Требования к сертификации фстэк

Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

Испытательная лаборатория ООО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям документов ФСТЭК России и включает в себя проверки продукции и документации на нее.

Правила сертификации продукции в системе сертификации ФСТЭК определены в Положении о системе сертификации средств защиты информации, утвержденной приказом ФСТЭК России №55 от 3 апреля 2018 года. Примерная процедура проведения испытаний представлена на схеме ниже.

Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика и Google Analytics в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

Этот сайт использует сервисы веб-аналитики Яндекс.Метрика и Google Analytics. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компаниям Яндекс и Google. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс и Google обрабатывают эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.

АО «НПО «Эшелон» выполняет услуги по сертификации программного обеспечения, средств защиты информации, автоматизированных систем и систем менеджмента информационной безопасности.

АО «НПО «Эшелон» аккредитовано в качестве органа по сертификации ФСТЭК России и испытательных лабораторий в системах обязательной сертификации Минобороны России, ФСБ России, ФСТЭК России и добровольной сертификации «АйТи-Сертифика».

Испытательная лаборатория АО «НПО «Эшелон» проводит полный перечень программного и программно-аппаратного обеспечения, в том числе:

  • на соответствие требованиям по защищенности от несанкционированного доступа к информации;
  • на соответствие требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий;
  • на соответствие требованиям профилей защиты
  • на отсутствие недекларированных возможностей;
  • на соответствие заданию безопасности (по требованиям ГОСТ Р ИСО/МЭК 15408);
  • на соответствие реальных и декларируемых в документации функциональных возможностей;
  • на соответствие криптографическим и инженерно-криптографическим требованиям (КИКТ) к программным датчикам случайных чисел (ПДСЧ);
  • на соответствие требованиям по безопасности технологий разработки;
  • на соответствие требованиям международных стандартов, стандартов предприятия и др.

За последние несколько лет сотрудники АО «НПО «Эшелон» участвовали в сертификации более 1000 продуктов и систем ведущих российских и зарубежных производителей:

  • антивирусных программ: Dr.Web, Stocona antivirus Professional, Антивирус Касперского, ESET Nod32;
  • межсетевых экранов: линейки «Континент», «ФПСУ-IP», «МЭ-023», CheckPoint Firewall-1/VPN-1, Check Point UTM-1 Edge, ESET NOD32Firewall, Nortel, Cisco PIX, Cisco ASA, Eudemon, TrustAccess и МЭ Huawei;
  • систем анализа защищенности системного и сетевого уровня: «Мобильный комплекс контроля защищенности», средства мониторинга событий NetForensis, сканеров безопасности линейки XSpider, средства мониторинга нарушений «Секретер», системы комплексного мониторинга информационной безопасности MaxPatrol;
  • комплексных средств защиты от несанкционированного доступа к информации: «Security Studio», линейки «Secret Net», специализированных СЗИ линейки «Ключ»;
  • операционных систем: «Эльбрус-3М1», МСВС, «Оливия», «Trustverse Linux XP Desktop 2008 Secure Edition», МСВС (для архитектуры MIPS), «Astra Linux Special Edition», ОС РВ;
  • систем управления базами данных: «Линтер-ВС», «Firebird», «Oracle», «Microsoft SQL Server», «Линтер-Бастион»;
  • программно-аппаратных устройств CRYPTOCard, RUTOKEN, «Соболь», «ОАЗИС-мульти»;
  • прикладных сред SAP NetWeaver, системы комплексного управления безопасностью «КУБ»;
  • систем электронного документооборота: «ЭЛАР Саперион», «iPension»;
  • систем генерации паролей: «Браслетка», «УСГП»;
  • более сотни распределенных автоматизированных систем специального назначения.

Компания провела сертификацию продукции большинства зарубежных разработчиков, таких как: Microsoft, IBM, SAP, Symantec, Trend Micro, Oracle, Cisco, Check Point, Nortel, Huawei, Avaya, McAfee, Polycom, Inspur, Juniper Networks, FoxIT, ESRI, Hewlett-Pascard и др.

АО «НПО «Эшелон» неоднократно проводила успешные проекты по сертификации программного обеспечения за рубежом.

В рамках испытательной лаборатории АО «НПО «Эшелон» организован центр компетенции по применению стандартов и нормативных документов, основанных на методологии «Общие критерии» (ИСО/МЭК 15408, Common Criteria, РД Гостехкомиссии “Критерии оценки безопасности информационных технологий” и др.).

Центр специализируется на:

  • разработке профилей защиты и заданий по безопасности;
  • оказании консалтинговых услуг по подготовке средств защиты информации к сертификации в соответствии с методологией стандарта «Общие критерии»;
  • разработке документов разработчика, необходимых при проведении сертификационных испытаний (свидетельства оценщика);
  • консультировании испытательных лабораторий по проведению испытаний в соответствии с методологией стандарта “Общие критерии”;
  • независимой оценки средств защиты информации и документации;
  • организации и проведении учебных курсов для экспертов испытательных лабораторий и разработчиков.

Компания неоднократно выполняла тематические НИР. Сотрудники компании являются авторами ряда публикаций в области сертификационных испытаний.

Сотрудники испытательной лабораторииАО «НПО «Эшелон» являются экспертами ряда федеральных, ведомственных и аккредитованных органов по сертификации СЗИ и лицензированию в области защиты информации.

Учебный центр АО «НПО «Эшелон» проводит авторские курсы по подготовке экспертов испытательных лабораторий.

В настоящее время сертификация по требованиям безопасности проводится для средств защиты информации (СЗИ), а также продуктов (программных, программно-аппаратных, аппаратных), имеющие встроенные СЗИ.

Под сертификацией средств защиты информации (СЗИ) по требованиям безопасности информации (далее сертификация) понимается проверка (подтверждение) характеристик СЗИ на соответствие требованиям государственных стандартов или иных нормативных документов по защите информации, выпущенные уполномоченными федеральными органами: ФСТЭК России (Гостехкомиссией России), ФСБ России и Министерство обороны.

Федеральные органы осуществляют организацию, координацию систем сертификации и выпускают нормативные документы, определяющие требования к СЗИ. С открытыми нормативными документы системы сертификации ФСТЭК и ФСБ России Вы можете ознакомиться в разделе Нормативные документы. Для ознакомления с закрытыми материалами необходимы специальные разрешения.

В каждой из вышеперечисленных систем сертификации есть свои аккредитованные Испытательные лаборатории и Органы по сертификации: первые проводят сертификационные испытания программных продуктов и проверку их производства, вторые – экспертизу результатов этих работ (качество выполнения работ). Заявитель для проведения сертификационных испытаний средств защиты информации может выбрать любую аккредитованную испытательную лабораторию. Органы по сертификации назначаются федеральным органом. Контроль результатов сертификационных испытаний и их экспертизы, а также выдачу сертификатов соответствия осуществляют непосредственно федеральный орган.

За производство и поддержку сертифицированных СЗИ отвечают Заявители. Согласно нормативным документам Заявители должны:

  • обеспечивать соответствие средств защиты информации требованиям нормативных документов;
  • принимать меры для обеспечения соответствия и стабильности характеристик каждого выпускаемого экземпляра характеристикам эталонного экземпляра, который непосредственно подвергался сертификационным испытаниям;
  • осуществлять подготовку материалов для безопасного внедрения и эксплуатации сертифицированных СЗИ и доводить их до пользователей;
  • предоставлять сопроводительные документы установленного образца на каждый экземпляр сертифицированного СЗИ;
  • осуществлять маркировку и учет каждого произведенного экземпляра и предоставлять доступ к учетной информации должностным лицам уполномоченных органов;
  • осуществлять проверку (сертификацию) доработок и исправлений сертифицированных СЗИ и обеспечивать их доведение до пользователей.

Заявители осуществляют свою работу на основании лицензий, выдаваемых уполномоченными федеральными органами. В ряде случае правообладатели поручают организацию сертификации и производства сертифицированных версий продуктов организациям, имеющим соответствующие лицензии. Как правило, эти организации осуществляют дальнейшую сертификационную поддержку производимых продуктов.

Оставьте комментарий