Любое программное обеспечение, работающее с конфиденциальной информацией, должно иметь определённый уровень защиты от несанкционированного доступа к этой информации. В самом коде продукта не должно быть «тёмных мест». Официально это называется недекларированные возможности – не описанные возможности программы, которыми могут воспользоваться потенциальные злоумышленники. У каждого производителя ПО, российского и зарубежного – собственные требования к безопасности их продукта. Понятно, что никто не будет делать «дырявую» систему. Но так или иначе на рынке софта нужны общие для всех правила игры. Особенно там, где речь идёт о «чувствительных» данных.

1. Что такое сертификация ФСТЭК

На российском рынке средств защиты информации общие для всех правила игры устанавливает Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В своих документах ведомство делит весь софт, работающий с конфиденциальной информацией, на группы – уровни доверия, а также описывает свойства, которыми должен обладать продукт того или иного уровня. В зависимости от уровня тот или иной продукт может быть допущен для работы с гостайной или с данными обычного предприятия либо учреждения. 

2. Какими бывают уровни доверия

Самый низкий уровень – шестой, самый высокий – первый. Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в работе со сведениями, составляющими государственную тайну. 

Средства защиты информации, соответствующие четвертому, пятому и шестому уровням доверия, применяются в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных, соответственно 1, 2 или 3 уровня защищенности. 

3. В 2019 году ФСТЭК выпустил новые требования, чем они отличаются от предыдущих?

До 2019 года для сертификации ФСТЭК производители и вендоры пользовались «Руководящим документом «Защита от несанкционированного доступа к информации», изданным ещё в 1999 году. Если говорить максимально упрощённо: старые требования описывали то, чего в надёжном продукте быть не должно. 

Новые, кроме этого, описывают, как следует разрабатывать и поддерживать свой продукт. Например, сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что на уровне процесса вредоносный код будет невозможно внести даже умышленно.

4. Сертификация обязательна для всех?

Сертификация добровольная. Но для предприятия, которое хочет работать с государственными структурами, наличие сертификата ФСТЭК является фактически пропуском к заказам. У министерства обороны система сертификации своя, но опирается она на регламенты ФСТЭК. Для сертификации по первым трём уровням доверия (для работы с гостайной) разработчику или вендору нужно предоставить для анализа исходный код продукта. Этот пункт при обсуждении нового регламента в СМИ вызвал наибольшую полемику, хотя подобное требование действовало и раньше.

5. На какой срок выдаётся сертификат?

Максимальный срок – 5 лет. При этом новые правила допускают, что продукт можно использовать и после этого срока, если производитель или вендор обеспечат поддержку продукта в соответствии с уровнем.

6. Когда завершится сертификация по новым правилам?

Первоначально регулятор собирался завершить процесс сертификации к 1 января 2020 года. Однако затем срок был продлён до 1 июня. По словам представителей ФСТЭК после этой даты действие всех непереоформленных сертификатов будет приостановлено. У производителей и поставщиков софта останется три месяца чтобы подать заявку на переоформление, иначе сертификат будет отозван окончательно. На сегодняшний день дополнительных разъяснений регулятор не дал. Эксперты связывают ситуацию с пандемией коронавируса и вынужденным снижением деловой активности IT-рынка.

7. Кому это может быть полезно?

По задумке ФСТЭК, новые правила должны быть полезны прежде всего конечному потребителю, который будет строить доверенную систему – максимально защищённую от внешних воздействий и внутренних возможных проблем. На первый взгляд, прописанные требования к разработке абсолютно естественны и разумны. Любой уважающий себя разработчик будет следовать тем же принципам, особенно при разработке средств защиты информации. С другой стороны, такая сертификация – по сути дела добровольное заявление производителя, подтвержденное государством о том, что и процесс разработки, и сам продукт разработки – максимально надёжны и безопасны. 

СУБД ЛИНТЕР БАСТИОН сейчас проходит процесс сертификации на соответствие новым требованиям ФСТЭК. Работы находятся на завершающем этапе. ЛИНТЕР БАСТИОН сертифицирована ФСТЭК по 2 классу НСД и 2 уровню НДВ. Это позволяет создавать автоматизированные системы с классом защищенности 1Б и работать со сведениями, составляющими гостайну.