Общее описание и законодательная база.

Государственные структуры
изучают данный документ особенно тщательно. Еще в 2015 году было
принято постановление, обязывающее их использовать только
сертифицированные средства защиты информации. С тех пор в него дважды
вносились дополнения – актуальная версия обновлена в июне 2023 года.
Если компания обязана осуществлять свою деятельность в соответствии с
Федеральным законом №152 о защите персональных данных, без реестра
СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно
сертифицированных средств защиты информации требуют госзакупки в
соответствии с ФЗ№44 и ФЗ№223.
Процесс сертификации и его этапы. Прогнозировать, сколько времени
займет сертификация конкретного продукта – дело весьма неблагодарное. В
плане компании лучше заложить на это дело порядка года, однако сроки
могут меняться. Процесс разделен на несколько этапов, которые подробно
описаны в приказе ФСТЭК «Об утверждении положения о системе
сертификации средств защиты информации». Схематично они выглядят так:
 подача заявки во ФСТЭК;
 решение о сертификации, когда ответ регулятора положительный;
 сами сертификационные испытания, включающие составление
лабораторией их методики, сам процесс по составленной ранее
документации и оформление заключения;
 анализ материалов испытаний органом по сертификации;
 оформление самого сертификата при принятом положительном
решении.
Анна Кривенко, эксперт центра развития продуктов NGR Softlab:
— Сертификационные испытания СЗИ – это, пожалуй, самый сложный и
длительный этап сертификации. Он начинается с отбора образцов продукта и
документации. Далее лаборатория в течение 20 дней оформляет программу
и методики испытаний, а орган по сертификации рассматривает и утверждает
их еще 30 дней. В процессе испытаний, которые проводятся по
утвержденным программе и методикам, лаборатория производит оценку
соответствия заявленных характеристик продукта фактическим, а также
проверяет соответствие продукта и процессов его разработки, производства,
поддержки предъявляемым требованиям. По результатам проверок
лаборатория оформляет протоколы и техническое заключение.
Читай слайд
Если в процессе сертификации выявлены несоответствия, компания может их
исправить, а не прекращать сертификацию. Однако работа над
исправлениями в моменте и необходимость оперативно устранять
замечания могут означать для команды излишнюю нагрузку и стресс. Как раз
тот случай, когда лучше по максимуму подстелить соломки заранее.
Все только начинается. Дополнительно компания обязана вести
специальный журнал учета. В него вносят каждую копию
сертифицированного СЗИ, которое промаркировано в соответствии с
требованиями. Третье обязательство – предоставлять во ФСТЭК отчетность по
промаркированным образцам сертифицированного средства защиты
информации. Делать это необходимо ежегодно.
Выводы. Другой важный вывод – для получения желаемого результата не
стоит торопиться на этапе предварительной подготовки. Важно убедиться в
базовом соответствии своего решения всем требованиям к СЗИ
определенного класса до подачи заявки. Даже такой сценарий полностью не
исключит необходимости доработок «здесь и сейчас», но уменьшит
вероятность такого развития событий. Получения желаемого сертификата
ФСТЭК – не только важная веха для разработчика, но и ответственность. У
компании появляются дополнительные обязательства, которые необходимо
соблюдать.
А теперь сам реестр