Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
- Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
- Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
Одна из приоритетных задач компании «1С-Битрикс» — достижение высокого уровня защищенности проектов наших клиентов.
Важнейшей задачей при этом является Государственная сертификация наших продуктов и решений.
Сертифицированное ПО «1С-Битрикс» позволяет разрабатывать интернет и интранет-проекты в организациях, к которым законодательно предъявляются повышенные требования к защите информации.
Сертификаты ФСТЭК России
Сертификат №3260 на программный комплекс «1С-Битрикс: Управление сайтом»,
разработанный ООО
«Битрикс» и производимый ООО «Сертифицированные информационные системы груп» имеет срок действия до
12.11.2020 года. Мы продолжаем системную работу в отношении сертификации продуктов согласно требованиям
ФСТЭК России, а наши клиенты могут продолжать использовать свои информационные системы.
А именно:
1. Согласно п.15 приказа № 55 ФСТЭК России, средство защиты информации может применяться по окончании срока
действия сертификата соответствия при условии соблюдения требований по безопасности информации и
осуществления заявителем его технической поддержки. ООО «Битрикс» не планирует прекращать поддержку
программного комплекса «1С-Битрикс: Управление сайтом» в ближайшие 5 лет.
2. В отношении редакции линейки «Энтерпрайз» программного комплекса «1С-Битрикс: Управление сайтом»
выполняется плановый комплекс работ по сертификации в соответствии с требованиями по безопасности
информации, утвержденными приказом ФСТЭК России от 2 июня 2020 г. № 76. Решения о проведении сертификации
средства защиты информации: №6641 от 2 июня 2021 г.
- Заявитель: ООО «Сертифицированные информационные системы груп»
- Орган по сертификации: ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
По результатам планируется получение новых сертификатов сроком действия до 5 лет.
Для существующих информационных систем, использующих сертифицированную версию программного комплекса
«1С-Битрикс: Управление сайтом» в редакциях «Первый сайт», «Старт», «Стандарт», «Эксперт», «Малый Бизнес»,
«Бизнес», «Сайт школы», «Сайт учебного заведения», «Сайт медицинской организации», «Сайт конференции»,
«Официальный сайт государственной организации» потребуется приобретение редакции линейки «Энтерпрайз».
Получить дополнительную информацию и консультации по крупным внедрениям продуктов «1С-Битрикс» вы можете на
специальном сайте.
Сертификат соответствия № 3260 ФСТЭК России («1С-Битрикс: Управление сайтом»)
Настоящий сертификат удостоверяет, что программный комплекс «1С-Битрикс: Управление сайтом» в редакциях Первый сайт, Старт, Стандарт, Эксперт, Малый Бизнес, Бизнес, «Энтерпрайз», Сайт школы, Сайт учебного заведения, Сайт медицинской организации, Сайт конференции, Официальный сайт государственной организации, разработанный ООО «Битрикс» и производимый ООО «Сертифицированные информационные системы групп» в соответствии с техническими условиями ТУ 5090-030-82487552-13, функционирующий в средах операционных систем, указанных в формуляре 5090-030-82487552-13 ФО, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, разграничения доступа и регистрации событий безопасности, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, указанных в формуляре.
Сертификат соответствия № 3268 ФСТЭК России («1С-Битрикс24»)
Настоящий сертификат удостоверяет, что программный комплекс «1С-Битрикс24» в редакциях Корпоративный портал, Энтерпрайз (вариант поставки «Холдинг»), Энтерпрайз (вариант поставки «Интеграционная шина»), Внутренний портал учебного заведения, разработанный ООО «Битрикс» и производимый ООО «Сертифицированные информационные системы» в соответствии с техническими условиями ТУ 5090-031-82487552-13, функционирующий в средах операционных систем, указанных в формуляре 5090-031-82487552-13 ФО, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, разграничения доступа и регистрации событий безопасности, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, указанных в формуляре.
Все персональные компьютеры, ноутбуки, телефоны, планшеты и другие устройства работают благодаря программному обеспечению.
Главная ценность ПО — это его надежность и функциональность, защита от внешних угроз информации, которая носит конфиденциальный характер.
Специалисты выделяют 3 вида ПО:
Несмотря на свою важную роль в жизни населения, бизнеса и государственных служб, на территории РФ не предусмотрена обязательная сертификация программного обеспечения. Однако разработчик может на добровольной основе оформить сертификационную документацию.
Законодательное регулирование
Сертификация проходит на основании разных национальных стандартов, в числе которых ГОСТ Р ИСО/МЭК 27001-2006 (системы менеджмента информационной безопасности), ГОСТ Р 8.654-2015 “ГСИ. Требования к ПО СИ. Основные положения» и многие другие.
Так, например, под действие стандарта ГОСТ Р 8.654-2015 попадают:
- автоматизированные системы измерений;
- информационно-измерительные приборы;
- устройства, обрабатывающие измерительную информацию.
На примере ГОСТ Р 8.654-2015 разберем основные группы требований к ПО:
Основные нюансы проверок
В зависимости от своих функций продукт может представлять как отдельную программу, так и целый комплекс ПО. Это влияет на выбор схемы сертификации и срок выдачи разрешительного документа. Свидетельство действует до 3 лет.
Некоторые схемы сертификации предусматривают:
- контроль производственных процессов;
- подтверждение наличие СМК;
- инспекционный контроль.
Этапы сертификации ПО
Процедура проходит по определенному алгоритму:
- обращение в центр “Ростест Ростов», обсуждение всех нюансов;
- выбор схемы работы;
- подписание договора;
- исследование образца продукта в лаборатории;
- регистрация и выдача сертификата.
Перечень документов
При обращении в центр “Ростест Ростов” вам потребуется подготовить стандартный пакет документов:
- верно оформленное заявление;
- данные, содержащие основную информацию о заявителе — ИНН, ОГРН устав;
- сопроводительные бумаги (при импорте продукта);
- техническая документация;
- доказательства, подтверждающие соответствие всем требованиям.
В полученном документе будут указаны следующие данные:
- коды ТН ВЭД;
- информация об органе, ответственном за выдачу документа;
- данные о заявителе и разработчике;
- детальное описание продукции;
- номер регистрации;
- дата окончания действия.
Преимущества оформления
Центр “Ростест Ростов” настоятельно рекомендует своим клиентам пройти добровольное подтверждение качества выпускаемого программного обеспечения. Это даст заметные преимущества на рынке:
- повышение деловой репутации;
- построение бизнеса на основе международных стандартов, которые приведут к выходу на новые рынки;
- интерес со стороны инвесторов.
Нотификация ФСБ
Если заявленное вами ПО использует новые алгоритмы шифрования, то на такую продукцию потребуется получить нотификация ФСБ. Это документ подтверждает, что определенный товар (в том числе, и программный) прошел проверки и зарегистрирован в реестре ФСБ.
Услуги нашего центра
Опытные специалисты “Ростест Ростов» постоянно отслеживают изменения в законодательстве. Поэтому вы можете быть уверены в актуальности и надежности полученных у нас документов.
Мы выдаем документацию вовремя и по минимальной цене. Оставьте заявку на нашем официальном сайте или свяжитесь с нами по телефону.
Зарегистрировано в Минюсте России 11 мая 2018 г. N 51063
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
(в ред. Приказов ФСТЭК РФ от 05.08.2021 N 121, от 19.09.2022 N 172)
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст. 2579; 1996, N 18, ст. 2142; 1999, N 14, ст. 1722; 2004, N 52, ст. 5480; 2010, N 18, ст. 2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330, приказываю:
Утвердить прилагаемое Положение о системе сертификации средств защиты информации.
Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.
Директор федеральной службы по техническому и экспортному контролю В. СЕЛИН
УТВЕРЖДЕНО приказом ФСТЭК России от 3 апреля 2018 г. N 55