Сертификация ФСТЭК для чайников

Что такое сертификация ФСТЭК

Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.

Сертификация ФСБ предназначена для проверки программного обеспечения, использующее криптографические алгоритмы. Сертификацию проходит программное обеспечение только с российскими алоритмами, любые другие сразу отсекаются. Требования для систем ФСБ находятся в закрытом доступе.

Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.

Видео

Требования к программным продуктам

Для защиты информации, содержащейся в государственных ИС, согласно нормам Приказа № 17, могут применяться только сертифицированные программные средства. На частные компании эти нормы распространяются только при обработке ими персональных данных определенных категорий.

Государственные ИС 

Даже несмотря на то, что обрабатываемая в государственных органах информация не является государственной тайной, она интересует злоумышленников. 

Для сохранности необходимо внедрять только сертифицированные по требуемому классу защиты программные продукты со следующими функциями:

  • идентификация и аутентификация пользователей и мобильных устройств;
  • управление доступом к информации, его разграничения. контролировать соединения и трафик, использовать защиту от удаленного доступа, средства доверенной загрузки данных;
  • ограничение программной среды. Это возможность запуска процессов и программ отдельно друг от друга, установки только разрешенного и сертифицированного программного обеспечения, запрет на инсталляцию иных программ;
  • защита носителей информации, их учета, контроля за их перемещением и подключением, контроля записи информации на съемные носители;
  • регистрация инцидентов безопасности, формирования заданной реакции на них, сбора и анализа статистической информации об инцидентах безопасности;
  • своевременно обновляемые антивирусные программы;
  • обнаружение внешних вторжений;
  • мониторинг уязвимостей информационной системы, контроля за своевременным обновлением операционных систем и программ, сменой паролей;
  • обеспечение целостности информации, файлов, программ, защиты от спама, контроля исходящего трафика, ограничения возможностей инсайдеров по загрузке новых данных в ИС, контроля точности сведений, вводимых в ИС, реакции на ошибки пользователей;
  • защита облачной среды.

Выбор сертифицированных защитных средств определяется классом системы. Но если на конкретный временной период бюджетные требования не позволяют установить программное обеспечение нужного класса и уровня сертификации, по согласованию с территориальным органом ведомства допустимы временные отступления и установка иных сертифицированных средств.

Программные и технические средства для операторов ПД

Перечень программных средств для операторов ПД аналогичен тому, который предлагается для государственных систем, но от них требуется меньший функционал. 

Оператор вправе:

  • определить базовый набор мер программной и технической защиты информации, ориентируясь на рекомендованный в приложении;
  • адаптировать базовый набор мер к кадровым, финансовым, техническим возможностям компании;
  • при появлении возможности уточнить и дополнить выбранный комплекс программных средств.

Если использование какого-то средства невозможно, то ведомство предлагает компенсирующие меры, также устраняющие риски утраты данных. Финансовая целесообразность остается базовым принципом при выстраивании архитектуры системы. Дополнительно ведомство рекомендует операторам своевременно тестировать систему на проникновения и на качество защиты. В большинстве случаев операторы при формировании своих систем ограничиваются антивирусной защитой, межсетевыми экранами и регулярным мониторингом.

Требования к файрволам

Брандмауэры или файрволы для защиты информации применяют многие компании, вне зависимости от необходимости защиты ПД, поэтому интересно рассмотреть требования ФСТЭК РФ к ним. Ведомство открыло для общего доступа нормы, регламентирующие только профили файрволов 4-6 классов защиты, то есть не предназначенных для систем, в которых обрабатываются сведения, содержащие государственную тайну.

Согласно утвержденному ведомством профилю защиты межсетевых экранов, под межсетевым экраном понимается ПО, реализующее функции контроля и фильтрации проходящих через него информационных потоков в соответствии с изначально заданными правилами. 

Файрвол должен обеспечивать защиту от угроз:

  • НСД (несанкционированный доступ) к информации, хранящейся в ИС, путем неконтролируемых сетевых подключений;
  • отказ ИС или ее элементов в работе, связанный с неконтролируемыми подключениями, уязвимостью программного обеспечения или сетевых протоколов, низким качеством настройки элементов защиты. В условиях работы межсетевого экрана при защите от этого типа угроз присутствует формулировка, предполагающая, что ПО обязано защищать и от DDoS-атак;
  • утечки защищаемой информации из сети в Интернет из-за действия вируса или внутреннего пользователя;
  • нарушения его собственной работы в результате внешнего вмешательства и обхода защиты.

Функциями межсетевого экрана, согласно ФСТЭК РФ, являются:

  • фильтрация трафика;
  • идентификация и аутентификация пользователей ПО;
  • аудит и регистрация инцидентов информационной безопасности, классификация которых приведена в стандарте ГОСТ Р ИСО/МЭК 15408-2-2013;
  • обеспечение собственной работы и восстановления после сбоев;
  • администрирование собственной работы;
  • эффективное взаимодействие с другими программными компонентами систем безопасности.

Рассмотренные в документе типы межсетевых экранов применимы только к рабочим станциям, ведомство не интересует регулирование средств защиты информации в рамках мобильных устройств, объектов Интернета вещей, автомобильной электроники. Выбор программного обеспечения для этих целей остается на усмотрение пользователей.

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

  • на объекте не соблюдаются требования по безопасности;
  • изменены параметры настройки средств защиты информации;
  • изменен состав средств защиты информации;
  • увеличен состав защищаемых ресурсов;
  • увеличен состав защищаемых объектов вычислительной техники;
  • не осуществляется ежегодный контроль защищенности аттестованного объекта с внесением в аттестат соответствующей записи о проведении контроля;
  • изменен состав обслуживающего персонала.
Смотреть весь список

Свернуть

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону [3]. Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, — идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата [3].

Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Порядок выдачи аттестата (как выдается аттестат)

При аттестации конфиденциальных объектов:

  1. Лицензиат ФСТЭК России проводит работы по аттестации и выдает заказчику аттестат соответствия  (в случае положительного заключения о соответствии объекта требованиям безопасности информации).
  2. Лицензиат ФСТЭК России сам регистрирует выданный аттестат в реестре выданных аттестатов.
  3. Лицензиат ФСТЭК России периодически отчитывается во ФСТЭК России о проведенных работах по аттестации и выданных аттестатах, в том числе при плановых проверках лицензиата уполномоченным органом (ФСТЭК России).

При аттестации секретных объектов:

  1. Лицензиат ФСТЭК России с аттестатом аккредитации органа по аттестации (далее — орган по аттестации) проводит работы по аттестации и направляет отчетные документы по аттестации на экспертизу во ФСТЭК России.
  2. В случае положительного прохождения экспертизы отчетных документов во ФСТЭК России лицензиат ФСТЭК выдает заказчику аттестации аттестат соответствия.
  3. Орган по аттестации сам регистрирует выданный аттестат в реестре выданных аттестатов.

Проверки

Ведомство регулярно проводит плановые и внеплановые проверки деятельности организаций в сфере защиты информации. Плановые проводятся раз в три года. О том, что компания попала в список на проверку, можно узнать в конце предыдущего перед проверкой года в реестре на сайте Генпрокуратуры. Внеплановые проводятся в критических случаях, когда выявлена реальная угроза безопасности данных.

Результатами проверки становятся:

  • отсутствие замечаний;
  • вынесение предписаний об устранении недостатков;
  • административный штраф;
  • приостановка деятельности;
  • в редчайших случаях – представление о привлечении к уголовной ответственности.

На практике нехватка документов, отсутствие контроля за машинными носителями информации или использование несертифицированного программного обеспечения для оператора ПД, если он не является, например, банком или крупным провайдером, приводит к небольшим штрафам.

Тем не менее не стоит пренебрегать рекомендациями и требованиями ФСТЭК по защите информации, утечка персональных данных и иных сведений из-за беспечности может привести к крупным убыткам.

05.12.2019

Теги

Информационная безопасностьзащиты информации соответствуетзащиты информации созданаконфиденциальной информации строгозащиты информации.защищенных информационных технологийименно информация будетиной информационной системе.Государственные информационные системыКритическая информационная инфраструктурасредство защиты информациисредств защиты информации Защиту конфиденциальнойсредства защиты информации.классом защиты.средствам защиты информации.Техническая защита информацииТехническая защита информацииТехническая защита информациичто средство защитыдля средств защитыэффективные средства защитыи средств ихсертификацией средств защитысертификации средств защитык средствам защитык средствам защитыденежных средств илисертификации средств защитыи соответствие требованиям соответствие требованияминформации соответствует требованиямдолжны соответствовать следующим