Сертификация и аттестация ФСТЭК: что это такое и как она проходит
Категории лиц, обрабатывающие личные данные различных категорий населения (персонала компаний, партнеров, клиентов, пенсионеров и пр.), обязаны соблюдать Федеральный закон №152 «О защите персональных данных». Сам закон не предусматривает отдельных требований к техническому исполнению программного обеспечения, они изложены в нормативных документах ФСТЭК. Официальное подтверждение соответствия возможно лишь после получения соответствующего сертификата или аттестата.
Что такое сертификат и аттестат ФСТЭК
Сертификат ФСТЭК — это документ, подтверждающий, что представленный ИТ-продукт (инструмент защиты данных) прошел необходимые проверочные процедуры и соответствует действующим стандартам и требованиям.
Аттестат ФСТЭК требуется компании, которая хранит персональные данные. Он подтверждает должный уровень безопасности системы и ее соответствие 152-Ф3.
В этом документе могут нуждаться не только компании-разработчики ПО, но и те фирмы, которые работают с конфиденциальными данными.
Сертификат распространяется лишь на программное обеспечение, но проверяется и оборудование, отвечающее за хранение конфиденциальных данных: серверы, облачные ресурсы и т. д. Они проходят процедуру аттестации. Она не является обязательной для тех, кто:
- не занимается обработкой конфиденциальных данных (например, небольших онлайн-магазинов с формой регистрации для осуществления покупок);
- не работает с информацией, относящейся как минимум к 4 уровню секретности. В эту категорию входят самые простые и общедоступные данные (ФИО, год рождения и др.). Все оборудование, отвечающее за сохранность другой личной информации, например, биометрических данных человека, позволяющих идентифицировать личность, подлежит аттестации.
Зачем нужна сертификация ФСТЭК
Под сертификацией ФСТЭК подразумевается процедура выдачи документа, удостоверяющего соответствие средства защиты информации требованиям методических и нормативных документов ФСТЭК РФ.
Процедура сертификации ФСТЭК для средств защиты данных предназначена для:
- обеспечения защиты конфиденциальных данных строго определенного уровня;
- предоставления возможности выбора потребителем эффективных и качественных систем защиты информации;
- содействия развитию рынка средств обеспечения с достаточным уровнем защищенности.
Сертификация средств защиты нужна объектам, работающим в специфических сферах, необходимость ее иметь зависит от вида данных, обрабатываемых информационной системой.
Обязательная сертификация средств защиты информации касается:
- государственных информационных систем (ГИС);
- персональных данных (ЗПДн);
- автоматизированных систем управления технологическим процессом (АСУ ТП);
- сфер деятельности с обязательной сертификацией средств защиты информации;
- государственной тайны (ЗГТ);
- критической информационной инфраструктуры (КИИ);
- конфиденциальной (служебной) информации.
Запрещается использование несертифицированного продукта в сферах, предусматривающих обязательное применение систем, прошедших сертификацию.
Компанию, которая нарушит закон и будет использовать несертифицированные продукты в сфере защиты персональных данных, ожидают последствия. По решению суда это может быть крупный штраф и даже уголовная ответственность.
В рамках обработки персональных данных при аттестации систем ФСТЭК компании руководствуются приказом от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Данный приказ определяет четыре уровня защищенности.
Как правило, клиенты стараются выводить систему из-под более высоких требований уровня защищенности персональных данных, ограничиваясь аттестацией под уровни 4 или 3. В этом случае большая часть требований по уровню защищенности персональных данных может быть обеспечена организационными и программными мерами и поддерживаться относительно небольшим штатом.
В случае аттестации системы по уровням защищенности 2 и 1 требуется формирование программно-аппаратных комплексов и введение более жестких регламентов по работе с системой и данными в этой системе.
Отличия сертифицированных версий ПО от обычных
При поставке сертифицированных версий решений к ним прилагается соответствующий формуляр, сертификат, инструкции и другие документы, подтверждающие должный уровень защищенности системы хранения данных.
Для сертифицированных версий характерны следующие особенности:
- Обновление затруднительно. Сам процесс сертификации продукта занимает от 9 месяцев до 1 года. Обычно процедуру проводят с уже отлаженными и проверенными решениями, с достаточным количеством готовых обновлений. Это объясняет запаздывание выхода сертифицированных версий в сравнении с общедоступными версиями.
- Сертифицированная версия может иметь особые ограничения, связанные с определенным классом или уровнем защиты. Если говорить о категории офисного ПО и операционных систем, то их версии после сертификации ФСТЭК могут иметь ограниченный доступ к некоторым опциям (в частности, при наличии сертификата об отсутствии недекларированных возможностей).
Как проходит сертификация ФСТЭК
Получению сертификата предшествует сложная многоэтапная проверка. Программный продукт всесторонне изучают специалисты по информационной безопасности, проверяя его устойчивость к взлому и внешним атакам.
Сертификацию должны проходить:
- госструктуры, обрабатывающие конфиденциальную информацию (ГИС);
- системы, отвечающие за автоматизацию технологических процессов;
- любые организации, сохраняющие у себя личные данные работников или клиентов;
- учреждения и предприятия, связанные с военной либо государственной тайной.
Предусмотрены разные варианты проверок, окончательный выбор зависит от типа нужного сертификата. Например, при необходимости сертификации программы, работающей с биометрией, проверки будут более строгими. Если же сертифицируется продукт, не предназначенный для работы с секретной и конфиденциальной информацией, выбирается более простой метод.
Сертификат соответствия ФСТЭК нужен разработчикам ПО для подтверждения безопасности их продукции. При успешной проверке программа вносится в общий реестр ПО, с которым можно ознакомиться на официальном сайте ФСТЭК.
Выводы
Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого софта требованиям защиты персональных данных.
Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.