Сертификат ФСТЭК: что это и как его получить

• Что такое сертификат ФСТЭК
• Для чего нужен сертификат ФСТЭК
• Кому нужен сертификат ФСТЭК
• Чем отличаются версии с сертификатом от несертифицированных версий
• Как пройти сертификацию ФСТЭК

Что такое сертификат ФСТЭК

Сертификат ФСТЭК подтверждает соответствие программ для защиты данных нормам Федерального закона № 187-ФЗ и другим нормативным документам Федеральной службы по техническому и экспортному контролю.

Он выдается после того, как ИТ-продукт пройдет специальную проверку и будет оценен на соответствие требованиям безопасности, установленным ФСТЭК. Экспертизу проводят специализированные организации и лаборатории, у которых есть лицензия на выполнение таких работ.

При сертификации средств защиты данных служба контроля учитывает следующие критерии:

• Функциональность — средство выполняет заявленные функции без существенных ошибок.
• Защитные свойства — оценивается уровень защищенности от угроз: несанкционированного доступа, вирусов и утечек данных.
• Криптографическая стойкость — если средство использует шифрование, оно должно соответствовать современным стандартам.
• Управление доступом и аутентификация — оценивается, как средство обеспечивает контроль доступа и проверку пользователей.
• Документация — полная и понятная документация о продукте и его использовании.
• Совместимость — возможность программы работать с другими системами и программами.

Для чего нужен сертификат ФСТЭК

Есть несколько причин, по которым информационные системы проходят сертификацию ФСТЭК:

• Гарантия защиты данных от несанкционированного доступа, утечек и других угроз.
• Возможность для потребителей выбирать эффективные и качественные системы защиты, которые прошли тестирование и соответствуют стандартам безопасности.
• Компании и организации могут использовать ПО, не рискуя нарушить законодательство о защите информации.
• Развитие рынка средств обеспечения ИБ благодаря доверию к продуктам и созданию решений с высоким уровнем защиты.

Кому нужен сертификат ФСТЭК

В сертификатах нуждаются разработчики программного обеспечения, которые хотят законно продвигать свои продукты в области интернет-безопасности и защиты персональных данных.

Не обойтись без документа поставщикам облачных услуг, которые предоставляют серверы для хранения ПДн или занимаются построением защищенных ИТ-инфраструктур.

Сертифицированное программное обеспечение должны выбирать организации, которые работают с важной информацией или с государственной тайной:

• банки;
• государственные учреждения;
• медицинские организации;
• образовательные учреждения;
• компании из сферы телекоммуникаций и связи;
• организации, связанные с военной или государственной тайной.

Чем отличаются версии с сертификатом от несертифицированных

Сертифицированная версия — это информационная система, которая прошла проверку на соответствие стандартам и требованиям безопасности. У нее есть официальный документ, подтверждающий качество и надежность.

Программы имеют дополнительную защиту от взломов и утечек, что позволяет их использовать для более широкого круга задач. Такое ПО сопровождается подробной документацией, в ней описаны функциональные возможности и параметры безопасности. Проверенные инструменты для защиты информации вызывают больше доверия у клиентов и партнеров.

Кроме того, подтвержденные версии обычно легко интегрируются с другими сертифицированными продуктами и системами безопасности. Владельцы ПО получают профессиональную поддержку от производителя.

Несертифицированная версия — ПО, которое не прошло проверку на безопасность и может содержать ошибки или уязвимости. Такие версии могут быть созданы как самими разработчиками, так и сторонними компаниями.

Как пройти сертификацию ФСТЭК

Порядок прохождения сертификации:

1. Определите тип ИТ-продукта, который подлежит сертификации. Это может быть программное обеспечение для работы в госучреждениях, банках, образовательных организациях или других компаниях, где информационная инфраструктура имеет критическое значение.
2. Ознакомьтесь с требованиями безопасности, установленными службой технического контроля. Они касаются защиты информации от взломов и кибератак.
3. Подготовьте необходимые документы для сертификации — проектную документацию, техническое описание информационной системы, руководство по эксплуатации и другие документы.
4. Обратитесь к организации, проводящей тестирование. В России этим занимаются Центр сертификации ФСТЭК и Центр сертификации систем информационной безопасности.
5. Пройдите проверку вашей системы на соответствие нормам безопасности. Если ваш ИТ-продукт успешно пройдет экспертизу, вы получите документ соответствия. Обычно срок действия сертификата 5 лет.

Чтобы пройти экспертизу, понадобятся следующие документы:

• проектная документация — включает в себя техническое описание информационной системы, архитектурные схемы и документы, описывающие функциональность и безопасность системы;
• руководство по эксплуатации — в нем описано, как пользоваться информационной системой и какие меры безопасности нужно соблюдать;
• документы по безопасности — планы, которые помогают обеспечить защиту, они включают в себя анализ уязвимостей и меры по их устранению;
• документы по управлению пользователями — они должны содержать четкие инструкции по идентификации и аутентификации пользователей.

В зависимости от программного обеспечения и конкретных требований ФСТЭК могут потребоваться дополнительные документы.

Комплекс Staffcop может использоваться для защиты информации в системах, которые хранят и обрабатывают персональные данные: АС, ИСПДн, ГИС. Программа защищает информацию — контролирует действия пользователей на компьютерах и серверах в корпоративной сети. Помогает предотвратить утечку конфиденциальных данных — регулирует доступ к съемным носителям и мониторит передачу файлов.

Вы можете бесплатно протестировать сертифицированную версию StaffCop Enterprise, скачав ее на нашем сайте.