AZEXO

Надежда Скакун

Оценка соответствия средств защиты информации по требованиям ФСБ и ФСТЭК: руководство по соблюдению регуляторных требований

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

В условиях ужесточения законодательства Российской Федерации в сфере информационной безопасности, вопрос использования сертифицированных средств защиты информации (СЗИ) становится критически важным для операторов информационных систем. Неправильный выбор средств защиты или игнорирование требований регуляторов может повлечь за собой административную ответственность, штрафы и приостановку деятельности.

Данная статья предназначена для специалистов по информационной безопасности, руководителей организаций и технических специалистов. Она систематизирует требования федеральных законов и ведомственных актов, помогая разобраться, когда необходима сертификация (оценка соответствия) СЗИ, какие классы средств требуются и как выстроить процесс комплаенс (compliance).

1. Нормативно-правовая база

Требования к защите информации и оценке соответствия СЗИ в России регулируются иерархической системой документов. Основными из них являются:

  1. Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» [текст закона]. Определяет общие формы подтверждения соответствия (сертификация, декларирование, испытания). Статья 5 устанавливает особенности технического регулирования для продукции, используемой для защиты сведений, составляющих государственную тайну, и иной информации ограниченного доступа.
  2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [текст закона]. Статья 16 закрепляет обязанность обладателя информации обеспечивать защиту информации от неправомерного доступа.
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [текст закона]. Статья 19 обязывает оператора принимать меры по защите персональных данных (ПДн). Часть 4 статьи 19 и статья 21 указывают на необходимость использования сертифицированных средств защиты информации в случаях, установленных правительством.
  4. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)» [текст закона]. Статья 9 обязывает субъекты КИИ использовать программное обеспечение и программно-аппаратные средства, соответствующие требованиям по безопасности.
  5. Ведомственные приказы ФСТЭК России и ФСБ России. Конкретизируют требования к составу мер и классам средств защиты для различных типов информационных систем (ИС).

Полезные ресурсы:

  • Официальный сайт ФСТЭК России: fstec.ru
  • Официальный сайт Роскомнадзора: rkn.gov.ru
  • Реестр операторов персональных данных: pd.rkn.gov.ru

2. Компетенция регуляторов: ФСБ или ФСТЭК?

Важно понимать разграничение полномочий между двумя основными регуляторами в сфере защиты информации:

  • ФСБ России (Федеральная служба безопасности):
    • Защита информации, составляющей государственную тайну.
    • Криптографические средства защиты информации (шифрование, электронная подпись) — Система сертификации ФСБ России.
    • Средства защиты от утечки информации по техническим каналам (в части специальных исследований).
    • Информационные системы общего пользования (совместно с ФСТЭК, Приказ № 489).
  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю):
    • Защита информации ограниченного доступа, не составляющей государственную тайну (персональные данные, коммерческая тайна, служебная тайна).
    • Государственные информационные системы (ГИС).
    • Критическая информационная инфраструктура (КИИ).
    • Технические средства защиты информации (межсетевые экраны, средства обнаружения вторжений, антивирусы и т.д., не являющиеся криптографическими).

3. Когда требуется использование сертифицированных СЗИ?

Использование средств защиты, прошедших оценку соответствия, требуется не во всех случаях, но для значительного сегмента информационных систем это обязательное условие.

3.1. Информационные системы персональных данных (ИСПДн)

Согласно Постановлению Правительства РФ от 01.11.2012 № 1119 и Приказу ФСТЭК России от 18.02.2013 № 21:

  • Оператор обязан использовать сертифицированные СЗИ в случае, когда их применение необходимо для нейтрализации актуальных угроз безопасности персональных данных (п. 4 Приказа № 21, п. 13 Постановления № 1119).
  • Классы средств защиты зависят от уровня защищенности персональных данных (УЗПД):
    • 1 уровень защищенности: СЗИ не ниже 4 класса, 4 уровня доверия; СВТ не ниже 5 класса.
    • 2 уровень защищенности: СЗИ не ниже 5 класса, 5 уровня доверия; СВТ не ниже 5 класса.
    • 3 уровень защищенности: СЗИ 6 класса, 6 уровня доверия; СВТ не ниже 5 класса.
    • 4 уровень защищенности: СЗИ 6 класса, 6 уровня доверия; СВТ не ниже 6 класса.

Методические материалы ФСТЭК для работы с угрозами:

3.2. Государственные информационные системы (ГИС)

Согласно Приказу ФСТЭК России от 11.02.2013 № 17:

  • Применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации (п. 11).
  • Классы средств защиты зависят от класса защищенности ГИС:
    • 1 класс защищенности: СЗИ не ниже 4 класса (4 уровень доверия), СВТ не ниже 5 класса.
    • 2 класс защищенности: СЗИ не ниже 5 класса (5 уровень доверия), СВТ не ниже 5 класса.
    • 3 класс защищенности: СЗИ 6 класса (6 уровень доверия), СВТ не ниже 5 класса.

Дополнительно: Методический документ «Меры защиты информации в государственных информационных системах» (2014)

3.3. Критическая информационная инфраструктура (КИИ)

Согласно Федеральному закону № 187-ФЗ и Приказу ФСТЭК России от 25.12.2017 № 239:

  • Субъекты КИИ обязаны использовать программное обеспечение из единого реестра российских программ (ст. 9 ФЗ-187).
  • Требования к классам СЗИ зависят от категории значимости объекта КИИ (п. 24 Приказа № 239):
    • 1 категория: СЗИ не ниже 4 класса (4 уровень доверия).
    • 2 категория: СЗИ не ниже 5 класса (5 уровень доверия).
    • 3 категория: СЗИ 6 класса (6 уровень доверия).

Важно: Категорирование объектов КИИ проводится в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127.

3.4. Информационные системы общего пользования (ИСОП)

Согласно Приказу ФСБ и ФСТЭК России от 31.08.2010 № 416/489:

  • I класс: Требуется использование средств криптографической защиты (СКЗИ), сертифицированных ФСБ России (включая ЭЦП для публикуемого наполнения), средств обнаружения атак и межсетевого экранирования, сертифицированных ФСБ России.
  • II класс: Допускается использование СЗИ, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

4. Классы средств защиты и уровни доверия

В документах ФСТЭК (Приказы № 17, 21, 239) используется классификация средств защиты информации. Важно не путать класс средства защиты и класс информационной системы.

  • Классы СЗИ (4, 5, 6): Определяются нормативными актами ФСТЭК. Чем меньше цифра, тем выше требования к защите (4 класс — наивысший для негосударственной тайны).
  • Уровни доверия (1–6): Устанавливаются в соответствии с Требованиями, утвержденными приказами ФСТЭК России (например, № 64 от 14.04.2023, № 76 от 02.06.2020, № 132 от 30.07.2018). Уровень доверия характеризует степень уверенности в том, что средство защиты функционирует заявленным образом и не содержит недекларированных возможностей.
    • Для 1 уровня защищенности ПДн / 1 класса ГИС / 1 категории КИИ требуются средства 4 уровня доверия и выше.
    • Для 2 уровня защищенности ПДн / 2 класса ГИС / 2 категории КИИ требуются средства 5 уровня доверия и выше.
    • Для 3-4 уровня защищенности ПДн / 3 класса ГИС / 3 категории КИИ требуются средства 6 уровня доверия и выше.

Профили защиты для конкретных типов СЗИ (методические документы ФСТЭК):

Примечание: Средства вычислительной техники (СВТ) также имеют классы (обычно не ниже 5 или 6 класса в зависимости от требований системы). См. Руководящий документ «СВТ. Защита от НСД. Показатели защищенности» (1992).

5. Пошаговый алгоритм действий для организации

Чтобы обеспечить соответствие требованиям регуляторов, рекомендуется следующий порядок действий:

Шаг 1. Классификация информационной системы

Определите тип вашей системы (ИСПДн, ГИС, объект КИИ, ИСОП).

Шаг 2. Моделирование угроз

Разработайте модель угроз безопасности информации. Это обязательное требование для ИСПДн (Приказ № 21), ГИС (Приказ № 17) и КИИ (Приказ № 239). Модель угроз определяет, какие именно риски актуальны для вашей системы.

Инструменты: Используйте Банк данных угроз ФСТЭК и утвержденные методики для актуализации угроз.

Шаг 3. Выбор мер защиты

На основе модели угроз и класса/уровня системы выберите базовый набор мер защиты. Используйте соответствующие приказы ФСТЭК (№ 21, 17, 239) и приложения к ним (таблицы базовых наборов мер).

Дополнительно: Методический документ «Состав и содержание мероприятий и мер по защите информации»

Шаг 4. Подбор сертифицированных средств

Изучите выбранные меры. Если мера требует использования технических средств защиты (например, межсетевой экран, средство обнаружения вторжений, антивирус), проверьте требования к классу СЗИ.

  • Обратитесь к реестрам сертифицированных средств на сайтах ФСТЭК и ФСБ.
  • Убедитесь, что сертификат действителен на момент внедрения.
  • Для КИИ дополнительно проверьте наличие ПО в реестре российского ПО (Минцифры).

Процедура сертификации: Порядок проведения сертификации, утвержденный приказом ФСТЭК России от 01.12.2023 № 240

Шаг 5. Внедрение и аттестация (если требуется)

  • Внедрите средства защиты в соответствии с эксплуатационной документацией.
  • Для ГИС и объектов КИИ высокой категории может потребоваться аттестация информационной системы по требованиям безопасности информации. См. Положение по аттестации объектов информатизации.
  • Для ИСПДн аттестация не обязательна (если это не госсистема), но требуется контроль эффективности мер (не реже 1 раза в 3 года согласно Постановлению № 1119, п. 17).

Шаг 6. Эксплуатация и обновление

  • Следите за сроками действия сертификатов на используемые СЗИ.
  • Обновляйте модель угроз при изменении инфраструктуры.
  • Обеспечивайте своевременное обновление ПО средств защиты (базы сигнатур, патчи).

6. Частые ошибки и риски

  1. Использование средств с истекшим сертификатом. Сертификация имеет срок действия. Использование просроченного средства приравнивается к использованию несертифицированного.
  2. Несоответствие класса средства уровню системы. Установка СЗИ 6 класса в систему, требующую 4 класса (например, ИСПДн 1 уровня), является нарушением.
  3. Игнорирование требований к СВТ. Часто внимание уделяется только ПО защиты, забывая о классе самих серверов и рабочих станций (СВТ), который также регламентирован (Руководящий документ 1992 г.).
  4. Отсутствие документации. Наличие сертификата на средство не освобождает от необходимости иметь документы, подтверждающие выполнение организационных мер (приказы, политики, журналы учета).
  5. Нарушение лицензионных требований. Деятельность по технической защите конфиденциальной информации (ТЗКИ) часто требует лицензии у исполнителя работ (если работы проводятся сторонней организацией). См. ФЗ № 99-ФЗ «О лицензировании» и СТР-К.

7. Заключение

Оценка соответствия средств защиты информации — это не разовая акция, а непрерывный процесс обеспечения комплаенсности информационной системы. Требования ФСБ и ФСТЭК направлены на создание эшелонированной защиты, где каждый компонент системы имеет подтвержденный уровень надежности.

Для организации ключевым фактором успеха является своевременная актуализация моделей угроз и строгий контроль за жизненным циклом используемых средств защиты. Соблюдение требований по классам СЗИ и уровням доверия позволяет не только избежать штрафов со стороны регуляторов (Роскомнадзор, ФСТЭК, ФСБ), но и реально повысить устойчивость бизнес-процессов к киберугрозам.

При подготовке материала использованы тексты Федеральных законов № 152-ФЗ, 184-ФЗ, 187-ФЗ, 149-ФЗ, Постановления Правительства РФ № 1119, Приказов ФСТЭК России № 17, 21, 239, 489, а также методические документы и информационные сообщения регуляторов.