Сертификат ФСТЭК

Что такое сертификат ФСТЭК и зачем он нужен

Сертификат ФСТЭК — это официальный документ, подтверждающий, что продукт (ПО/АПК-решение) или информационная система соответствует действующим требованиям ФСТЭК России в части защиты информации (без криптографии).
Он нужен, чтобы:

участвовать в госконтрактах и корпоративных закупках с обязательными требованиями к ИБ;
формально подтвердить заявленные функции защиты и уровень доверия;
снизить риски при проверках и пройти внутренние/внешние аудиты;
быть включённым в реестры и рекомендованные перечни (при наличии соответствующих процедур).

Важно: криптографические функции (шифрование, СКЗИ) относятся к компетенции ФСБ. При их наличии требуется отдельное оформление в ФСБ. Мы подскажем, как грамотно развести области ответственности.

Что мы сертифицируем

Средства защиты информации (СЗИ): межсетевые экраны, системы обнаружения вторжений, DLP, анти-ВПО, средства контроля целостности, средства виртуализации и др.
Программные и аппаратно-программные продукты: ОС, гипервизоры, прикладные решения с функциями защиты.
Информационные системы: государственные ИС, ИСПДн, элементы КИИ, АСУ ТП — на предмет соблюдения требований ФСТЭК (через оценку соответствия/аттестацию по документации ФСТЭК).

Как проходит процесс

Предварительная диагностика
Разбираем объект сертификации, границы и сценарии использования. Определяем применимые требования ФСТЭК и уровень/класс защиты.
План работ и стратегия соответствия
Формируем дорожную карту: какие доработки нужны, какие доказательные материалы собрать, как пойдём в испытания.
Подготовка документации
Помогаем оформить комплект: модели угроз и нарушителя, ТУ/РЭ, описания функций безопасности, методики и программы испытаний, эксплуатационную документацию.
Предварительные (входные) испытания
Проводим gap-анализ и тестирование в нашей лаборатории/стенде, чтобы исключить сюрпризы перед официальными испытаниями.
Официальные испытания
Организуем и сопровождаем испытания в аккредитованной лаборатории: функциональные проверки, анализ уязвимостей, проверка стойкости механизмов защиты.
Рассмотрение в органе по сертификации
Собираем доказательную базу, взаимодействуем с органом по сертификации, отвечаем на запросы, корректируем пакет при необходимости.
Получение сертификата
Вы получаете сертификат соответствия ФСТЭК и комплект протоколов/заключений. При необходимости — постановка в соответствующий реестр.
Сопровождение и инспекционный контроль
Помогаем поддерживать статус: изменения версий, выпуски патчей, доказательная база для инспекционного контроля, консультации.

Сроки и стоимость

Зависят от типа и сложности объекта, объёма доработок, состава документации и выбранной схемы испытаний. После краткого интервью и экспресс-диагностики предоставим фиксированное коммерческое предложение с графиком работ.

Стоимость

по запросу

Чем сертификация ФСТЭК отличается от аттестации?

Сертификация подтверждает соответствие конкретного продукта (СЗИ/ПО). Аттестация (оценка соответствия) — подтверждение, что информационная система в конкретной конфигурации отвечает требованиям. Часто эти процессы идут параллельно: сертифицированные СЗИ упрощают аттестацию ИС.

Нужна ли сертификация, если в продукте есть криптография?

Да, но криптографические функции курирует ФСБ. Мы поможем разделить функцию на «крипто» и «некрипто» часть, собрать пакеты в обе инстанции и согласовать сроки.

Можно ли сертифицировать только модуль безопасности внутри большого продукта?

Да, при корректно описанных границах и интерфейсах. Мы поможем определить объект сертификации так, чтобы снизить риски и трудозатраты.

Что с обновлениями продукта после получения сертификата?

Возможны ограничения на изменения. Мы заранее выстраиваем политику версионирования и процедуру оценки влияния изменений, чтобы сохранить статус соответствия и успешно проходить инспекционный контроль.

Узнайте стоимость и сроки оформления в течение 3 минут: