Лекция для программ ППП и ППК

Система сертификации средств защиты информации

Нормативная база, процедура сертификации, уровни доверия, практическое применение и связь с безопасной разработкой ПО.

Виталий Александрович Пиков, руководитель направления обучения по РБПО, преподаватель НОУ ДПО «УЦБИ «МАСКОМ»

Введение

Зачем нужна сертификация СЗИ

Сертификация — это не формальность, а механизм доверия к средству защиты информации.

подтверждает соответствие обязательным требованиям по безопасности информации;
связывает разработчика, испытательную лабораторию, орган по сертификации и регулятора;
даёт основание применять средство в регулируемых контурах;
уменьшает риск использования неподтверждённых функций безопасности;
создаёт юридически значимый результат — сертификат соответствия.

Термины

Что понимается под сертификацией СЗИ

В логике законодательства о техническом регулировании сертификация — форма подтверждения соответствия объекта установленным требованиям. Для СЗИ это подтверждение соответствия требованиям по безопасности информации, установленным профильными нормативными документами и проведённое в установленной системе сертификации.

На практике для слушателя важны три вопроса: что сертифицируется, в какой системе, и для каких контуров это требуется.

Объекты

Что может быть объектом сертификации

Средства ТЗИ

технические, программные и программно-технические средства защиты информации;

Средства ОБИТ

средства обеспечения безопасности информационных технологий, включая защищённые средства обработки информации;

Сопутствующие объекты

средства контроля эффективности, единичные образцы, партии и серийное производство.

Регулирование

Где сертификация СЗИ требуется на практике

защита персональных данных в ИСПДн;
защита государственных информационных систем;
обеспечение безопасности значимых объектов КИИ;
защита коммерческой тайны и иной конфиденциальной информации;
защита служебной тайны в области обороны;
техническая защита информации ограниченного доступа, не содержащей гостайну.

Сама обязанность применения конкретного класса/уровня средств выводится из отраслевых требований к объекту защиты.

Нормативная база

Опорные акты, на которых строится тема лекции

Документ	Роль в теме
Постановление Правительства № 608 от 26.06.1995	Базовое положение о сертификации средств защиты информации
Приказ ФСТЭК № 55 от 03.04.2018	Положение о системе сертификации СЗИ
Приказ ФСТЭК № 76 от 02.06.2020	Уровни доверия к средствам ТЗИ и средствам ОБИТ
Приказ Минобороны № 488 от 29.09.2020	Ведомственная система сертификации СЗИ Минобороны
Приказ ФСТЭК № 240 от 01.12.2023	Сертификация процессов безопасной разработки ПО СЗИ

Система ФСТЭК

Кто участвует в системе сертификации ФСТЭК

Участники

федеральный орган по сертификации — ФСТЭК;
аккредитованные органы по сертификации;
аккредитованные испытательные лаборатории;
изготовители и иные заявители.

Ключевая логика

ФСТЭК организует систему и принимает итоговые решения;
испытательная лаборатория проводит испытания;
орган по сертификации оценивает материалы и готовит экспертное заключение.

Процедура

Общий маршрут сертификации средства в системе ФСТЭК

Подготовка заявки, документации и выбор испытательной лаборатории.

Рассмотрение заявки и решение о проведении сертификации.

Отбор образца, программа и методика испытаний, сертификационные испытания.

Экспертная оценка материалов, проект сертификата, решение о выдаче либо отказе.

Схемы

Какие схемы сертификации применяются

Единичный образец

Испытания проводятся в отношении конкретного экземпляра средства.

Партия

Испытания охватывают выборку либо всю партию — в зависимости от типа средства.

Серийное производство

Проверяются образцы, организация производства и техническая поддержка.

Документы заявителя

Что обычно готовит заявитель

заявку на сертификацию;
технические условия;
техническое задание — если сертификация идёт на соответствие ТЗ;
задание по безопасности — когда оно требуется по профилю требований;
формуляр или паспорт средства;
договоры, подтверждение прав, сведения о лицензиях разработчика/изготовителя.

Испытания

Что входит в сертификационные испытания

оценка соответствия параметров и функций безопасности требованиям;
проверка организации технической поддержки;
для серийного производства — проверка организации производства;
оформление протоколов испытаний и технического заключения;
при необходимости — повторные испытания после устранения недостатков.

Для слушателя важно различать: испытательная лаборатория формирует материалы испытаний, а орган по сертификации — экспертное заключение.

Результат

Что означает сертификат соответствия

Сертификат подтверждает, что конкретное средство, его образец, партия или серийное производство соответствуют установленным требованиям по безопасности информации в пределах указанной схемы сертификации и срока действия.

для серийного производства срок ограничен;
для единичного образца или партии срок не устанавливается;
сертифицированным считается именно то, что выпущено в период действия сертификата и поддерживается изготовителем.

Сроки

Срок действия, продление, приостановление и прекращение

Базовое правило

Срок действия сертификата на серийное производство не превышает пяти лет.

Почему это важно

Истечение срока не означает автоматическую допустимость дальнейшего производства. Нужны продление, подтверждённая техническая поддержка и соблюдение условий применимости.

Отдельно предусмотрены процедуры переоформления, выдачи дубликата, приостановления и прекращения действия сертификата.

Поддержка

Почему техническая поддержка стала критическим элементом

сертифицированное средство должно оставаться сопровождаемым;
уязвимости и недостатки должны устраняться в рамках процедур поддержки безопасности;
обновления и изменения документации должны доводиться до потребителя;
прекращение поддержки может повлечь приостановление действия сертификата.

Это особенно важно для программных и программно-технических средств, где риск устаревания функций безопасности высок.

Уровни доверия

Зачем нужны уровни доверия по приказу № 76

Уровень доверия характеризует глубину уверенности в безопасности средства и строгость требований к его разработке, испытаниям и поддержке.

установлено 6 уровней доверия;
6 уровень — самый низкий, 1 уровень — самый высокий;
уровень доверия выбирается не произвольно, а в привязке к классу/категории защищаемой системы;
для ряда средств именно уровень доверия становится центральным критерием пригодности.

Применимость

Как уровни доверия связаны с классами защищённости

Уровень доверия	Типовые контуры применения
6	ЗО КИИ 3 категории, ГИС 3 класса, АСУ ТП 3 класса, ИСПДн для 3 и 4 уровня защищённости
5	ЗО КИИ 2 категории, ГИС 2 класса, АСУ ТП 2 класса, ИСПДн для 2 уровня защищённости
4	ЗО КИИ 1 категории, ГИС 1 класса, АСУ ТП 1 класса, ИСПДн для 1 уровня защищённости, ИСОП II класса

Для более высоких уровней применимость расширяется на более чувствительные контуры, включая обработку защищаемой информации более высокого уровня значимости.

Содержание требований

Три группы требований уровня доверия

Разработка и производство

модель безопасности, архитектура, спецификация, проектная документация, конфигурация, безопасная разработка.

Проведение испытаний

тестирование, поиск уязвимостей и НДВ, анализ скрытых каналов — когда он требуется.

Поддержка безопасности

устранение недостатков, обновления, документирование процедур и информирование об окончании поддержки.

Разработка

Какие артефакты разработки ожидаются от средства

модель безопасности средства;
описание архитектуры безопасности;
функциональная спецификация интерфейсов и функций;
эскизный и технический проекты;
документация по управлению конфигурацией;
документация по безопасной разработке;
эксплуатационная документация пользователя и администратора.

Модель безопасности

Что даёт модель безопасности на практике

Практический смысл

Она фиксирует, какие политики безопасности реализует средство и почему его механизмы действительно поддерживают эти политики.

для средств с функцией разграничения доступа описываются политики управления доступом;
для средств фильтрации — политики фильтрации информационных потоков;
на более высоких уровнях доверия требуется формальное или формализованное описание и доказательство корректности условий безопасности.

Архитектура

Архитектура безопасности должна отвечать на три вопроса

Можно ли обойти функции безопасности средства?
Защищены ли сами функции безопасности от несанкционированного доступа?
Безопасен ли процесс инициализации и запуск средства?

Именно поэтому в учебной и проектной практике архитектура безопасности — это не «красивая схема», а обоснование невозможности обхода защитных механизмов.

Документация

Почему сертифицируемое средство неизбежно «тяжёлое» по документированию

Нужно показать

что реализовано;
как это реализовано;
как это тестируется;
как это поддерживается.

Нужно доказать

неизменность конфигурации;
прослеживаемость требований;
управляемость изменений;
контроль над заимствованными компонентами.

Испытания

Тестирование, уязвимости, НДВ, скрытые каналы

тестовая документация должна покрывать интерфейсы, подсистемы и модули — в зависимости от уровня доверия;
испытания по выявлению уязвимостей и НДВ обязательны для всех уровней доверия;
для 4 уровня доверия и выше существенным становится анализ скрытых каналов;
доказательная база оформляется в протоколах и техническом заключении.

Для разработчика это означает необходимость готовить средство к внешней проверке, а не только к внутреннему QA.

Поддержка безопасности

Как выглядит жизненный цикл сертифицированного средства

Мониторинг недостатков, уязвимостей и информации из внешних источников.

Разработка компенсирующих мер или ограничений по применению.

Исправление средства, обновление документации и доведение изменений до потребителей.

Подтверждение того, что поддержка безопасности продолжается и средство остаётся допустимым к применению.

Практический вопрос

Почему нельзя подменять сертификацию СЗИ «наличием хорошего SDLC»

Безопасная разработка и сертификация продукта связаны, но это разные объекты оценки.

Сертификация СЗИ

Оценивает конкретное средство, его функции безопасности, документацию, испытания, производство и поддержку.

Сертификация БРПО

Оценивает процессы проектирования и производства ПО средств защиты информации, а не конкретный экземпляр продукта.

РБПО

Что проверяют при сертификации процессов безопасной разработки

наличие руководства и документации по БРПО;
наличие инструментальных средств разработки и анализа ПО;
реальное выполнение процессов безопасной разработки, описанных в документации;
реализацию процедур поддержки безопасности ПО.

Для среды РБПО базовым ориентиром выступает ГОСТ Р 56939-2024, а сама процедура сертификации процессов закреплена приказом № 240.

Сравнение

СЗИ и БРПО: удобная таблица для слушателя

Критерий	Сертификация СЗИ	Сертификация БРПО
Объект	конкретное средство	процессы разработки и производства ПО
Результат	сертификат на средство / производство	сертификат на процессы
Что доказывает	соответствие функций безопасности и жизненного цикла требованиям	наличие зрелой и управляемой безопасной разработки
Заменяет ли другое	нет	нет

Минобороны

Чем отличается ведомственная система Минобороны

система предназначена для средств, планируемых к применению в Вооружённых Силах РФ;
функции федерального органа по сертификации выполняются в структуре Минобороны;
есть своя процедура подачи заявки, проведения испытаний, выдачи и продления сертификатов;
особое значение имеют режим секретности, лицензии и взаимодействие с военным представительством.

Минобороны

Что важно помнить о сертификации в системе Минобороны

Для заявителя

требуются профильные лицензии;
испытания проводятся на территории РФ;
сертификат на серийное производство ограничен по сроку.

Для эксплуатации

важны отсутствие изменений средства;
приостановление и прекращение действия сертификата прямо влияют на производство и применение;
для продления сертификата требуется согласование в установленном порядке.

Регуляторы

Как корректно распределять роли ФСТЭК, ФСБ и Минобороны

ФСТЭК — ключевой регулятор по технической защите информации и сертификации большинства СЗИ вне криптографии;
ФСБ — регулятор по криптографической защите информации и ряду смежных вопросов;
Минобороны — отдельная система сертификации для средств, предназначенных для применения в Вооружённых Силах РФ.

В лекции важно не смешивать эти контуры и употреблять только краткие наименования регуляторов.

Практика внедрения

Что должен проверить заказчик перед закупкой или внедрением СЗИ

Наличие сертификата и его применимость к нужному контуру.
Схему сертификации: образец, партия или серийное производство.
Срок действия сертификата и актуальность технической поддержки.
Соответствие уровня доверия или класса требованиям объекта защиты.
Отсутствие ограничений по версии, составу и среде функционирования.

Типовые ошибки

Где организации чаще всего ошибаются

смотрят только на наличие сертификата, но не на схему сертификации;
не проверяют актуальность техподдержки и обновлений;
используют средство вне пределов заявленной среды функционирования;
смешивают сертификацию СЗИ с сертификацией процессов разработки;
не связывают требования к средству с категорией или классом самой системы.

Методический вывод

Как объяснить тему слушателю «не из сертификации»

Сертификация СЗИ отвечает на вопрос: можно ли доверять конкретному средству защиты информации для применения в определённом регулируемом контуре. Сертификация БРПО отвечает на вопрос: умеет ли организация безопасно разрабатывать такое ПО системно и воспроизводимо.

Актуализация

Что важно учитывать по состоянию на дату подготовки лекции

приказ № 55 действует с изменениями 2021 и 2022 годов;
приказ № 76 продолжает использоваться как основа привязки уровней доверия к средствам ТЗИ и средствам ОБИТ;
приказ № 240 о сертификации процессов БРПО действует и в 2025 году в него внесены изменения;
ГОСТ Р 56939-2024 введён в действие и применяется как основной стандарт по безопасной разработке в данном контексте;
для ГИС действуют новые требования приказа № 117 от 11.04.2025, поэтому при учебных примерах ссылаться на приказ № 17 уже нельзя без оговорки.

Вопросы к аудитории

Блок для обсуждения и проверки понимания

Когда сертификат на серийное производство не гарантирует допустимость конкретной поставки?
Почему уровень доверия нельзя выбирать отдельно от класса или категории системы?
Чем сертификация процессов БРПО помогает разработчику, но не заменяет сертификацию СЗИ?
Какие риски возникают при прекращении технической поддержки средства?

Контакты

Спасибо за внимание

Пиков Виталий Александрович

Руководитель направления обучения по РБПО, преподаватель НОУ ДПО «УЦБИ «МАСКОМ»

Email: vitaly@pikov.expert

Telegram: @UnderLineSecurity

Сайт УЦ МАСКОМ: mascom-uc.ru

Обучение в УЦ МАСКОМ осуществляется по программам профессиональной переподготовки и повышения квалификации. К началу обучения слушатель должен предоставить копию диплома о высшем или среднем профессиональном образовании либо справку об обучении не ниже третьего курса.

«Ты должен чётко понимать, чего ты хочешь добиться, иначе ты просто течёшь по течению…»

Эта лекция рассчитана на слушателя, которому нужно не только знать порядок сертификации, но и уметь применить его в проектах по защите информации.