Сертификация программного обеспечения во ФСТЭК России: полное руководство по регуляторным требованиям

Информационная статья для специалистов по информационной безопасности и разработчиков средств защиты информации

Введение

Сертификация программного обеспечения (ПО) в Федеральной службе по техническому и экспортному контролю (ФСТЭК России) — это обязательная процедура для производителей средств защиты информации (СЗИ), предназначенных для защиты сведений, составляющих государственную тайну, или иной информации ограниченного доступа.

Данная статья призвана помочь разработчикам, производителям и заказчикам СЗИ разобраться в актуальных регуляторных требованиях и понять последовательность действий при прохождении сертификации.

1. Нормативно-правовая база

Процедура сертификации регулируется следующими основными документами:

Документ	Дата	Номер	Содержание	Ссылка
Постановление Правительства РФ от 26.06.1995	1995	№ 608	О сертификации средств защиты информации	КонсультантПлюс
Постановление Правительства РФ от 15.05.2010	2010	№ 330	Об особенностях оценки соответствия продукции	Гарант
Приказ ФСТЭК России от 03.04.2018	2018	№ 55	Положение о системе сертификации СЗИ	fstec.ru
Приказ ФСТЭК России от 02.06.2020	2020	№ 76	Требования по безопасности информации (уровни доверия)	fstec.ru
Приказ ФСТЭК России от 01.12.2023	2023	№ 240	Порядок сертификации процессов безопасной разработки ПО	fstec.ru

Дополнительные нормативные акты:

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — КонсультантПлюс
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — КонсультантПлюс
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — КонсультантПлюс
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…» — КонсультантПлюс

Важно: С 1 июня 2024 года вступил в силу новый Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации (Приказ № 240).

2. Что подлежит сертификации

2.1. Средства защиты информации

Сертификации в системе ФСТЭК России подлежат:

Средства противодействия иностранным техническим разведкам
Средства технической защиты информации (включая средства, в которых они реализованы)
Средства контроля эффективности технической защиты информации
Средства обеспечения безопасности информационных технологий (включая защищённые средства обработки информации)

2.2. Процессы безопасной разработки ПО

Отдельно сертифицируются процессы безопасной разработки программного обеспечения СЗИ на соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Преимущество: Наличие действующего сертификата процессов безопасной разработки позволяет изготовителям самостоятельно проводить испытания при внесении изменений в сертифицированное СЗИ (включая добавление новых функций безопасности или обновление версий ПО).

3. Уровни доверия к средствам защиты информации

Согласно Приказу ФСТЭК России № 76, устанавливается 6 уровней доверия (самый низкий — 6-й, самый высокий — 1-й):

Уровень доверия	Область применения
4 уровень	Значимые объекты КИИ 1 категории (Приказ № 31), ГИС 1 класса (Приказ № 17), АСУ ТП 1 класса (Приказ № 239), ИСПДн 1 уровня защищённости (Приказ № 21), ИСОП II класса
5 уровень	Значимые объекты КИИ 2 категории, ГИС 2 класса, АСУ ТП 2 класса, ИСПДн 2 уровня защищённости
6 уровень	Значимые объекты КИИ 3 категории, ГИС 3 класса, АСУ ТП 3 класса, ИСПДн 3-4 уровней защищённости

Соответствие классов СЗИ и уровней доверия:

Средства защиты информации 6 класса → 6 уровень доверия
Средства защиты информации 5 класса → 5 уровень доверия
Средства защиты информации 4 класса и СВТ 5 класса → 4 уровень доверия

4. Участники системы сертификации

Участник	Функции
ФСТЭК России	Федеральный орган по сертификации, устанавливает требования, выдаёт сертификаты
Орган по сертификации	Аккредитованная организация, проводит сертификацию, оформляет экспертное заключение
Испытательная лаборатория	Аккредитованная организация, проводит сертификационные испытания, оформляет протоколы
Изготовитель (Заявитель)	Разрабатывает и/или производит СЗИ, подаёт заявку на сертификацию

Важно: Изготовители СЗИ должны иметь лицензию ФСТЭК России:

На деятельность по разработке и производству средств защиты конфиденциальной информации (для СЗИ ограниченного доступа)
На работы со сведениями, составляющими государственную тайну (для СЗИ государственной тайны)

Проверка аккредитации органов и лабораторий: Реестр аккредитованных организаций ФСТЭК

5. Пошаговая процедура сертификации СЗИ

Шаг 1. Подготовка к сертификации

Действия заявителя:

Отнести планируемое к сертификации средство к одним из типов СЗИ
Определить требования по безопасности информации, на соответствие которым планируется сертификация (см. Требования по безопасности информации)
Осуществить производство (подготовку) образца(ов) СЗИ
Подготовить конструкторскую, программную и эксплуатационную документацию
Выбрать аккредитованную испытательную лабораторию, согласовать сроки проведения испытаний

Шаг 2. Подача заявки в ФСТЭК России

Заявка должна содержать:

Наименование и назначение СЗИ
Сведения о заявителе (наименование, адрес, организационно-правовая форма)
Сведения о руководителе и ответственном за сертификацию
Номер лицензии ФСТЭК России (при наличии)
Сведения о разработчике и правообладателе СЗИ
Наименование испытательной лаборатории
Тип СЗИ и документы, на соответствие которым проводится сертификация
Схема сертификации и заявляемый срок действия сертификата
Место проведения испытаний

Прилагаемые документы:

Технические условия (2 экземпляра)
Техническое задание (при необходимости)
Задание по безопасности (при необходимости) — Руководство по разработке заданий по безопасности
Формуляр (паспорт) на СЗИ
Перечень заимствованных программных компонентов с открытым исходным кодом
Перечень образов контейнеров (при наличии)
Договор с правообладателем (если заявитель не является правообладателем)

Шаг 3. Рассмотрение заявки

Срок: 15 календарных дней со дня получения заявки

Возможные решения ФСТЭК:

Решение	Основание
Принятие решения о проведении сертификации	Все документы в порядке
Возврат на доработку	Отсутствие сведений или несоответствие документов
Отказ в проведении сертификации	Несовместимость с компетенцией ФСТЭК, отсутствие лицензии, недостоверные сведения, наличие уязвимостей в Банке данных угроз

Шаг 4. Сертификационные испытания

Срок разработки программы и методики испытаний: 20 календарных дней с момента отбора образца

Испытания включают:

Испытания образца(ов) СЗИ (оценка соответствия функций безопасности)
Проверку организации технической поддержки СЗИ
Проверку организации производства (при сертификации серийного производства)

Важно: При проверке программных и программно-технических СЗИ проверяется внедрение процедур безопасной разработки ПО.

Методические документы для оценки угроз:

Шаг 5. Оформление результатов

Документы по итогам испытаний:

Протоколы испытаний (подписываются специалистами испытательной лаборатории)
Техническое заключение о соответствии/несоответствии (утверждается руководителем лаборатории)

Срок оценки материалов органом по сертификации: не более 45 календарных дней

Шаг 6. Выдача сертификата соответствия

Процедура:

Орган по сертификации оформляет экспертное заключение и проект сертификата
Материалы представляются в ФСТЭК России
ФСТЭК рассматривает материалы (не более 30 календарных дней)
При отсутствии недостатков принимается решение о выдаче сертификата
Сертификат подписывается уполномоченным должностным лицом ФСТЭК
Сведения вносятся в государственный реестр сертифицированных СЗИ
Сертификат вручается заявителю (в течение 10 рабочих дней после подписания)

Срок действия сертификата: не более 5 лет (для серийного производства)

6. Сертификация процессов безопасной разработки ПО

6.1. Зачем это нужно

Сертификация процессов безопасной разработки даёт изготовителю право самостоятельно проводить испытания при внесении изменений в сертифицированное СЗИ:

Добавление новых функций безопасности
Изменение имеющихся функций безопасности
Обновление версий ПО
Добавление новых или изменение существующих аппаратных платформ

6.2. Процедура сертификации процессов

Этап	Действие	Срок
1	Подготовка руководства по безопасной разработке ПО	—
2	Подача заявки в ФСТЭК России	—
3	Рассмотрение заявки ФСТЭК	15 рабочих дней
4	Получение решения о проведении сертификации	—
5	Проведение сертификации органом по сертификации	По договору
6	Оформление экспертного заключения	—
7	Выдача сертификата соответствия ФСТЭК	не более 30 календарных дней

6.3. Требования к руководству по безопасной разработке

Руководство должно содержать:

Описание области действия
Цели организации в области создания безопасного ПО
Перечень и описание процессов безопасной разработки
Распределение ролей и обязанностей
Перечень документации по безопасной разработке
Правила проведения внутренних проверок
Описание действий по улучшению процессов

Стандарт: ГОСТ Р 56939-2024

7. Схемы сертификации

Схема	Для чего применяется	Особенности
Для единичного образца	Разовое применение СЗИ	Испытания образца + проверка технической поддержки
Для партии	Ограниченная серия СЗИ	Испытания выборки + проверка технической поддержки
Для серийного производства	Массовое производство	Испытания выборки + проверка производства и технической поддержки

Важно: Сертификация единичного образца или партии организуется заявителем, планирующим применять СЗИ, в случае отсутствия идентичных серийно производимых сертифицированных СЗИ.

8. Внесение изменений в сертифицированное СЗИ

8.1. Когда требуются испытания с привлечением лаборатории

Заявитель	Тип изменений	Требуется лаборатория
Разработчик	Добавление новых функций безопасности	Да
Разработчик	Изменение имеющихся функций безопасности	Да
Разработчик	Иные изменения	Нет (можно самостоятельно)
Не разработчик	Добавление/изменение функций безопасности + устранение уязвимостей	Да
Не разработчик	Иные изменения	Нет (можно самостоятельно)

8.2. Особый порядок для держателей сертификата безопасной разработки

Заявитель, имеющий сертификат соответствия процедур безопасной разработки ПО, может проводить испытания самостоятельно или с привлечением лаборатории при внесении любых изменений, включая:

Добавление новых функций безопасности
Обновление версий ПО
Добавление новых аппаратных платформ

8.3. Уведомление об изменениях

При внесении изменений в перечень заимствованных программных компонентов с открытым исходным кодом изготовитель обязан представить скорректированный перечень в ФСТЭК России в течение 5 календарных дней.

Актуальная информация: Информационное сообщение ФСТЭК от 26.04.2024 № 240/24/1958

9. Маркирование сертифицированных СЗИ

Идентификатор имеет вид: РОСС RU.01.XXXXX.XXXXXX

Группа знаков	Значение
Первая	`РОСС RU.01` — система сертификации ФСТЭК России
Вторая	00001–99999 — номер сертификата соответствия
Третья	000001–999999 — заводской или серийный номер образца

Требования:

Маркирование осуществляется только при наличии сертификата соответствия
Идентификатором маркируется корпус изделия или съёмный машинный носитель
Идентификатор заносится в формуляр (паспорт) на СЗИ
Для ПО, распространяемого по сетям связи, применяется электронная подпись

10. Приостановление и прекращение действия сертификата

10.1. Основания для приостановления

Изменение требований по безопасности информации
Выявление несоответствия СЗИ требованиям (включая уязвимости в Банке данных угроз)
Прекращение технической поддержки
Обращение заявителя о приостановлении
Непредставление сведений об изменениях в перечне заимствованных компонентов

Срок приостановления: не более 90 календарных дней

10.2. Основания для прекращения

Непредставление материалов об устранении несоответствий в установленный срок
Невозобновление технической поддержки
Обращение заявителя о прекращении

11. Контроль и надзор

11.1. Периодический контроль

Владелец аттестованного объекта информатизации обязан:

Поддерживать безопасность в соответствии с аттестатом соответствия (Положение по аттестации)
Проводить периодический контроль уровня защиты информации
Представлять протоколы контроля в ФСТЭК России не реже 1 раза в 2 года

11.2. Последствия непредставления протоколов

Непредставление протоколов контроля является основанием для приостановления действия аттестата соответствия.

12. Практические рекомендации

12.1. На этапе подготовки

Заранее определите класс защищённости вашей информационной системы или категорию значимости объекта КИИ
Изучите базовые наборы мер защиты для вашего класса/категории:

Проверьте наличие сертифицированных СЗИ в реестре ФСТЭК России
Оцените необходимость сертификации процессов безопасной разработки — это упростит будущие обновления

12.2. На этапе выбора исполнителей

Проверьте аккредитацию органа по сертификации и испытательной лаборатории в реестре ФСТЭК России
Убедитесь в наличии лицензии ФСТЭК России у изготовителя (при необходимости)
Согласуйте сроки проведения работ в договоре

12.3. На этапе эксплуатации

Ведите журнал промаркированных образцов СЗИ
Своевременно представляйте протоколы контроля в ФСТЭК России
Уведомляйте ФСТЭК об изменениях в перечне заимствованных компонентов
Отслеживайте срок действия сертификата и своевременно подавайте заявку на продление

13. Частые вопросы

Q: Обязательно ли сертифицировать СЗИ?

A: Обязательно в случаях, установленных законодательством РФ (для защиты государственной тайны, в значимых объектах КИИ, в ГИС и т.д.). В иных случаях — по решению владельца объекта информатизации.

Q: Можно ли использовать несертифицированные СЗИ?

A: В отдельных случаях допускается применение СЗИ, прошедших оценку соответствия в форме испытаний или приёмки (не сертификации). Однако для определённых категорий объектов (ГИС 1 класса, значимые объекты КИИ 1 категории) требуется обязательная сертификация.

Q: Что делать при выявлении уязвимости в сертифицированном СЗИ?

A: Заявитель обязан:

Разработать компенсирующие меры
Довести информацию до потребителей (в срок до 48–72 часов в зависимости от уровня доверия)
Устранить уязвимость (в срок до 60 дней для 5 уровня доверия)
Провести испытания доработанного средства

Проверка уязвимостей: Банк данных угроз ФСТЭК

Q: Как продлить срок действия сертификата?

A: Подать заявку на продление в порядке, предусмотренном для первичной сертификации (пункты 19–61 Положения о системе сертификации). Испытания проводятся по сокращённой программе.

14. Полезные ресурсы

Ресурс	Назначение	Ссылка
Официальный сайт ФСТЭК России	Нормативные документы, реестры, новости	fstec.ru
Банк данных угроз безопасности информации	Актуальные уязвимости и угрозы	bdu.fstec.ru
Реестр сертифицированных СЗИ	Поиск сертифицированных средств защиты	reestr.fstec.ru
Реестр аккредитованных органов и лабораторий	Проверка исполнителей сертификации	reestr-akkr.fstec.ru
Методические документы ФСТЭК	Профили защиты, методики оценки	Раздел специальных документов
Роскомнадзор	Реестр операторов персональных данных	rkn.gov.ru

Профили защиты (методические документы ФСТЭК):

Заключение

Сертификация программного обеспечения во ФСТЭК России — это сложный, но необходимый процесс для производителей и заказчиков средств защиты информации. Понимание регуляторных требований и последовательности действий позволяет:

Сократить время прохождения сертификации
Избежать ошибок и дополнительных затрат
Обеспечить соответствие продукции законодательным требованиям
Поддерживать актуальность сертификата в процессе эксплуатации

Важно помнить: Регуляторная база постоянно обновляется. Рекомендуется регулярно отслеживать изменения на официальном сайте ФСТЭК России и в официальных источниках публикации правовых актов, включая Информационные сообщения ФСТЭК.