Главная → Статьи → Как получить сертификат на продукт информационной безопасности в России

Как получить сертификат на продукт информационной безопасности в России

28.10.2014 / 08:33

Чтобы получить сертификат на продукт информационной безопасности в России, требуется, в первую очередь, определить, какие сертификаты необходимы.

Продукт для информационной безопасности обладает неким функционалом по защите информации. Именно эти функциональные возможности нужно выделить в рамках сертификации и получить на них тот или иной сертификат.

Напомним, в России есть две крупные системы сертификации: ФСТЭК России (Федеральная служба по техническому и экспортному контролю), и ФСБ России (Федеральная служба безопасности). Средства защиты информации, которые содержат в себе криптографическое преобразование, проходят процедуру сертификации в рамках системы сертификации ФСБ России. Все остальные продукты, где криптография отсутствует, проходят сертификацию в ФСТЭК России. Если же присутствует и криптография, и другой функционал, то необходимо получить два сертификата - от ФСТЭК и ФСБ.

В рамках сертификации ФСТЭК России можно получить сертификат на средство вычислительной техники (СВТ), сертификат на отсутствие недекларированных возможностей и сертификат на технические условия. Именно два последних получают большинство компаний, которые сертифицируют свои продукты.

Представим процедуру сертификации в упрощенном виде. Итак, во-первых, производителем изделия должно являться юридическое лицо, резидент РФ. Данная компания должна иметь лицензии (в нашем упрощенном варианте - это лицензии ФСТЭК России), в частности, на разработку средств защиты конфиденциальной информации. Компания, обладающая лицензией, выступает заявителем на сертификацию.

Во-вторых, для испытания изделия необходимо выбрать испытательную лабораторию. Испытательная лаборатория - это компания, которая получила аккредитацию в ФСТЭК России, и имеет право проводить испытание продукции, в данном случае средств защиты информации. С испытательной лабораторией заключается договор на оказание услуг по проведению испытаний. Затем подается заявка в ФСТЭК России, с просьбой о предоставлении разрешения на проведение сертификационных испытаний. В заявке обязательно указывается компания, которая будет выступать в качестве испытательной лаборатории.

Затем ФСТЭК России рассматривает заявку и готовит решение, присваивает ему определенный номер и сообщает о разрешении провести испытания. Производитель средства защиты информации проводит испытание изделия в испытательной лаборатории. Под испытаниями, как правило, подразумевается проверка оборудования ("железа") и программного обеспечения. В частности, для проверки отсутствия недекларированных возможностей проверяется функционал изделия и его открытый код. Для этого существует специальное ПО, которое позволяет снимать контрольные суммы с файлов в открытом коде. Чтобы провести такую проверку, сотрудники испытательной лаборатории выезжают в головной офис производителя, который обычно находится за границей. Там снимаются соответствующие контрольные суммы, готовятся документы с описанием декларируемых возможностей, и констатируется отсутствие недекларируемых возможностей.

Важно!

Если в продукте заложен функционал, который может быть воспринят как вредный, то производителю необходимо сразу об этом заявить. В дальнейшем, на этапе подписания выписки сертификата и эксплуатации, это позволит избежать возникновения неприятных ситуаций, в случае выяснения того, что продукт на самом деле обладает какими-то странными функциями. К таковым относится, например, паразитный трафик - когда программное обеспечение вдруг пробрасывает канал, соединяется с каким-то удаленным сервером и обменивается с ним пакетами информации. О таком функционале лучше заявить сразу, объяснить, для чего он нужен и как он работает.

После испытаний

После проведения всех соответствующих испытаний, сбора контрольных сумм специалисты возвращаются в лабораторию и готовят пакет документов для передачи его в орган по сертификации - организацию, назначенную ФСТЭК России, которая произведет проверку результатов работы испытательной лаборатории. По сути, существует двойной контроль продукта.

Для проведения проверки по сертификации заявитель (компания-производитель) должен заключить договор с органом по сертификации. После этого лаборатория сможет передать ему пакет документов для рассмотрения. Далее орган по сертификации подготовит положительное или отрицательное заключение.

Что мы получаем в результате? Решение ФСТЭК России, результаты испытаний, положительное заключение от испытательной лаборатории и от органа по сертификации. После этого орган по сертификации самостоятельно передает документы во ФСТЭК России для выписки сертификата.

Именно так выглядит процедура сертификации в упрощенном режиме в Федеральной службе по техническому и экспортному контролю России.

Сроки сертификации

Как правило, процедура сертификации занимает от 6 до 12 месяцев. Но иногда случаются задержки, а бывает, что сертификацию проходят раньше указанного срока. Это зависит от правильного выбора партнера. Можно выделить несколько нюансов: во-первых, необходимо правильно выбирать испытательную лабораторию. В ней должны работать высококвалифицированные специалисты, которые имеют соответствующий опыт. Речь не об опыте по факту наличия лицензии, а о реальном опыте конкретных людей, которые будут заниматься процедурой сертификации. Это должны быть люди, знающие свое дело, с серьезной репутацией. Во-вторых, необходимо подготовить правильную методику испытания. Это позволит избежать ситуации, при которой не до конца понятно, что и как испытывать. Программа методики должна готовиться заранее. В-третьих, при проведении сертификации на технические условия нужно четко понимать, для каких целей продукт будет использоваться клиентами. Например, если изделие будет использоваться для фильтрации сетевых пакетов, необходимо указать этот функционал в рамках технических условий и провести проверку именно этого функционала. Учитывая особенности российской практики, когда заказчики во время проектирования опираются на данные, описанные в технических условиях и сертификатах, это условие приобретает особую значимость.

После выписки сертификата и получения его представителем готовится пакет документов по сертификации, который необходимо приложить к изделию. Если это программное обеспечение, то, как правило, подается диск с записью данного ПО и формуляр с техническими условиями. Также это могут быть голографические наклейки. Заметим, что изделие можно продать как сертифицированное, так и несертифицированное - в зависимости от наличия упомянутого пакета документов.

Евгений Царев