Сертификат соответствия на средство защиты информации в системе сертификации фстэк россии

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз. Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне. На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00. Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Основные принципы, организационная структура системы обязательной сертификации средств защиты информации установлены в Положении о сертификации средств защиты информации по требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199), которое распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

Система добровольной сертификации средств защиты информации по требованиям безопасности информации от 20.03.1995 (РОСС RU.0001.01БИ00) была представлена на регистрацию Гостехкомиссией РФ, которая была преобразована в ФСТЭК России Указом Президента РФ от 09.03.2004 № 314 «О системе и структуре федеральных органов исполнительной власти».

В соответствии со статьей 13.12 Кодекса об административных правонарушениях РФ использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц — от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

В настоящее время ФСБ России осуществляет:

• сертификацию средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну;
• добровольную сертификацию специальных технических средств, предназначенных для негласного получения информации.

В соответствии с Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утв. приказом ФСБ РФ от 13.11.1999 № 564, по правилам системы сертификации средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну, по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.

Система сертификации средств криптографической защиты информации от 15.11.1993 (РОСС RU.0001.030001) была представлена на регистрацию ФАПСИ России, которое было упразднено Указом Президента Российской Федерации от 11.03.2003 № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации». Этим же документом функции ФАПСИ России были переданы, в том числе, ФСБ России.

Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, от 19.01.2000 (РОСС RU.0003.01БИ00) была представлена на регистрацию ФСБ России.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

• создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
• формировании правил проведения сертификации средств защиты данных;
• аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
• выборе способов подтверждения соответствия СЗИ требования нормативных документов;
• выдаче сертификатов и лицензий на использование знаков соответствия;
• ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
• осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
• рассмотрении апелляций по вопросам сертификации;
• утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз. Выбор оптимального защитного средства зависит напрямую от класса системы. В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

• по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
• на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
• на разработку и производство средств безопасности;
• на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Продление срока действия сертификата СЗИ

Вопрос продления срока действия сертификата регулируется информационным
сообщением ФСТЭК России по вопросу продления сроков действия сертификатов
соответствия на средства защиты информации, эксплуатируемые на объектах
информатизации от 23 января 2015 г. №. В информационном
сообщении устанавливается порядок продления сертификата соответствия на
СЗИ, эксплуатирующими организациями и образец заявки на продление
сертификата соответствия.

В соответствии с постановлением Правительства Российской Федерации от 26
июня 1995 г. № «О сертификации средств защиты информации» и Положением
о сертификации средств защиты информации по требованиям безопасности
информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995
г. №, на отдельные экземпляры средств защиты информации,
эксплуатируемые на объекте (объектах) информатизации, продление сроков
действия сертификатов соответствия может быть обеспечено организацией,
эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем
за до окончания срока действия сертификата
соответствия принимает решение о продлении или об отказе в продлении срока
действия сертификата соответствия и информирует организации,
эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом,
в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока
действия сертификата соответствия может в инициативном порядке обратиться к заявителю для
получения информации о принятом заявителем решении. В случае отказа
заявителя в продлении срока действия сертификата соответствия организация,
эксплуатирующая средство защиты информации,
организует продление срока действия данного сертификата соответствия.

Условия продления срока действия сертификата СЗИ:

• средство защиты информации функционирует с требуемой эффективностью;
• в организации имеется в наличии эксплуатационная документация на СЗИ;
• своевременно проведен ежегодный контроль соответствия требованиям
  безопасности информации системы защиты информации объекта информатизации, в
  состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация,
эксплуатирующая средство защиты информации, заблаговременно направляет в
ФСТЭК России заявку на продление срока действия сертификата соответствия:

В заявке указывается: дата выдачи и номер сертификата, наименование
продукции, на которую выдан сертификат, кем и когда оформлен протокол
испытаний. В протоколе испытаний содержатся общие сведения об объекте
контроля, сведения о проверке подсистем средства защиты информации, о
подсчете контрольных сумм, делаются выводы о проведенном контроле.

В разделе «Общие сведения» приводится описание объекта контроля, где
установлено средство ЗИ, назначение объекта, вид и метод контроля, цель
контроля, класс защищенности от НСД, применяемые нормативные и руководящие
документы.

Информация о средствах защиты от НСД, применяемых на объекте контроля
оформляется в виде таблицы:

Фиксация и контроль целостности информации, подсчет контрольных сумм
производится при помощи специальных программ, сертифицированных ФСТЭК России.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти. ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д. – полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

• федеральное законодательство;
• распоряжения и указы Президента РФ;
• постановления правительства РФ;
• документация ФСБ, ФСТЭК, Роскомнадзора;
• общероссийские стандарты;
• документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Законодательная база сертификации средств защиты информации в Российской Федерации

• Закон Российской Федерации 1993 года № 5076-1 «О защите прав потребителей».
• Федеральный закон от 27 декабря 2002г. № 184-ФЗ «О техническом регулировании».
• Закон Российской Федерации 21 июля 1993г. № 5485-1 «О государственной тайне».
• Федеральный Закон от 27 июля 2006г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Постановление Правительства Российской Федерации от 26 июня 1995г. №608 «О сертификации средств защиты информации».

Организационные документы системы сертификации средств защиты информации ФСТЭК России:

• Положение о сертификации средств защиты информации по требованиям безопасности информации.
• Положение об аккредитации испытательных лабораторий по сертификации средств защиты информации по требованиям безопасности информации.
• Положение по аттестации объектов информатизации по требованиям безопасности информации.

Схемы сертификации могут быть различными: для единичных продуктов, для
партии продукции, для серийного производства.

Сертификации в системе сертификации ФСТЭК России подлежат:

• средства противодействия иностранным техническим разведкам, а также
  средства контроля эффективности противодействия иностранным техническим
  разведкам;
• средства технической защиты информации, включая средства, в которых они
  реализованы, а также средства контроля эффективности технической защиты
  информации;
• средства обеспечения безопасности информационных технологий, включая
  защищенные средства обработки информации.
  (п.3 Положения о системе сертификации средств защиты информации,
  утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55).

По окончании срока действия сертификата соответствия заявитель вправе
подать заявку на продление срока действия сертификата соответствия.
Средство защиты информации может применяться по окончании срока действия
сертификата соответствия при условии соблюдения требований по безопасности
информации и осуществления заявителем его технической поддержки.
(п.
Положения о системе сертификации средств защиты информации,
утвержденного приказом ФСТЭК России от 3 апреля 2018 г. №
).

Требования о необходимости применения сертифицированных средств защиты
информации вытекают из пункта статьи Федерального закона «Об
информации, информационных технологиях и о защите информации» от 27 июля
2006 г. №-ФЗ:

«Технические средства, предназначенные для обработки информации,
содержащейся в государственных информационных системах, в том числе
программно-технические средства и средства защиты информации, должны соответствовать требованиям
законодательства Российской Федерации о техническом регулировании».

В соответствии с пунктом статьи
Федерального закона «О техническом
регулировании» от 27 декабря 2002 г. №

«оценка соответствия проводится в формах государственного
контроля (надзора), испытания, регистрации, подтверждения соответствия,
приемки и ввода в эксплуатацию объекта, строительство которого закончено,
и в иной форме».

Кроме того, согласно пункта
статьи Федерального закона «О персональных
данных» от 27 июля 2006 г. №-ФЗ обеспечение безопасности персональных
данных достигается применением прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации.

На интернет-портале Федеральной службы по техническому и экспортному
контролю (ФСТЭК России) разделе «Реестр сертифицированных средств защиты
информации» на сегодняшний день представлено свыше
сертифицированных
средств защиты.

Срок действия сертификата соответствия

Согласно пункту «Положения о сертификации средств защиты информации»,
утвержденного постановлением Правительства Российской Федерации от 26 июня
1995 г. №,
срок действия сертификата не может превышать .

Пункт .
«Положения о системе сертификации средств защиты информации по
требованиям безопасности для сведений, составляющих государственную тайну,
и о ее знаках соответствия», утвержденного приказом ФСБ России от 13 ноября
1999 г. №
также устанавливает срок действия сертификата не более чем на
.

Согласно пункта
«Положения о системе сертификации средств защиты
информации», утвержденного приказом ФСТЭК России от 3 апреля 2018 г.
№,
срок действия сертификата соответствия также не может превышать

При выборе средств защиты информации следует обращать внимание на
Требования к средствам защиты информации от утечки по техническим каналам:

• Требования к средствам активной защиты информации от утечки по
  каналам ПЭМИН с изменениями, утвержденными приказом ФСТЭК России
  от 05.02.2016 № 04. Утверждены приказом ФСТЭК России от 04.02.2015 № 033
  – применяются с 01.04.2015 (зарегистрирован Минюстом России – рег. № 35057 от 02.12.2014);
• Требования к средствам активной акустической и вибрационной защиты
  акустической речевой информации. Утверждены приказом ФСТЭК России
  от 04.02.2015 № 03 – применяются с 01.07.2015 (зарегистрирован
  Минюстом России – рег. № 36492 от 20.03.2015);
• Требования к ПЭВМ защищенным от утечки информации по каналам ПЭМИН;
• Требования к пассивным средствам защиты информации за счет побочных
  электромагнитных наводок на линии электропитания.
  Утверждены Приказом ФСТЭК России от 31.09.2015 № 036 – применяются с
  01.06.2016 (зарегистрирован Минюстом России – рег. № 39504 от 28.10.2015);
• Требования к средствам защиты информации от утечки за счет
  микрофонного эффекта (планируются к утверждению в 2018 году).

Средства активной защиты от утечки по каналам ПЭМИН:

• Тип «А» – Средства активной защиты информации от утечки за счет побочных
  электромагнитных излучений;
• Тип «Б» – Средства активной защиты информации от утечки за счет наводок
  информативного сигнала на проводники, в том числе на цепи заземления и
  электропитания, токопроводящие линии и инженерно-технические коммуникации,
  выходящие за пределы контролируемой зоны.

Оба средства предназначены для защиты информации категорий: совершенно
секретно, секретно, особой важности и конфиденциальной информации.

Средства активной акустической и вибрационной защиты акустической речевой
информации:

• Тип «А» – Средства акустической и вибрационной защиты информации
  с центральным генераторным блоком и подключаемыми к нему по линиям
  связи пассивными (не содержащими в своей конструкции индивидуальные
  задающие источники шума, требующие электропитания) преобразователями;
• Тип «Б» – Средства акустической и вибрационной защиты информации
  с активными (содержащими в своей конструкции индивидуальные задающие
  источники шума преобразователями, питаемыми по линиям вторичного
  электропитания от центрального блока питания.

Категории защищаемой информации: совершенно секретно, секретно, особой
важности и конфиденциальная информация, так же как и у пассивных средств
защиты информации за счет побочных электромагнитных наводок на линии
электропитания.

Требования к средствам защиты информации от утечки за счет несанкционированного доступа

• Требования к средствам обнаружения вторжений – утверждены приказом ФСТЭК
  России от 6 декабря 2011 года №638 – содержит 12 методических документов,
  содержащих профили защиты систем обнаружения вторжений.
• Требования к средствам антивирусной защиты — утверждены приказом ФСТЭК
  России от 20 марта 2012 года №28 –24 методических документов, содержащих
  профили защиты средств антивирусной защиты.
• Требования к средствам доверенной загрузки — утверждены приказом ФСТЭК
  России от 27 сентября 2013 года №119 – содержит 10 методических документов,
  содержащих профили защиты средств доверенной загрузки.
• Требования к средствам контроля съемных машинных носителей информации —
  утверждены приказом ФСТЭК России от 28 июля 2014 года №87 – содержит 10
  методических документов, содержащих профили защиты средств контроля съемных
  МНИ.
• Требования к межсетевым экранам — утверждены приказом ФСТЭК России от 9
  февраля 2016 года №9 – содержит 24 методических документа, содержащих
  профили защиты межсетевых экранов.
• Требования безопасности информации к операционным системам — утверждены
  приказом ФСТЭК России от 19 августа 2016 года №119 – содержит 18
  методических документов, содержащих профили защиты операционных систем.

Требования к средствам защиты информации и схемы защиты различаются в
зависимости от типа (вида) средств защиты, например, требования к системам
обнаружения вторжений отличаются в зависимости от того, какая система
обнаружения реализуется: уровня узла или уровня сети.

Требования к средствам антивирусной защиты делятся на четыре группы:

• Тип «А» — администрирование;
• Тип «Б» — сервера;
• Тип «В» — сетевые АРМ;
• Тип «Г» — автономные АРМ.

Требования к средствам контроля съемных машинных носителей информации
различны для средств контроля подключения СМНИ и средств контроля
отчуждения (переноса).

Требования к средствам доверенной загрузки различаются в зависимости от
уровня загрузки:

• Уровень базовой системы ввода-вывода (BIOS);
• Уровень загрузочной записи;
• Уровень платы расширения.

Требования к межсетевым экранам устанавливают 5 типов межсетевых экранов:

• Типа А — уровня сети;
• Типа Б — уровня логических границ сети;
• Типа В — уровня узла;
• Типа Г — уровня веб-сервера;
• Типа Д — уровня промышленной сети (АСУ ТП).

С 1 декабря 2016 г. в системе сертификации средств защиты информации по
требованиям безопасности информации № РОСС RU.0001.01БИ00
сертификация разработанных и (или) производимых межсетевых
экранов осуществляется на соответствие Требованиям к межсетевым экранам,
утвержденным приказом ФСТЭК России от 9 февраля 2016 г.
№

применение межсетевых экранов, сертифицированных на
соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по
безопасности информации) в информационных (автоматизированных) системах, созданных до вступления
в силу соответствующих изменений в:

• Требования о защите информации, утвержденные приказом ФСТЭК России от 11
  февраля 2013 г. №;
• Состав и содержание организационных и технических мер
  по обеспечению безопасности персональных данных, утвержденные приказом
  ФСТЭК России от 18 февраля 2013 г. №.

Аттестация информационных (автоматизированных) систем
после вступления в силу изменений в названные выше документы
возможна только в случае
применения в них межсетевых экранов,
cертифицированных на соответствие Требованиям к межсетевым экранам,
утвержденным приказом ФСТЭК России от 9 февраля 2016 г.
№.

Требования безопасности информации к операционным системам устанавливают
типа операционных систем:

• Тип А — общего назначения;
• Тип Б – встраиваемая операционная система;
• Тип В — операционная система реального времени.

Операционные системы типа «А» устанавливаются на серверы, рабочие станции,
телефоны, смартфоны.

Операционные системы типа «Б» характеризует:

• Компактность;
• Фиксированность состава решаемых задач;
• Сложность модификации;
• Отсутствие пользовательского интерфейса;
• Исполнение в различных аппаратных средах;

Операционные системы типа «Б» используются в сим-картах мобильных
операторов и банковских картах.

Операционные системы типа «В» характеризует:

• Повышенные требования к отказоустойчивости и надежности;
• Приоритизация процессов;
• Выполнение определенных процессов строго в установленный интервал
  времени;
• Модульная архитектура;
• Повышенные требования к корректности архитектуры и реализации;
• Верификация модели и реализации.

Операционные системы типа «В» используются в системах промышленной
автоматики, станках с ЧПУ и др.

к средствам защиты информации для организаций,
осуществляющих в соответствии с законодательством Российской Федерации
работы по созданию средств защиты информации, заявителей на осуществление
сертификации продукции, а также для
испытательных лабораторий и органов по сертификации, выполняющих работы по
сертификации средств защиты информации на соответствие обязательным
требованиям безопасности информации.

Готовы к утверждению и готовятся:

• Требования к системам управления базами данных.
• Требования к средствам управления потоками информации.
• Требования к средствам идентификации и аутентификации.
• Требования к средствам управления доступом.
• Требования к средствам от несанкционированного вывода (ввода) информации (DLP-системам).
• Требования к средствам контроля и анализа защищенности.
• Требования к средствам мониторинга событий безопасности (SIEM).
• Требования к средствам защиты среды виртуализации.
• Требования к базовым системам ввода-вывода (BIOS).

Контроль отсутствия недекларированных возможностей в средствах защиты
информации от утечки за счет несанкционированного доступа,
сертифицированных на соответствие новым требованиям к СЗИ:

Для программного обеспечения, используемого для защиты информации,
отнесенной к государственной тайне, должен быть обеспечен уровень контроля
не ниже:

• Первого для СЗИ, используемых для защиты информации с грифом «ОВ»;
• Второго для СЗИ, используемых для защиты информации с грифом «CC»;
• Третьего для СЗИ, используемые для защиты информации с грифом «C».

Для программного обеспечения, используемого для защиты конфиденциальной
информации, должен быть обеспечен уровень контроля не ниже:

• Четвертого для СЗИ, используемых для защиты информации в государственных
  и муниципальных информационных системах и классов;
• Четвертого для СЗИ, используемых для обеспечения 1
  и уровней
  защищенности персональных данных, а также для обеспечения уровня защищенности персональных данных в информационных системах, для которых
  актуальны угрозы -го типа.

Например, для средства защиты информации от несанкционированного
доступа «Блокхост-сеть К»:

«Настоящий сертификат удостоверяет, что средство защиты информации от
несанкционированного доступа «Блокхост-сеть К» является
программно-техническим средством защиты от несанкционированного доступа
к информации и соответствует требованиям руководящих документов
«Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от несанкционированного
доступа к информации» (Гостехкомиссия России. 1992) — по 3 классу
защищенности, «Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню отсутствия недекларированных возможностей»
(Гостехкомиссия России. 1999) – по 2 уровню контроля».

В тоже время, сертификат соответствия № на программное изделие Kaspersky Endpoint Security для Windows на соответствие требованиям к САВЗ класса и сертификат соответствия № на программно-аппаратный комплекс ViPNet IDS на соответствие требованиям к СОВ
класса не содержат информации про контроль отсутствия недекларированных возможностей.

Требования по контролю отсутствия недекларированных возможностей,
конкретизированы в самих профилях защиты на средства защиты информации:

• Для СЗИ 1 класса обеспечивается уровень контроля отсутствия НДВ, требуемый
  для защиты информации с грифом «ОВ»;
• Для СЗИ 2 класса обеспечивается уровень контроля отсутствия НДВ, требуемый
  для защиты информации с грифом «СС»;
• Для СЗИ 3 класса обеспечивается уровень контроля отсутствия НДВ, требуемый
  для защиты информации с грифом «С»;
• Для СЗИ 4 класса обеспечивается уровень контроля отсутствия НДВ,
  достаточный для защиты конфиденциальной информации.

Требования по контролю отсутствия недекларированных возможностей
к средствам защиты информации
и 6 классов не предъявляются.

Контроль отсутствия недекларированных возможностей в настоящее время
ведется по руководящему документу ФСТЭК России. «Защита от
несанкционированного доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню контроля отсутствия
недекларированных возможностей», утвержденному решением председателя
Государственной технической комиссии при Президенте Российской Федерации 4
июня 1999 г. №.
В ближайшее время ожидается принятие его «наследника»-
Методики анализа уязвимостей и недекларированных
возможностей программного обеспечения.

Порядок обновления сертифицированных средств защиты информации

• Установка обновлений программного обеспечения средств защиты информации,
  выпускаемых разработчиками (производителями) средств защиты информации или
  по их поручению.
• Получение обновления средства защиты информации.
• Получение изменений в документацию на средство защиты информации (формуляр, паспорт, инструкции по эксплуатации).
• 4. При получении обновлений в виде отличном от оригинального дистрибутива
  (интернет, корпоративные сети, иные открытые сети и т.д.)
  обязательно проведение процедуры верификации (проверки контрольных сумм).
• 5. Внесение изменений в организационно-распорядительную документацию.
• 6. Установка обновления сертифицированного средства защиты информации.

Обновление версии СЗИ в рамках одного сертификата не является основанием для повторной аттестации.

Статьей Кодекса об административных правонарушениях установлена
ответственность за нарушение правил защиты информации:

Использование несертифицированных информационных систем,
баз и банков данных, а также несертифицированных средств защиты информации,
если они подлежат обязательной сертификации (за исключением средств защиты
информации, составляющей государственную тайну) – влечет наложение
административного штрафа:

на граждан – в размере от до тысяч рублей;

на должностных лиц – от до тысяч рублей;

на юридических лиц — от до тысяч рублей.

Использование несертифицированных средств защиты информации
, предназначенных для защиты информации, составляющей государственную тайну
– влечет наложение административного штрафа:

Сертификация средств защиты информации от несанкционированного доступа

Комплексная система безопасности информации на объекте информатизации
служит для обеспечения объективности оценки состояния объектов
информатизации и обеспечение уровня гарантии информационной безопасности
объектов информатизации путем сертификации и аттестации.

деятельность по подтверждению соответствия СЗИ требованиям безопасности
информации. Требования определяются государственными стандартами или иными
нормативными документами.

— это комплекс организационно-технических мероприятий, в результате которых
подтверждается, что ОИ соответствует требованиям стандартов или иных
нормативных документов по безопасности информации.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

• оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
• проведении работ по обеспечению государственной и банковской тайн;
• выполнении обязанностей оператора персональных данных (ПНд);
• передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

• программное обеспечения и оборудование;
• внешние носители;
• средства связи и шифровки/дешифровки данных;
• операционные системы;
• прочие технические средства хранения, обработки, передачи сведений;
• персональные данные;
• специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

• использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
• возможность ограничения и управления правами доступа к персональной информации;
• физическая и программная защита носителей информации;
• регистрация событий безопасности и ведение их журнала;
• применение средств антивирусной защиты;
• регулярный контроль защищенности ПНд;
• обнаружение и предотвращение вторжений, несанкционированного доступа;
• обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
• соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

• основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
• в области сертификации средств защиты информации;
• о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

• подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
• ориентация в сфере комплексных СЗИ;
• понимание основ методологии построения СЗИ;
• умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

• К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
• Требования по охране данных и информации базируются на ряде ГОСТов.
• Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
• Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

• доступ, хищение и распространение закрытых данных;
• уничтожение/изменение целостности данных;
• препятствие получению информации, нарушающее права пользователей.
• Важное значение имеет разработка пакета организационных и распорядительных документов для:
• регламентации процесса безопасности хранения данных;
• порядка выявления инцидентов безопасности;
• регламентации управления конфигурированием информационных систем по защите данных;
• установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

• идентификации, аутентификации;
• управления доступом к данным с возможностью контроля;
• ограничений по использованию программ;
• защиты всех информационных носителей;
• ведение регистрационного учета инцидентов в сфере безопасности;
• отслеживания вторжений извне;
• обеспечения целостности находящейся на хранении и обрабатываемой информации;
• защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

• межсетевых экранов, фильтрующих информацию по установленным критериям;
• средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
• антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
• доверенной загрузки;
• контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.