартість робіт. Зазвичай, випробувальна лабораторія спочатку готує комерційну пропозицію з обґрунтуванням термінів і вартості робіт, а також проект договору. Як правило, до комплекту договірних документів входять: договір, технічне завдання на проведення робіт, відомість виконання, протокол погодження ціни. Крім зазначених відомостей, у договорі рекомендується передбачити такі пункти, як відповідальність за псування випробувальних зразків або порядок зупинення випробувань у разі внесення якихось змін.
Цей етап включає в себе розробку, погодження та затвердження програми та методики сертифікаційних випробувань.
Випробувальна лабораторія розробляє програму та методику проведення випробувань, передає заявнику інформацію про те, які дані необхідні для випробувань. Також програма та методика відправляються до органу із сертифікації на затвердження.
Заявник отримує від випробувальної лабораторії програму та методику випробувань, погоджує її та готує всі необхідні вихідні дані. Він надає випробувальній лабораторії засоби захисту інформації у комплектації, що відповідає технічним умовам або формуляру, а також комплект всієї необхідної документації відповідно до ЄСПД чи ЄСКД.
Випробувальна лабораторія відбирає зразки продукції, що сертифікується, ідентифікує їх і проводить сертифікаційні випробування продукції за затвердженими програмою та методикою. При цьому Заявник готує та настроює стенд для проведення сертифікаційних випробувань. Важливо зазначити, що забороняється вносити зміни до складу або конструкції об'єкта сертифікації, а також до документації під час випробувань. Це може призвести до зупинення випробувань та їхнього повного "перезапуску", що вплине на вартість та строки проведення робіт.
Результати випробувань оформлюються у вигляді протоколів сертифікаційних випробувань та технічних висновків. Ці документи надсилаються до органу сертифікації, а копії – Заявнику. У разі відсутності обґрунтованих зауважень до результатів, наданих випробувальною лабораторією, з боку Заявника чи органу із сертифікації, її робота за договором вважається виконаною.
Випробувальна лабораторія укладає договір з органом із сертифікації щодо проведення експертизи результатів сертифікаційних випробувань, в якому обумовлюються терміни (як правило, 1 місяць), порядок та вартість. Іноді орган із сертифікації вимагає укласти договір із Заявником, а не з випробувальною лабораторією. Цей пункт є спірним та не регламентованим. Це питання найкраще спочатку обговорити з випробувальною лабораторією.
Орган із сертифікації відповідно до договору проводить експертизу результатів сертифікаційних випробувань, а також технічних та експлуатаційних документів на продукцію, що сертифікується. Результатом стає оформлення експертного висновку, яке разом із технічним висновком, матеріалами сертифікаційних випробувань, комплектом необхідної технічної та експлуатаційної документації на об'єкт сертифікації представляє у ФСТЕК Росії для ухвалення рішення про випуск сертифікату.
На підставі отриманих від органу сертифікації документів, а саме технічного висновку та експертного висновку ФСТЕК приймає рішення про видачу сертифіката. Як було зазначено вище, термін сертифіката 3 роки. Приклад сертифіката відповідності малюнку 5.3.
Якщо в результаті перевірки ФСТЕК виявить невідповідність результатів випробувань вимогам законодавства, буде ухвалено рішення про відмову у видачі сертифікату. При цьому заявнику буде направлено мотивований висновок. У разі незгоди з відмовою Заявник має право звернутися до апеляційної ради Федерального органу сертифікації для додаткового розгляду матеріалів сертифікації. Апеляція розглядається у місячний строк із залученням зацікавлених сторін та незалежних експертів. Подавець апеляції повідомляється про ухвалене рішення.
