Что такое сертификация ФСТЭК, как ее пройти и кому она необходима?

При покупке и разработке ПО и технологий важно удостовериться, что используемые средства защищают от несанкционированного доступа извне. В ситуации, когда DDos-атаки или проникновение вредоносного ПО стали обыденностью, защита данных становится важнейшей задачей и, естественно, требует строгого регламентирования.

Какова роль ФСТЭК в защите персональных данных, чем занимается ведомство, и почему его сертификат так важен для IT-компаний?

Что такое ФСТЭК

ФСТЭК – Федеральная служба по техническому и экспортному контролю Российской Федерации.

Персональные данные и другая информация обрабатывается не вручную, а с помощью программ. Федеральный закон № 152 «О работе с персональными данными» не описывает требования к программному обеспечению (ПО) и другим средствам защиты информации (СЗИ). Эти требования содержатся в  документах ФСТЭК. 

ФСТЭК контролирует программные и аппаратные средства с точки зрения обеспечения безопасности данных и ведет реестр сертифицированных отечественных разработок, соответствующих национальным стандартам.

Каким проектам необходимы сертификаты

Средства защиты информации необходимо сертифицировать, если они применяются там, где есть:

• государственные информационные системы (ГИС);
• автоматизированные системы управления технологическим процессом (АСУ ТП);
• персональные данные (ЗПДн);
• критическая информационная инфраструктура (КИИ);
• государственная тайна (ЗГТ);
• конфиденциальная информация;

Сертификат ФСТЭК подтверждает, что средство защиты информации можно использовать при работе с персональными данными, и это будет соответствовать нормам закон ФЗ-152. 

Сертификат получают, например, для антивирусных программ или межсетевых экранов

В чем разница между сертификацией и аттестацией

Сертификат получает разработчик на программное обеспечение, программно-аппаратные комплексы или технические средства, используемые для защиты информации. 

Аттестация нужна организациям, которые работают с  информацией, подлежащей защите.

О чем говорят характеристики, указанные в сертификате 

Перед началом сертификации определяют группу персональных данных, с которыми работает ПО, возможные угрозы и необходимый уровень защиты. После  испытаний объекту сертификации присваивают уровень доверия. 

Уровни доверия ФСТЭК — это требования по безопасности информации, которые устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа.

Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия:

 6 уровень доверия

Применяется в значимых объектах критической информационной инфраструктуры 3 категории.

Примеры категорий:

• Энергетические системы: Управление электросетями, системы распределения электроэнергии.
• Транспортные инфраструктуры: Системы управления железными дорогами, аэропортовые диспетчерские.
• Связь и телекоммуникации: Основные коммуникационные узлы и сети связи.

 5 уровень доверия

Применяется в значимых объектах критической информационной инфраструктуры 2 категории.

Примеры категорий:

• Водоснабжение и канализация: Системы управления водными ресурсами и очисткой воды.
• Финансовые системы: Банковские информационные системы, биржевые платформы.
• Здравоохранение: Электронные медицинские системы, базы данных пациентов.

 4 уровень доверия

Применяется в значимых объектах критической информационной инфраструктуры 1 категории.

Примеры категорий:

• Государственные информационные системы: Системы управления государственными реестрами, налоговые информационные системы.
• Образовательные учреждения: Университетские базы данных, системы дистанционного обучения.
• Промышленные системы: Автоматизированные системы управления производственными процессами.

1, 2 и 3 уровни доверия

Применяются в информационных (автоматизированных) системах, обрабатывающих информацию, содержащую государственную тайну.

Примеры категорий:

 1 уровень доверия:

• Системы обработки служебной информации малой степени секретности.
• Внутренние корпоративные информационные системы с ограниченным доступом.

 2 уровень доверия:

• Системы управления данными средней степени секретности.
• Информационные системы министерств и ведомств, обрабатывающие конфиденциальные данные.

 3 уровень доверия:

• Системы, обрабатывающие информацию высокой секретности.
• Военные системы управления, системы национальной безопасности.

Дополнительные примеры для наглядности:

• 6 уровень: Контрольные центры электросетей, ответственные за отключение и восстановление подачи электроэнергии.
• 5 уровень: Банкоматы и финансовые терминалы, обрабатывающие электронные платежи.
• 4 уровень: Государственные порталы для граждан, обеспечивающие доступ к различным услугам.
• 3 уровень: Военные коммуникационные системы, защищенные от несанкционированного доступа.
• 2 уровень: Медицинские информационные системы, содержащие данные пациентов.
• 1 уровень: Внутренние корпоративные сети, хранящие служебную документацию.

Эти примеры иллюстрируют, как различные информационные системы и объекты соответствуют уровням доверия ФСТЭК в зависимости от их категории и степени критичности.

Рассмотрим теперь подробнее классы защищенности различных систем.

Выделяют четыре группы персональных данных:

1. Общедоступные: ФИО, дата и место рождения, адрес, телефон, профессия.

2. Иные: например, данные о наличии у человека домашних животных.

3. Биометрические: отпечатки пальцев и фото.

4. Специальные: политические, религиозные и философские убеждения, раса, национальность.

Категории и классы защищенности

В зависимости от функционала системы выделяют:

Для информационных систем – 4 класса защищенности в зависимости от уровня значимости информации и масштаба системы (федеральный, региональный, объектовый). Самый высокий – первый класс.

Для автоматизированных систем управления – три класса защищенности. Самый низкий класс - третий, самый высокий - первый.

Для объектов критической информационной инфраструктуры – три категории значимости.

Для информационных систем общего пользования – 2 класса.

При обработке персональных данных в информационных системах – 4 уровня защищенности персональных данных.

Классы и категории системы помогают понять, какие средства защиты нужны.

Оборудование Eltex имеет 4A класс, подробнее с каталогом оборудования, имеющим сертификат ФСТЭК можно ознакомиться по ссылке https://sgep-it.ru/catalog/marshrutizatory/marshrutizatory_s_sertifikatsiey_fstek/

Чем сертифицированное оборудование отличается от обычного?

Важно понимать, что создать на 100% безопасное ПО раз и навсегда сложно. Каждый день хакеры находят новые способы взлома, поэтому после получения сертификата ФСТЭК России разработчик ПО делает всё, чтобы защитить его от будущих угроз. Например, регулярно выпускает обновлённые версии программ и следит за трендами в сфере информационной безопасности.

Межсетевые экраны ФСТЭК Eltex используются в Гос. структурах, где предъявляют повышенные требования к защите передаваемой информации и персональным данным. Основная функция межсетевых экранов (будь то ПО, или оборудование) это фильтрация входящего и исходящего трафика по различным параметрам, которые настраиваются в зависимости от поставленных задач

Как получить сертификат

Защита данных обеспечивается на аппаратном и программном уровне. Поэтому получение сертификата на ПО – только начало комплекса мер. Обязательное для производителя аппаратных средств защиты данных, таких как фаерволы, маршрутизаторы и т.д.

Процедура осуществляется органом по сертификации. Производитель программного обеспечения (ПО) выбирает орган по сертификации, аккредитованный ФСТЭК России, заключает договор и договаривается о сроках.

Как сертификат ФСТЭК влияет на стоимость продукта

Почему цены сертифицированных и несертифицированных моделей оборудования Eltex могут значительно отличаться?

Сертифицирование – довольно затратное мероприятие, но эта стоимость не кажется завышенной, если учесть, что эксперты тестируют продукт, изучают документацию, ищут незадекларированные возможности и уязвимые места, проверяют каждую функцию СЗИ на соответствие требованиям ГОСТ.

Это влияет на конечную стоимость программного или аппаратного средства, но зато покупатель может быть уверен, что ему не придется неожиданно менять оборудование или ПО, если выявится несоответствие закону в работе с персональными данными. 

Покупка сертифицированных средств на старте проекта защитит покупателя от штрафов в будущем. Особенно это касается организаций с повышенными требованиями к передаче конфиденциальной информации.

Наши менеджеры проконсультируют вас и подберут среди моделей Eltex сертифицированное оборудование, соответствующее вашему запросу.