Для получения сертификата на техническое средство защиты информации заявитель должен иметь

Аттестация средств защиты информации – комплекс мер, направленных на подтверждение соответствия средств защиты нормам. Чаще такую процедуру называют сертификацией. К средствам защиты информации (СЗИ) относятся программные, технические, программно-технические средства, предназначенные для защиты информации.

Что такое сертификация ФСТЭК?

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

  • Защиту конфиденциальной информации строго определенного уровня.
  • Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
  • Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

  • Государственные информационные системы (ГИС).
  • Автоматизированные системы управления технологическим процессом (АСУ ТП).
  • Персональные данные (ЗПДн).
  • Критическая информационная инфраструктура (КИИ).
  • Государственная тайна (ЗГТ).
  • Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

  • Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
  • У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

  • Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
  • Они не имеют отношения к средствам защиты информации.
  • Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

  • Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
  • Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

  • В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
  • У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

Сертификация средств защиты информации

Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

В заявке указываются:

  • наименования заявителя
  • адрес заявителя
  • наименование продукции, которую Заявитель хочет сертифицировать
  • перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.
  • схема сертификации (единичный образец продукции или серийное производство)
  • испытательная лаборатория, в которой Заявитель хотел бы провести испытания
  • дополнительные условия или требования

Заявитель указывает в заявке, что он обязуется:

  • выполнять все условия сертификации;
  • обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
  • оплатить все расходы по проведению сертификации.

Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!

ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

  • наименование Заявителя, адрес Заявителя;
  • наименование сертифицируемой продукции, код ОКП, ТУ;
  • схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);
  • назначенная испытательная лаборатория и ее адрес;
  • перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;
  • испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;
  • орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;
  • способ оплаты работ.

В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному «перезапуску», что повлияет на стоимость и сроки проведения работ.

Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии – Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке 5.3.

Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.

Читать также:  Сколько действует сертификат цт в беларуси 2021

Сертификат соответствия ФСТЭК

Чтобы получить дополнительную информацию позвоните +7 (495) 502 87 70 или отправьте сообщение:

Лицензия ФСТЭК России – основной документ, необходимый каждой организации, занимающейся защитой информации. Получить такую лицензию можно только после того как будет собран определенный пакет документов. Что бы уменьшить издержки и затраты, необходимо знать, что именно для этого нужно.

Полный алгоритм лицензирования прописан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В нём конкретно разъяснено, как оформить необходимые документы для подачи и получения заключения ФСТЭК.

Сроки и процесс получения лицензии ФСТЭК

Для получения сертификата на техническое средство защиты информации заявитель должен иметь

На первый взгляд все очень просто. В первую очередь подается заявление, соответствующее требованиям Постановления № 79. После этого орган выдающий лицензию рассматривает данное заявление и выявляет ошибки или недостающие документы. При наличии ошибок или нехватки документов дается срок (30 дней) на исправление и сбор необходимых бумаг. Далее лицензирующие органы проверяют дополняющие документы. Данная проверка осуществляется в течение пяти дней. Если весь пакет документации соответствует требованиям, то лицензирующий орган за 45 дней обязан выдать разрешение, либо отказать.

На практике процесс сложнее. Выдачей лицензии занимается только один орган, находящийся в Москве. Однако желающих получить сертификат соответствия ФСТЭК России становится все больше и больше, поэтому за короткое время добиться его выдачи не получится. Организации, получающие лицензию в первый раз, обязаны приложить устав организации и документ, в котором указан руководитель данной организации.

В процессе получения лицензии возникают три наиболее часто встречающиеся проблемы:

  • Закупка оборудования. Организация должна иметь в своем распоряжении оборудование, которое в свою очередь стоит немалых денег. Кроме того, оборудование должно проходить сертификацию каждый год, что может помешать во время подать заявление.
  • Арендная документация. Если помещение арендуется, то организация должна предоставить весь пакет документов, подтверждающий арендные отношения.
  • Отсутствие кадровых проблем. Все сотрудники должны иметь диплом о высшем образовании в данной сфере.

Правила и стоимость получения заключения ФСТЭК

Что бы получить положительное заключение ФСТЭК необходимо соблюдать некоторые правила. Во-первых, лучше иметь оборудование в собственности, во-вторых, обновлять документацию, исходя из законодательной базы, в-третьих, своевременно проходить аттестацию помещений, в-четвёртых, регулярно модернизировать оборудование, приборы и программное обеспечение.

Кроме того, организация, получившая сертификат ФСТЭК подлежит плановой проверке через три года. Возможны и внеплановые проверки. Таким образом, проверяется соответствие заявленных данных и реально существующих. Стоимость получения лицензии составляет 7,5 тысяч, а его продление 3,5 тысячи рублей. Существуют организации, которые оказывают специализированные услуги в подготовке и подачи всего пакета бумаг в лицензирующий орган.

141402, М.О., г. Химки, Вашутинское ш., д.20, корп.1

Телефон/факс: +7 (495) 790-47-10 , Складское хранение и обработка грузов +7 (495) 502-87-70 Услуги СВХ и таможенное оформление

Сертификация в области информационной безопасности в Российской Федерации разделена на два крупных блока. Один из них — обеспечение защиты информации с применением криптографических методов: это сфера ответственности ФСБ. Оценкой эффективности защитных методов некриптографического характера занимается Федеральная служба по техническому и экспортному контролю — ФСТЭК. Наш сертификационный орган является аккредитованным центром по сертификации ФСТЭК. Мы имеем право проведения испытаний и предоставления документации, подтверждающей эффективность используемых методов защиты информации. Предоставление сертификатов осуществляется после проведения всех предусмотренных законом проверок нашими опытными экспертами.

Аттестат аккредитации Органа по сертификации.

«НТЦ Сертэк», входящий в группу компаний «Сертэк», аккредитован Федеральной службой по аккредитации и имеет разрешение выдавать сертификат соответствия Техническим Регламентам Таможенного Союза.

Процедура сертификации ФСТЭК

Процедура сертификации ФСТЭК России состоит из нескольких этапов:

  • заявитель обращается в ФСТЭК с заявкой, в которой он фиксирует намерение пройти сертификацию. В документе нужно указать испытательный орган, в котором он собирается пройти испытания, и сертификационный центр для оценки их результатов;
  • ФСТЭК согласует заявку и направляет решение в адрес заявителя, испытательного органа и сертификационного центра;
  • лаборатория осуществляет испытания продукта по методике, соответствующей его типу и параметрам. Итоги испытаний фиксируются в виде протоколов установленной формы;
  • сертификационный орган осуществляет экспертизу итогов проведенных испытаний. По результатам работ формируется экспертное заключение, техническая и иная сопроводительная документация;
  • пакет документов направляется в ФСТЭК для принятия окончательного решения по предоставлению сертификата;
  • ФСТЭК анализирует полученную документацию и выдает сертификационный документ.

Получение сертификата на ФСТЭК

Роль службы по экспортному и техническому контролю заключается в регулировании порядка сертификации ФСТЭК. Принимаемое решение о предоставлении сертификата во многом зависит от результатов проведенных испытаний и их анализа. В составе нашего сертификационного органа имеется собственная испытательная лаборатория и штат квалифицированных экспертов. Это позволяет пройти процедуру сертификации ФСТЭК в режиме одного окна. Обратившись в нашу организацию, Вы получите возможность пройти все необходимые этапы оценки качества Вашего продукта в короткие сроки. Вам останется только дождаться положительного решения ФСТЭК.

В настоящий момент актуальной является проблема защиты персональных данных. С ней сталкиваются как государственные учреждения, так и частные компании. Гарантировать функциональность и надежность IT-программ, отвечающих за сохранность сведений, можно с помощью сертификации средств защиты информации (СЗИ). Поэтому оценка соответствия пользуется большой популярностью во всем мире.

Виды СЗИ

Выделяют несколько категорий IT-продуктов:

  • технические — маскируют и перекрывают каналы утечки данных;
  • программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;
  • смешанные — объединяют в себе характеристики вышеперечисленных категорий;
  • организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

Нормативная база

В отношении оценки соответствия СЗИ действуют несколько нормативно-правовых актов:

  • Закон РФ №5485-1 “О государственной тайне” от 21.07.93 г.;
  • Федеральный закон №184-ФЗ “О техническом регулировании” от 27.12.02 г.;
  • ПП РФ №608 “О сертификации СЗИ” от 26.06.95 г.;
  • Положение о системе сертификации СЗИ, утвержденное приказом ФСТЭК России от 3.04.18 г. №55.

Необходимость обязательной оценки соответствия

Сертификацию в обязательном порядке должны проводить разработчики следующих программных продуктов:

  • технические, криптографические, программные и другие средства, которые осуществляют противодействие зарубежным разведкам;
  • программы, в которых применяются вышеназванные IT-продукты;
  • программы контроля эффективности технической защиты данных.

Отказ от оформления разрешительной документации грозит административной ответственностью, которая выражается в значительных штрафах и конфискации нелегальной продукции.

Система сертификации ФСТЭК

Основными участниками оценки соответствия средств защиты данных выступают:

  • уполномоченные органы и испытательные лаборатории, имеющие соответствующую аккредитацию;
  • компании-изготовители СЗИ;
  • Росаккредитация.

Для каждого участника предусмотрены определенные функции. Например, производители средств защиты данных обязаны руководствоваться установленными правилами изготовления программных продуктов. Предприятия, выпускающие СЗИ для сведений, составляющих государственную тайну или имеющих ограниченный доступ, должны получить лицензию ФСТЭК на ведение деятельности.

Заявителями могут быть как предприятия-изготовители, так и органы управления всех уровней.

Применяемые схемы

Выбор определенной схемы зависит от формы выпуска СЗИ:

  • для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;
  • для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;
  • для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.

Срок действия выданного сертификата не может превышать пять лет. Далее законом предусмотрена возможность подачи заявки на продление срока законной силы документа.

Внешний вид документа

Отличает сертификат специальная голограмма, которая обеспечивает надежную защиту от подделок.

В документе представлена важная информация:

  • реквизиты, адрес и контакты заявителя;
  • название и область применения товара, нормативы изготовления;
  • протоколы лабораторных исследований;
  • сведения о специализированной лаборатории;
  • отметки об инспекционном контроле и маркировке;
  • регистрационный номер;
  • дата регистрации и срок действия;
  • подпись руководителя подразделения ФСТЭК и печать.

Добровольное оформление сертификационной документации

Если предприятие выпускает СЗИ, не связанные с охраной государственной тайны, есть возможность оформить сертификат соответствия в добровольном порядке. Это повысит конкурентоспособность товара и привлечет массу новых покупателей.

Документальное подтверждение качества увеличит инвестиционную привлекательность фирмы и позволит заключать выгодные контракты с требовательными заказчиками.

Уровни доверия СЗИ

В марте 2019 г. было опубликовано Информационное сообщение ФСТЭК России № 240/24/1525. Документ устанавливает уровни доверия средств технической защиты информации. Всего насчитывается шесть позиций: 1-й (самый высокий), а 6-й (самый низкий).

Нововведение актуально для разработчиков и изготовителей IT-продуктов, заявителей на проведение оценки соответствия, а также для испытательных центров и уполномоченных органов. Выполнение требований к уровню доверия обязательно при сертификации:

Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.

Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.

Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).

Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.

Читать также:  Доступ в единую информационную систему запрещен предъявленный вами сертификат не закреплен

Перечень продукции, подлежащей сертификации ФСТЭК

Федеральная служба по техническому и экспортному контролю предусматривает необходимость оценки качества для средств противодействия иностранным разведкам, устройств для защиты государственной тайны и обеспечения безопасности информационных технологий. Это могут быть отечественные и импортные IT-продукты.

Речь идет о следующих типах продукции:

  • программные и программно-технические средства защиты информации от нарушения целостности;
  • программные средства, которые разграничивают доступ к данным, контролируют единство инфо-данных, уничтожают остатки данных на информационных носителях, имитируют работу ОС или блокируют ее при необходимости;
  • защитные программы, встроенные в ОС;
  • средства, цель которых предотвратить незаконное копирование данных;
  • операционные системы;
  • экраны для межсетевого доступа;
  • средства доступа к виртуальным локальным сетям;
  • системы контроля эффективности;
  • системы, которые используют защищенные методы обработки данных.

Это лишь часть товаров, которые подлежат обязательной проверке в рамках требований ФСТЭК. Точный перечень средств, на которые потребуется получить сертификат СЗИ, уточните у специалистов центра «Рос-Тест».

Схемы сертификации

Пройти оценку можно в соответствии с требованиями, установленными законодательно. Наиболее актуальными для предпринимателей являются такие схемы:

  • оценка качества единичного оборудования;
  • проверка партии изделий (в случае, если речь идет об ограниченном тираже копий);
  • сертификация серийного выпуска.

Какую именно выбрать схему, зависит от типа производства и конкретной ситуации.

Участники системы оценки

Основными звеньями осуществления контроля продукции являются:

  • федеральный орган (Росаккредитация);
  • аккредитованные органы (центры), наделенные специальными полномочиями;
  • испытательные лаборатории;
  • изготовители (поставщики) товара.

Право на проведение проверки СЗИ имеют только аккредитованные органы. Аккредитация выдается при наличии у них лицензии на соответствующие виды деятельности.

Добровольный сертификат

На сегодняшний день предприниматели обладают широким спектром возможностей в плане продвижения своего бизнеса. Актуально оформление сертификатов для получения дополнительных преимуществ. Так, заказать документ можно для подтверждения соответствия ГОСТ (на продукцию), ИСО (на систему менеджмента качества). Проверка СМК может быть осуществлена в рамках системы «Промтехсертификация», которая имеет официальную аккредитацию Росстандарта и высоко ценится в России.

Наличие добровольного документа способно принести следующие преимущества:

  • выход на новые рынки (если речь идет о международном сертификате ISO, то это поможет выйти на иностранный рынок);
  • увеличение интереса со стороны потенциальных партнеров по бизнесу;
  • укрепление имиджа;
  • привлечение средств на развитие проекта, улучшение инвестиционных показателей;
  • более простое прохождение надзорных экспертиз;
  • формирование доверительного отношения к компании;
  • возможность применять знаки соответствия в сопроводительной документации, в рекламе, на упаковке программных продуктов;
  • рост продаж, повышение рентабельности и многое другое.

Важно! Наличие добровольного документа не избавляет от необходимости проводить обязательную оценку качества, а служит лишь инструментом для продвижения.

Пакет документов для подачи в центр «Рос-Тест»

Чтобы пройти оценку соответствия ГОСТ Р, ИСО или ФСТЭК, потребуется предоставить специалистам «Рос-Тест» полный пакет документов для проверки.

В него необходимо включить:

  • перечень продукции, которая будет проходить проверку (номера партии, артикулы, другая информация);
  • идентификационный налоговый номер, основной государственный регистрационный номер, учредительные и уставные документы, юридический и фактический адреса компании-заявителя;
  • техническую документацию, которая используется на предприятии – технологические регламенты и инструкции, стандарт организации, документацию ИСО, технические условия;
  • ранее выданные сертификаты (ТР ТС, иностранные, завершившие действие);
  • документы, указывающие на законность владения производственными площадями (договор аренды, свидетельство о собственности);
  • контракт на поставку, сведения об изготовителе, сопроводительные транспортные документы (если осуществляется поставка оборудования).

Если документы предоставляются на другом языке, следует выполнить их перевод на русский. В некоторых случаях предоставляется возможность подать документы в электронном порядке.

Этапы сертификации

Чтобы стать обладателем подтверждающего документа, предприниматель должен пройти все предусмотренные в этом случае проверки. Как правило, алгоритм действий следующий:

  • подача заявки в центр «Рос-Тест», оказание консультационных услуг: идентификация товара, определение необходимости проведения оценки качества, выбор схемы;
  • подготовка комплекта документации – на этой стадии наши сотрудники помогут вам разработать техдокументацию, если это понадобится;
  • после этого осуществляются лабораторные испытания – провести их можно только в аккредитованной лаборатории, по результатам она должна выдать протоколы (они также направляются в аккредитованный орган на проверку);
  • если того требует схема, то также осуществляются производственные экспертизы. Для этого на объект выезжают эксперты, оценивают соответствие производства установленным требованиям;
  • по факту контрольных мероприятий выдается разрешительный документ, ему присваивают идентификационный номер, сведения о нем вносятся в специальный реестр.

За более подробной информацией об оценке соответствия СЗИ обращайтесь в центр «Рос-Тест». Просто позвоните по телефону 8 (800) 100-20-85 или оставьте сообщение в форме обратной связи. Наши сотрудники проведут для вас бесплатную консультацию и помогут в оформлении сертификата.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Что предлагаем мы?

Мы поможем вам получить любую из указанных лицензий с гарантией результата.
Наш опыт позволяет об этом говорить (смотрите благодарственные отзывы от наших клиентов). Помимо слов мы даем гарантию в договоре.

В первую очередь мы специализируемся на помощи в получении лицензий под ключ, но отдельные виды подготовки также обсуждаются.

Для оказания помощи под ключ мы имеем собственные ресурсы:

  • базу специалистов (более 200 специалистов по всей России) – чтобы подобрать вам кадры;
  • налаженные связи с поставщиками необходимого оборудования – чтобы продать вам оборудование;
  • лицензию ФСТЭК – чтобы аттестовать вам компьютер и помещение;
  • и др.

Все работы мы проводим полностью самостоятельно, без привлечения внешних подрядчиков. Работы проводятся за фиксированные стоимость и срок в рамках одного договора.

Стоимость подготовки к получению лицензии соответствует стоимости, указанной в настоящей статье, но конечно, после диалога с заказчиком и обсуждения его ситуации могут быть изменения в ценах.

Не убедили? Посмотрите раздел «ОТЗЫВЫ КЛИЕНТОВ».

Вы можете узнать стоимость работ по подготовке к получению лицензии ФСТЭК по телефону: 8(800)-550-44-71

Лицензия ФСТЭК СЗКИ

Данная лицензия необходима всем разработчикам программного обеспечения (ПО) с функциями защиты информации и другим компаниям, осуществляющим разработку и(или) производство ПО.

Что понимается под функциями защиты информации?

Чтобы ПО считалось защищенным и, соответственно, требовалась лицензия ФСТЭК СЗКИ, в программном обеспечении должна быть реализована хотя бы одна классическая функция защиты информации:

  • разграничения доступа субъектов доступа к объектам доступа (ролевая, дискреционная или мандатная система доступа);
  • регистрация событий безопасности (вход/выход в систему, обращение к объектам доступа).

Что понимается под производством ПО?

Представьте себе завод по производству йогуртов. Кто-то придумал рецепт йогурта, а кто-то его заливает в баночки. Так, и разработчиком и производителем ПО могут быть две разные организации. Одна организация разрабатывает ПО, а вторая его производит.

Под производством понимается запись на носители информации эталонного образца ПО (утвержденного разработчиком как эталонный) и формирование комплекта поставки ПО. На оба указанных выше вида деятельности по разработке и производству ПО необходимо получить лицензии ФСТЭК СЗКИ.

Как правило, комплектность ПО для поставки (продажи) клиентам следующая:

  • дистрибутив ПО (носитель информации с инсталлятором ПО);
  • лицензионное соглашение (лицензия от правообладателя).

Для сертифицированного во ФСТЭК ПО добавляется:

  • формуляр с голограммой ФСТЭК России (паспорт программы с вклеенным в него специальным защитным знаком ФСТЭК);
  • копия сертификата, заверенная заявителем на сертификацию продукции (тем, кто указан в сертификате как «заявитель»).

Лицензия ФСТЭК СЗКИ необходима (должна быть у изготовителя ПО) для инициирования процедуры сертификации ПО в ФСБ и(или) ФСТЭК России (пункт 9 и пункт 20 «Положения о системе сертификации средств защиты информации», утв. Приказом ФСТЭК № 55 от 3 апреля 2018 года).

Лицензия ФСТЭК на СЗКИ получается в соответствии с Постановлением Правительства №171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».

5) Лицензия ФСТЭК ПД ИТР

Эта лицензия необходима для защиты/оценки защищенности предприятия от иностранных технических разведок. Либо предприятие само получает указанную лицензию и самостоятельно проводит соответствующие работы, либо нанимает организацию с такой лицензией.

Данная лицензия делится на два типа:

  • Для собственных нужд («на мероприятия»).
  • Для оказания услуг (для оказания услуг другим организациям).

Получается лицензия в соответствии со следующими нормативно-правовыми актами:

О стоимости данной лицензии читайте ниже.

Порядок проведения сертификации СЗИ

Правила осуществления аттестации СЗИ содержатся в «Положении о сертификации средств защиты информации» №55 от 03.04.2018 г.

В процессе участвуют предприятие, аккредитованное ФСТЭК как орган по сертификации, и предприятие, аккредитованное ФСТЭК как испытательная лаборатория.

Перед проведением аттестации необходимо определить тип СЗИ и требования, приготовить документацию на СЗИ. Затем нужно выбрать орган по сертификации и согласовать с ним предстоящую процедуру.

Сама сертификация осуществляется в следующем порядке:

  • Подача заявки в ФСТЭК. В заявке указывается название СЗИ, его назначение и тип, ФИО руководителя, ФИО ответственного за сертификацию, наименование и адрес разработчика СЗИ и реквизиты его лицензии, название привлеченной лаборатории. Также нужно перечислить документы, которые диктуют нормы для этого СЗИ. Заявку подписывает руководитель фирмы и руководитель лаборатории. ФСТЭК рассматривает обращение в течение 30 дней. В случае недостаточности исходных данных заявку возвращают на доработку.
  • Сертификационные испытания. Заявитель предоставляет в оба ответственных органа задание по безопасности, паспорт СЗИ и другую имеющуюся документацию на СЗИ. В течение 45 дней происходит предварительное ознакомление с СЗИ и документацией. Если обнаружены нарушения, заявитель должен устранить их в сроки, указанные в договоре. Иначе в выдаче сертификата будет отказано. Далее разрабатывается программа сертификационных испытаний. В ней указываются сроки, методы и средства для испытаний. После согласования с заявителем программу в течение 30 дней должен утвердить орган по сертификации. При обнаружении нарушений лаборатория устраняет их за 10 дней. После отбора образца начинаются сертификационные испытания. Они включают в себя оценку соответствия характеристик СЗИ требованиям информационной безопасности и проверку технической поддержки СЗИ.
  • По результатам испытаний оформляются протоколы и заключение, в котором указываются недочеты. Заявитель должен их устранить, после чего проводятся повторные испытания. Все документы, разработанные во время процедуры, направляются в орган по сертификации.
Читать также:  Урок цифры скачать сертификат без прохождения

Срок действия сертификата составляет максимум 5 лет. Для продления действия аттестата нужно пройти всю процедуру с начала.

После получения сертификата необходимо маркировать СЗИ знаками соответствия. Они выдаются ФСТЭК вместе с аттестатом. Если деятельность предприятия прекращается, знаки нужно вернуть в ФСТЭК.

В ряде случаев может понадобиться переоформление сертификата:

  • реорганизация предприятия,
  • смена названия,
  • смена адреса,
  • изменения в СЗИ.

Если произошли такие перемены, нужно направить заявление в ФСТЭК. При изменениях в СЗИ проводятся дополнительные испытания.

При выявлении нарушений в работе с сертифицированными СЗИ действие сертификата приостанавливается на срок до 90 дней. На это время прекращается деятельность предприятия и устраняются недочеты. В противном случае сертификат аннулируется.

Виды лицензий ФСТЭК

Начнем с того, что лицензий ФСТЭК несколько.
Существует два вида лицензий в области защиты конфиденциальной информации:

И три вида лицензий в области защиты государственной тайны:

А теперь давайте кратко разберем каждую из лицензий.

Стоимость лицензий ФСТЭК России

Стоимость госпошлины за получение одной лицензии составляет всего 7500 руб.
А вот стоимость подготовки к получению лицензии значительно выше и зависит от готовности соискателя лицензии, т.е. зависит от того, что у него уже есть.

Стандартными требованиями для любой лицензии ФСТЭК являются:

  • Наличие квалифицированного персонала со стажем и образованием в области лицензируемого вида деятельности.
  • Наличие нормативно-методической документации (литература ДСП) ФСТЭК России.
  • Наличие специального оборудования (программного обеспечения, средств контроля защищенности и контрольно-измерительного оборудования).
  • Наличие аттестованных объектов информатизации для осуществления лицензируемого вида деятельности.

Соответственно, в зависимости от того, что у соискателя лицензии уже есть (готово), и зависит итоговая стоимость подготовки.

На рынке лицензирования цены следующие:

  • Подбор кадров — около 100 т.р. за одного человека (нужно минимум три).
  • Литература ДСП — около 20 т.р..
  • Оборудование — зависит от вида лицензии и составляет от 60 т.р. до 20 млн..
  • Аттестованные объекты информатизации — около 250 т.р..
  • Консультационные услуги — около 150 т.р..
  • Подготовка пакета документов — около 100 т.р.

Итого стоимость одной лицензии ФСТЭК составляет от 887,5 т.р. до нескольких миллионов в зависимости от типа конкретной лицензии и лицензионных видов работ.

Ориентировочная стоимость лицензий ФСТЭК России следующая:

  • Лицензия ФСТЭК ТЗКИ — от 887,5 т.р.
  • Лицензия ФСТЭК СЗКИ — от 1,6 млн.
  • Лицензия ФСТЭК ТЗИ ГТ — от 2 млн.
  • Лицензия ФСТЭК СЗИ ГТ — от 2 млн.
  • Лицензия ФСТЭК ПД ИТР — от 2 млн.

Лицензия ФСТЭК ТЗКИ

Данная лицензия необходима всем ИТ- и другим компаниям, осуществляющим:

  • Проектирование защищенных информационных (компьютерных) систем с функциями (подсистемами) защиты информации:
    защита от несанкционированного доступа;антивирусная защита;межсетевое экранирование (firewall);обнаружение вторжений (IPS/IDS);резервное копирование и восстановление данных (backup);и др.
  • защита от несанкционированного доступа;
  • антивирусная защита;
  • межсетевое экранирование (firewall);
  • обнаружение вторжений (IPS/IDS);
  • резервное копирование и восстановление данных (backup);
  • и др.
  • Установку и настройку средств защиты информации (см. выше типовой перечень) и любого другого программного обеспечения с функциями защиты информации (типовой перечень функций защиты ПО смотрите выше).
  • Контроль защищенности (тестирование функций защиты) и оценку соответствия (аттестацию) информационных (компьютерных) систем требованиям по безопасности информации.

Лицензия ФСТЭК на ТЗКИ получается в соответствии с Постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

3) Лицензия ФСТЭК ТЗИ ГТ

Эта лицензия необходима тем, кто оказывает услуги по защите информации, составляющей государственную тайну.
По факту это такая же лицензия, как ФСТЭК ТЗКИ (относительно видов деятельности), только в области защиты государственной тайны.

Соответственно, все те же самые виды деятельности являются лицензируемыми:

  • проектирование защищенных информационных (компьютерных) систем;
  • установка и настройка средств защиты информации;
  • контроль защищенности и оценка соответствия (аттестация) требованиям безопасности информации.

Лицензия ФСТЭК на ТЗИ ГТ получается в соответствии с постановлением Правительства 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

4) Лицензия ФСТЭК СЗИ ГТ

Данная лицензия необходима тем компаниям, которые осуществляют разработку и(или) производство программного обеспечения или средств защиты информации, предназначенных для обработки и(или) защиты государственной тайны (секретной информации).

Эта лицензия по лицензионным видам работ точно такая же, как лицензия ФСТЭК СЗКИ:

  • разработка защищенного программного обеспечения или средств защиты;
  • производство программного обеспечения или средств защиты.

Лицензия ФСТЭК на СЗИ ГТ получается в соответствии с постановлением Правительства 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

Срок получения лицензий ФСТЭК

Конечно же, срок в первую очередь зависит от вида лицензии и лицензионных пунктов в ней.

Но начнем не с этого.
Многие думают, что получить лицензию ФСТЭК — это пять минут и пять копеек.
Узнав, что госпошлина составляет 7500 руб., а законодательно установленный срок составляет 45 рабочих дней, считают, что это все, но очень ошибаются.

Весь срок получения лицензии правильно разделить на две категории:

  • Срок подготовки к подаче пакета документов в лицензирующий орган.
  • Срок рассмотрения пакета документов в лицензирующем органе и устранения замечаний.

Если срок рассмотрения документов во ФСТЭК законодательно установлен (45 рабочих дней), то срок подготовки прямо зависит от соискателя лицензии и исполнителя работ по подготовке соискателя к получению лицензии.

Дело в том, что не всю подготовку к лицензии соискатель лицензии может выполнить самостоятельно.
Соискателю лицензии в любом случае придется покупать следующие работы/услуги и товары:

  • защита и аттестация автоматизированной системы — одного компьютера;
  • защита и аттестация защищаемого помещения — одного помещения;
  • разработка и оформление системы менеджмента качества (для лицензии ФСТЭК на СЗКИ и лицензии ФСТЭК на СЗИ ГТ);
  • нормативно-методическая документация ФСТЭК России (литература ДСП);
  • оборудование (программное обеспечение, средства контроля защищенности и контрольно-измерительное оборудование и др.);
  • экспертиза (для лицензий ФСТЭК ТЗИ и СЗИ ГТ, а также ПД ИТР).

Следующие работы/услуги соискатель лицензии заказывает по желанию:

  • консультационные услуги по получению лицензии (сопровождение до получения лицензии);
  • подготовка пакета документов для подачи в лицензирующий орган;
  • подбор кадров для получения лицензии (необходимо три специалиста).

Типовые сроки подготовки к лицензии выглядят следующим образом:

  • Аттестация компьютера и помещения — до 1 мес.
  • Закупка литературы ДСП — от 1 до 2 мес.
  • Закупка оборудования — до 1 мес.
  • Оформление системы менеджмента качества — до 2 недель.
  • Подбор кадров — до 1 мес..
  • Подготовка пакета документов для подачи во ФСТЭК России — до 1 мес.

В итоге минимальный срок подготовки к получению лицензии (к подаче во ФСТЭК пакета документов) составляет около 1 мес., если все процессы подготовки запустить параллельно.

Прибавив этот срок к сроку рассмотрения пакета документов во ФСТЭК России (45 рабочих дней), мы видим, что итоговый срок получения лицензии составляет не менее 3 мес.

На практике так и получается. Те компании, которым лицензия нужна быстро, запускают всю подготовку параллельно и за 3 месяца получают лицензию на руки.

Мы знаем по теме лицензирования «все» и скажем твердо:

  • Все, кто обещают лицензию ФСТЭК на руки быстрее, чем за 3 месяца, точно лукавят.
  • Все, кто обещают лицензию ФСТЭК быстрее, чем за 3 месяца, но не договаривают, что на руки, имеют в виду только срок рассмотрения пакета документов во ФСТЭК России, так как срок подготовки во многом зависит от соискателя лицензии и составляет около 1 мес.
  • Все, кто обещают лицензию за 45 дней, имеют в виду срок рассмотрения пакета документов во ФСТЭК, не включая срок подготовки.

Надеемся, у нас получилось раскрыть тему сроков получения лицензий в полном объеме. Подробнее узнать о сроках получения конкретной лицензии вы можете, перейдя в соответствующий раздел сайта:
Лицензия ФСТЭК ТЗКИ
Лицензия ФСТЭК СЗКИ
Лицензия ФСТЭК ТЗИ ГТ
Лицензия ФСТЭК СЗИ ГТ
Лицензия ПД ИТР

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *