Описание
Частые вопросы и ответы

Частые вопросы и ответы

14 из 14

Каким образом осуществляется сертификация ФСТЭК, и кто участвует в процессе?

В Российской Федерации существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.). 

Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

  • Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными, ознакомление с ними предполагает наличие специальных допусков.
  • Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте.

Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК. 

Основным документом, регламентирующим проведение сертификации, является Приказ ФСТЭК России № 55. Он определяет состав участников, организацию и порядок сертификации, а также перечень изделий, подлежащих сертификации. 

В системе сертификации участвуют:

  • Федеральный орган по сертификации (ФСТЭК России) – организует проведение сертификации, разрабатывает и устанавливает требования по безопасности информации к средствам защиты информации;
  • Орган по сертификации – осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации по требованиям безопасности информации;
  • Испытательная лаборатория – проводит сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы;
  • Заявители - непосредственно работают с испытательными лабораториями и экспертными организациями. Они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов. В настоящее время заявителем на программные продукты «1С-Битрикс24» и «1С-Битрикс: Управление сайтом» является компания СИС (ООО «СИС груп»).
Что такое ФСТЭК России и каковы его функции?

ФСТЭК России, или Федеральная служба по техническому и экспортному контролю, — это государственный орган, отвечающий за безопасность в области технического и экспортного контроля. Основные задачи ФСТЭК включают:

  • разработку и реализацию политики защиты информации;
  • контроль за соблюдением экспортного законодательства;
  • лицензирование деятельности, связанной с государственной тайной.

Основанная в 1992 году, ФСТЭК контролирует информацию, технологии и товары двойного назначения, используемые в военной и гражданской сферах. Она подчиняется Министерству обороны РФ и управляется Президентом РФ. ФСТЭК также:

  • защищает данные в информационных системах и телекоммуникациях;
  • обеспечивает сохранность государственной тайны и конфиденциальной информации;
  • противостоит техническим разведкам других стран;
  • контролирует экспорт товаров двойного назначения.
Что такое сертифицированный продукт?

Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений. 

Каждый экземпляр сертифицированного продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов. 

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Можно ли аттестовать продукты 1С-Битрикс?

Продукты 1С-Битрикс – это компоненты информационной системы, они не подлежат аттестации. Аттестацию проходит информационная система, построенная на базе продуктов 1С-Битрикс. В свою очередь продукты 1С-Битрикс проходят сертификацию.

Чем отличается информационная система от программы?

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ). 

Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»). 

Таким образом, информационная система охватывает базы данных, а также технические устройства, такие как компьютеры, серверы и коммуникационное оборудование, на которых эти базы данных размещены. Кроме того, она включает программы, которые обрабатывают содержащуюся в базах данных информацию. Программа или программное обеспечение представляет собой лишь одну из многих составляющих, формирующих всю информационную систему.

Мы видели запись в реестре ФСТЭК России. Значит ли это, что мы используем сертифицированную версию продукта?

Нет. Если вы установили дистрибутив продукта, полученный не из состава пакета сертификации, вы используете несертифицированную версию продукта. 

Сертификацию проходит конкретная версия дистрибутива, которая предоставляется вместе с пакетом сертификации. Использование дистрибутивов, полученных из других источников, недопустимо. 

Для использования сертифицированной версии продукта необходимо:

  1. Приобрести актуальную лицензию уровня «Энтерпрайз» на соответствующий продукт
  2. Приобрести пакет сертификации;

Перед установкой продукта необходимо провести сверку контрольных сумм дистрибутива. Описание методологии по определению контрольных сумм доступно в документе «Технические условия» из состава пакета сертификации.

Мы используем сертифицированный продукт. Как нам получить сертификат?

Если вы используете сертифицированную версию продукта, вам был предоставлен пакет сертификации, в комплекте которого предоставляется дистрибутив продукта и документация, в том числе заверенная копия сертификата.

Если у вас нет пакета сертификации, а дистрибутив вы получили из открытых источников, вы используете несертифицированную версию.
Что необходимо для получения сертифицированной версии?

Мы используем сертифицированный продукт. Зачем нам использовать дополнительные сертифицированные средства защиты информации?

Для обеспечения безопасности информационной системы, сертифицированные средства защиты информации должны применяться на всех уровнях:

  • на прикладном уровне: продукты 1С-Битрикс, веб-антивирусы, проактивные фильтры и другие СЗИ, которые могут потребоваться в зависимости от модели угроз на информационную систему.
  • на системном уровне: Операционные системы, Системы управления базами данных.
Облачная версия Битрикс24 сертифицирована по ФСТЭК?

Нет, облачная версия Битрикс24 не проходила сертификацию ФСТЭК. Сертификацию ФСТЭК применима только к коробочной версии Битрикс24.

Чем отличается аттестация от сертификации?

Аттестацию проходит информационная система. Сертификацию – изделие (программное обеспечение), которое является одним из компонентов информационной системы. 

Процедура аттестации представляет собой комплексную проверку всех компонентов информационной системы: проверяются помещения, оборудование, физическая защита, программное обеспечение и его безопасность, а также компетентность персонала и другие аспекты. 

Основным документом, регулирующим процедуру аттестации ФСТЭК, является Приказ ФСТЭК России от 29.04.2021 г. № 77, который устанавливает порядок.

Если нужно убедиться, что программное обеспечение соответствует требованиям ФСТЭК России, потребуется пройти сертификацию. Можно также сертифицировать комплексы, состоящие из программ и оборудования, или средства защиты. Обычно проверяют именно программное обеспечение. 

Основной документ, который регулирует сертификацию — «Положение о системе сертификации средств защиты информации», утвержденное Приказом ФСТЭК России от 03.04.2018 г. № 55.

Где посмотреть список сертифицированного программного обеспечения?

Реестр ФСТЭК — это инструмент для проверки подлинности сертификатов, лицензий и аккредитаций в области информационной безопасности. Отсутствие информации в реестре может означать поддельность документа. В таких случаях стоит обратиться к органу, выдавшему сертификат. Реестр ФСТЭК — официальный источник для проверки.

Какие нормативные документы регламентируют использование сертифицированных средств защиты информации?
  • Приказ ФСТЭК России от 2 июня 2020 г. № 76, Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
  • Приказ ФСТЭК России от 3 апреля 2018 г. № 55. Об утверждении положения о системе сертификации средств защиты информации.
  • ГОСТ Р 56939–2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
  • Федеральный закон от 27 июля 2006 г. «О персональных данных» № 152-ФЗ.
  • Постановление Правительства от 01 ноября 2012 г. № 1119.
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
  • Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
  • Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».
  • Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
  • Методический документ ФСТЭК России от 11 февраля 2014 г. Меры защиты информации в государственных информационных системах.
Что такое уровни доверия, уровень контроля и класс решения? Чем они отличаются?

Классы сертифицированных решений, уровни доверия и уровни контроля описаны в документе «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденном Приказом ФСТЭК России №76 от 02.06.2020 г. 

В данном документе определены 6 уровней доверия к Средствам защиты информации (СЗИ) и Средства обеспечения безопасности информационных технологий (СОБИТ), которые характеризуют безопасность их применения для обработки и защиты информации ограниченного доступа и для обеспечения безопасности значимых объектов КИИ РФ. 

Самый низкий уровень доверия - шестой, самый высокий - первый, при этом они дифференцированы следующим образом:

  • СЗИ и СОБИТ, соответствующие 6 уровню доверия, можно использовать на ЗОКИИ с 3 категорией значимости, в ГИС с 3 классом защищенности, в АСУТП с 3 классом защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности ПДн;
  • СЗИ и СОБИТ, соответствующие 5 уровню доверия, можно использовать на ЗОКИИ с 2 категорией значимости, в ГИС с 2 классом защищенности, в АСУТП с 2 классом защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;
  • СЗИ и СОБИТ, соответствующие 4 уровню доверия, можно использовать на ЗОКИИ с 1 категорией значимости, в ГИС с 1 классом защищенности, в АСУТП с 1 классом защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса;
  • СЗИ и СОБИТ, соответствующие 1, 2, 3 уровням доверия, применяются в информационных системах, обрабатывающих государственную тайну.

В Приказе ФСТЭК России №76 также установлено соответствие между классами СЗИ и СВТ (средств вычислительной техники) и уровнями доверия:

  • СЗИ 6 класса должны соответствовать 6 уровню доверия,
  • СЗИ 5 класса - 5 уровню доверия,
  • СЗИ 4 класса и СВТ 5 класса - 4 уровню доверия.

К работам по поиску уязвимостей и недекларированных возможностей в СЗИ и СОБИТ предъявляются дополнительные требования по уровням контроля:

  • Испытания решений, соответствующих 6 уровню доверия, должны проводиться по 6 уровню контроля, включая проверку аппаратных платформ решений на наличие микросхем, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз;
  • Испытания решений, соответствующих 5 уровню доверия, должны проводиться по 5 уровню контроля, включая дополнительную к 6 уровню проверку корректности структурной и функциональной схем аппаратной платформы, а также проверку корректности данных из формуляра на решение;
  • Испытания решений, соответствующих 4 уровню доверия, должны проводиться по 4 уровню контроля, включая дополнительную к 5 уровню проверку компонентов аппаратной платформы на соответствие структурной и функциональной схемам, а также проверку потенциально опасных аппаратных компонентов, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз.
Какие испытания проводят при сертификации ФСТЭК по 4 уровню доверия?

Проводится ряд сертификационных испытаний, включая:

  • Функциональное тестирование

    Проверка функций безопасности на соответствие требованиям технических условий

  • Статический анализ

    Проверка файлов исходных текстов с использованием статического анализатора

  • Динамический анализ

    Модульное тестирование с контролем покрытия файлов исходного текста

  • Фаззинг-тестирование

    Фаззинг тестирование функций безопасности с контролем покрытия файлов исходного текста

  • Пентест

    Тестирование на проникновение
Как происходит аттестация?

Процесс аттестации ИС регламентирован Приказом ФСТЭК России от 29.04.2021 г. № 77. Основные моменты:

  1. Предварительная подготовка. Специалисты органа по аттестации проводят анализ ГИС, оценивают категорию данных и технические средства, анализируют риски утечек и взломов;
  2. Проектирование и внедрение системы защиты. Эксперты разрабатывают план аттестации, определяют ресурсы и сроки проверки, устанавливают и настраивают средства защиты данных;
  3. Испытания и техническая экспертиза. С помощью ПО и специализированного оборудования специалисты моделируют разные атаки на систему и оценивают ее устойчивость к ним. Результаты технической экспертизы сопоставляют с установленными стандартами безопасности. В случае несоответствия разрабатывают план доработок и улучшений;
  4. Документация результатов. На каждом этапе оформляют отчетные документы с учетом ГОСТов;
  5. Заключение и сертификация. Если информационная система успешно прошла все этапы аттестации и соответствует установленным стандартам, выдается сертификат. Этот документ подтверждает, что ГИС имеет необходимый уровень безопасности и готова к эксплуатации.
Кому и зачем нужна аттестация?

Наличие аттестата соответствия требованиям по защите информации сразу снимает практически все вопросы к объекту проверки со стороны регулятора (ФСТЭК России, ФСБ России, Роскомнадзор). 

На текущий момент следует аттестовать:

  • государственные информационные системы (прямое требование Приказа ФСТЭК России от 11.02.2013 № 17);
  • рабочие места и переговорные комнаты специалистов по защите информации лицензиатов ФСТЭК России, ФСБ России (для снятия вопросов об уровне их защищённости со стороны регуляторов);
  • объекты КИИ (для снятия вопросов об уровне их защищённости со стороны регуляторов);
  • информационные системы персональных данных (в качестве подстраховки для снижения суммы штрафа на случай возможной утечки);
  • рабочие места специалистов, оказывающих услуги государственным органам и бюджетным учреждениям, обрабатывающим их информацию.



Предыдущий

Следующий