Что такое ФСТЭК и зачем нужна сертификация ПО для госорганов?



Государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. Поэтому к программному и аппаратному обеспечению, которое используется в государственных и местных органах власти, важных государственных учреждениях и предприятиях, предъявляются особые требования.

В частности, это защита информации от несанкционированного доступа (НСД), недекларированных возможностей (НДВ), надежность и контролируемость системы, защита персональных данных.

Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации.

Уполномоченным органом, наделенным правом устанавливать обязательные требования к ПО по защите информации в РФ (в соответствии со ст.15 ФЗ 149) является ФСТЭК России (Федеральная служба по техническому и экспортному контролю).

Некоторые ИТ системы (использующие криптографическую защиту) должны также проходить сертификацию ФСБ.

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов.

По результатам испытаний ИТ система получает сертификат о присвоении соответствующего класса защиты (на соответствие требованиям к отсутствию недекларированных возможностей по соответствующему уровню контроля). Сертификат ФСТЭК выдается на определенный срок, по истечению которого его нужно обновить.