Сертификация средств защиты информации

Средства защиты информации (СЗИ) — это устройства, программные продукты или комплексы, которые обеспечивают безопасность данных, исключают несанкционированный доступ, искажение или утечку сведений. К ним относятся антивирусы, межсетевые экраны, криптографические модули, системы контроля доступа, генераторы шума, а также программно-аппаратные комплексы. 

Для законного выпуска, ввоза и реализации требуется сертификат соответствия на средства защиты информации. Процедура подтверждает, что продукция отвечает требованиям безопасности, установленным техническими и государственными стандартами.

СПРАВКА. Согласно кодам классификаторов, подобная продукция может относиться к группе ТН ВЭД 8471, а также к разделу ОКПД 2 — 26.20.

Особенности сертификации средств защиты информации

Сертификация проводится в установленном порядке Федеральной службой по техническому и экспортному контролю (ФСТЭК России). В ряде случаев оценка носит добровольный характер, однако для некоторых категорий товаров процедура обязательна. Обязательная сертификация проводится для:

• производителей, разработчиков СЗИ, которые поставляют продукцию государственным, коммерческим организациям, использующим конфиденциальные сведения;

• операторов персональных данных, применяющих сертифицированные программные, аппаратные решения;

• организаций, эксплуатирующих государственные информационные системы, объекты критической информационной инфраструктуры;

• компаний, участвующих в закупках для государственных нужд.

СПРАВКА. Оценка соответствия осуществляется по Приказам ФСТЭК, регулирующим порядок проверки средств защиты, программных продуктов и процессов безопасной разработки. Эти нормативные документы устанавливают правила испытаний, принципы подтверждения соответствия и требования к процедуре оформления сертификата.

Сертификат на средства защиты информации требуется для трех основных категорий объектов:

• аппаратные, а также программные решения для охраны данных — антивирусные комплексы, межсетевые экраны, криптографические средства, системы предотвращения вторжений;

• информационные системы, включая государственные ресурсы, базы персональных данных;

• программные продукты, используемые в защищенных информационных средах.

При сертификации определяется уровень доверия к средству. Существует шесть уровней, где первый означает наибольшую степень охраны. Для систем, обрабатывающих государственную тайну, применяются первые три уровня.

Если устройство предназначено для защиты сведений, отнесенных к государственной тайне, компания должна иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Требование закреплено в федеральных законах о государственной тайне и в постановлениях правительства о лицензировании подобной деятельности.

ВАЖНО. Производители из РФ должны опираться на стандарт при изготовлении товаров. Необходимо подобрать ГОСТ или разработать собственные ТУ. Например, для генераторов шума система параметров определена в ГОСТ Р 70968-2023. Если ГОСТ не обходить, разработка ТУ становится обязательной.

Если продукция включает криптографические функции, перед импортом необходимо получение нотификации в ФСБ России. Кроме того, в зависимости от особенностей устройства, может потребоваться оформление документов по техрегламентам — ТР ТС 004/2011, 020/2011, 043/2017.

ВАЖНО. Для оборудования также подготавливают нормативно-техническую документацию: паспорт безопасности, эксплуатационное руководство, техническую инструкцию, технологические карты, чертежи и регламенты.

Что подготовить для сертификации СЗИ

Перед началом оценки СЗИ заявителю необходимо подготовить комплект документов:

• заявление на проведение сертификации, в котором указываются сведения о заявителе, наименовании, назначении изделия;

• описание функциональных возможностей СЗИ, включающее структурную схему, принципы действия, способы обеспечения информационной безопасности;

• эксплуатационная документация: руководство пользователя, инструкция по установке, технический паспорт;

• документы, подтверждающие проведение предварительных испытаний или аттестаций;

• копии учредительных, регистрационных бумаг организации-заявителя;

• результаты внутренних проверок, отчет о внедрении системы менеджмента качества.

В некоторых случаях запрашивается также обоснование соответствия конструкции и процессов требованиям технических стандартов, включающих ГОСТ Р и международные ISO. Для серийного выпуска, предоставляются сведения о производственных мощностях, оборудовании и квалификации персонала.

 

Дополнительные документы для средств защиты информации

После получения обязательных разрешений компания может оформить дополнительные документы, которые подтверждают качество, надежность, происхождение продукции.

К ним относятся:

• добровольный сертификат, оформляемый по инициативе заявителя для подтверждения соответствия внутренним стандартам ГОСТ или ТУ;

• сертификаты ISO 9001, ISO 14001, ISO 45001 — подтверждают внедрение моделей менеджмента качества, экологической ответственности, охраны труда;

• добровольный сертификат пожарной безопасности — удостоверяет устойчивость оборудования к возгоранию, соответствие противопожарным требованиям;

• сертификат происхождения продукции — используется при экспорте, подтверждает, что товар произведен на территории Российской Федерации;

• Обоснование безопасности — документ, подтверждающий, что оборудование безопасно при эксплуатации, включая объекты повышенной опасности;

• регистрация товарного знака — охрана уникального обозначения компании;

• сертификат “Сделано в России”, подтверждающий отечественное происхождение, возможность участия в государственных закупках;

• сертификат сейсмостойкости, необходимый при эксплуатации оборудования в сейсмоопасных районах;

• внесение в реестр Минпромторга — получение официального статуса отечественного производителя, права на участие в льготных программах.

Порядок сертификации средств защиты информации

Процедура оценки состоит из следующих этапов:

1. Подача заявки в сертификационный орган, аккредитованный ФСТЭК.

2. Анализ представленных материалов, определение схемы оценки.

3. Проведение испытаний образцов в аккредитованной лаборатории.

4. Составление итогового протокола.

5. Принятие решения о выдаче сертификата соответствия, регистрация его в реестре ФСТЭК России.

Процедура сертификации включает несколько схем проверки:

1. Испытания единичного образца, проверка системы технической поддержки.

2. Испытания выборки продукции из партии, анализ организации поддержки.

3. Проверка серийного производства, системы контроля качества на предприятии.

По завершении проверки выдается сертификат соответствия, который содержит номер, дату принятия решения, название товара, назначение, данные производителя, органа по сертификации и испытательной лаборатории. Также указываются нормативные документы, по которым проводилась оценка, и схема сертификации.

СПРАВКА. В ходе проверки эксперты оценивают степень защиты информации, устойчивость к несанкционированному доступу, корректность алгоритмов и надежность программных решений. Если в процессе испытаний выявлены несоответствия, заявителю выдают рекомендации по их устранению.

Как получить сертификат на средства защиты информации

Получить сертификат на СЗИ можно, обратившись на портал «EAC Audit». Эксперты проведут бесплатную консультацию, помогут подготовить комплект документов, определить категорию продукции, подобрать схему сертификации и организовать испытания в аккредитованной лаборатории.

Эксперты также сопровождают процесс оформления дополнительных документов — лицензий, технических условий, добровольных сертификатов, Обоснования безопасности, внесения в реестр отечественных производителей.