Сертификации средств защиты информации в России

В России есть два пути сертификации СЗИ — ФСТЭК (технические средства защиты, ИБ-ПО/аппаратные решения) и ФСБ (всё, где есть криптография/СКЗИ).
Процедуры формально похожи:

заявка → испытания в аккредитованной лаборатории → экспертное заключение → сертификат и внесение в реестр.

Определитесь, где сертифицироваться

• ФСТЭК России — техсредства защиты, средства обеспечения безопасности ИТ, в т.ч. защищённые средства обработки информации. Основа — Положение о системе сертификации ФСТЭК (приказ № 55).
• ФСБ России — шифровальные (криптографические) средства (СКЗИ) и СЗИ для гостайны. Сертификацию организует ЦЛСЗ ФСБ. В ГИС и др. гос-системах допускаются только СКЗИ, сертифицированные ФСБ.

Лицензии у разработчика/изготовителя

• Для СЗИ по линии ФСТЭК: нужна соответствующая лицензия ФСТЭК (для гостайны — на создание СЗИ гостайны; для конфиденциальной информации — на разработку/производство СЗКИ). Это прямо указано в приказе № 55.
• Для работ со СКЗИ: требуются лицензии ФСБ (выдаёт ЦЛСЗ ФСБ).

Базовые этапы сертификации (на примере ФСТЭК)

1. Заявка и выбор аккредитованных органа по сертификации и испытательной лаборатории.
2. Программа и методика испытаний (ПМИ): лаборатория готовит её после отбора образцов; срок подготовки ПМИ — до 20 календарных дней со дня отбора образцов.
3. Сертификационные испытания по ПМИ.
4. Пакет материалов на экспертизу в орган по сертификации: ПМИ и протоколы, техническое заключение, акт отбора образцов, ТУ/извещение об изменениях, (при наличии) задание по безопасности, формуляр (паспорт) и др. — перечень фиксирован.
5. Экспертное заключение и сертификат соответствия; запись в реестре. Максимальный срок действия сертификата — до 5 лет (для серийной продукции; на единичные образцы/партии срок не устанавливается). Есть механизм продления по заявке.

Нормативная «рамка» всей процедуры задаётся Постановлением Правительства РФ № 608 «О сертификации средств защиты информации».

Уровни доверия (для ФСТЭК)

При сертификации многие типы СЗИ подтверждают соответствие уровням доверия (1 — самый высокий, 6 — базовый) по приказу ФСТЭК № 76. Конкретный уровень зависит от класса/категории ИС (ГИС, ИСПДн, КИИ, АСУ ТП и т.п.) и профилей требований.

Сертификация через ФСБ (СКЗИ) в общих чертах

Подаёте заявку в ЦЛСЗ ФСБ, проходите испытания в аккредитованной лаборатории ФСБ, затем выдается сертификат ФСБ. Для систем госорганов требование простое: применять можно только сертифицированные ФСБ СКЗИ.