Вопросы защиты информации - неотъемлимая часть личной жизнью людей, но и кроме этого, имеет связь с работой, функционированием государства, бизнесов и т.д. В современном мире, где постоянно формируется единое информационное пространство, способы защиты информации, становятся основополагающим принципом построения взаимодействия всех структур государства, начиная от госорганов и банков, заканчивая больницами и общественным транспортом.
Главной задачей любого государства, является обеспечение контроля информации, которая связана с государственной безопасностью. По этой причине, к программным решениям, которые находятся на локальном рынке, и которые связаны с любой государственной структурой, предъявляются особые требования к ПО и они должны быть сертифицированы ФСТЭК. Среди систем с особыми требованиями можно выделить: системы органов государственной власти, правоохранительных органов, информационные системы банкового сектора, телеком системы, системы внутренней связи правоохранительных структур, сети связи в районах без резервного канала связи, системы управления электроснабжением, общественным и воздушным транспортом, системы управления ликвидации ЧС и управление водоснабжением и т.д. Как видно, значимая часть государственных систем, требуют защиты данных. В перечисленных системах происходит обработка, обмен и хранение различной информации, которая в той или иной степени, влияет на информационную безопасность государства.
Что такое сертификация ФСТЭК
Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.
Сертификация ФСБ предназначена для проверки программного обеспечения, использующее криптографические алгоритмы. Сертификацию проходит программное обеспечение только с российскими алоритмами, любые другие сразу отсекаются. Требования для систем ФСБ находятся в закрытом доступе.
Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.
Что такое сертифицированный продукт?
В мире, все программное обеспечение, проходит международную сертификацию Common Criteria. Однако сертификация ФСТЭК, значительно отличается от общемирового стандарта. Для каждого экземпляра ПО или патча, который хочет претендовать на сертификат, проводится отдельная проверка на соответствие стандартам. То есть любой, выпущенный патч или обновленная версия, должна проходить сертификацию снова. Лишь только после дополнительных проверок, программное обеспечение может считать сертифицированным ФСТЭК. В свою очередь, компетентные органы, могут в любой момент проверить наличие дополнительных сертифицированных патчей и исправлений для выпущенного программно обеспечения.
Common Criteria, имеет другую систему сертификации. Любое программное обеспечение проверяется только один раз, все последующие патчи и обновления, могут содержать вредоносный код, или алгоритмы шифрования, которые могут нести в себе угрозу для государственной безопасности. Таким образом мы имеем, что новая версия ПО, на бинарном уровне может координально отличаться от той, которая получила сертификат.
Как ФСТЭК производит сертификацию?
ФСТЭК не является испытательной лабораторией, это государственный орган исполнительной власти, который инициирует проверки. Все действия по сертификации производят официальные лицензиары, которыми являются различные экспертные организации и лаборатории.
Заказчик проверки, разработчик программного обеспечения, может сам выбрать для проверки любую сертифицированную испытательную лабораторию, однако обычно, ФСТЭК сам назначит экспертную организацию, которая будет проверять результат.
Почему нужно покупать ПО сертифицированное ФСТЭК?
В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.
?