В Российской Федерации разработка и внедрение программного обеспечения (ПО), особенно в государственных информационных системах (ГИС), критической информационной инфраструктуре (КИИ) или для обработки сведений, составляющих государственную тайну, строго регламентировано. Несоблюдение требований регуляторов может привести к невозможности эксплуатации системы, штрафам и приостановке деятельности.
Данная статья систематизирует требования ключевых регуляторов — ФСТЭК, ФСБ и Минобороны России — и предлагает практическое руководство по оценке безопасности ПО на основе актуальных нормативных документов.
1. Регуляторная карта: Кто и что контролирует
В зависимости от типа обрабатываемой информации и заказчика, требования к безопасности ПО предъявляют разные ведомства:
| Регулятор | Основной документ | Область применения | Ключевой процесс |
|---|---|---|---|
| ФСТЭК России | Приказ № 55 (2018), Приказ № 17 (2013) | ГИС, КИИ, персональные данные, общедоступная информация | Сертификация средств защиты информации (СЗИ), аттестация систем |
| ФСБ России | Приказ № 1 (2016) | Сведения, составляющие государственную тайну, криптография | Аккредитация лабораторий, лицензирование разработчиков |
| Минобороны России | Приказ № 488 (2020) | Продукция для Вооруженных Сил РФ | Ведомственная сертификация СЗИ |
2. ФСТЭК России: Сертификация средств и защита ГИС
ФСТЭК регулирует защиту информации, не составляющей государственную тайну. Здесь важно различать сертификацию средства защиты (продукта) и аттестацию информационной системы (объекта внедрения).
2.1. Сертификация средств защиты информации (Приказ № 55)
Если ваше ПО позиционируется как средство защиты информации (СЗИ) или используется в системах, требующих сертифицированных средств, необходимо пройти сертификацию в системе ФСТЭК.
- Схемы сертификации:
- Для единичного образца (испытания образца + проверка техподдержки).
- Для партии (испытания выборки + проверка техподдержки).
- Для серийного производства (испытания выборки + проверка производства и техподдержки).
- Срок действия: Сертификат соответствия выдается на срок не более 5 лет. Для единичного образца срок не устанавливается.
- Маркировка: Сертифицированное ПО должно маркироваться идентификатором вида
РОСС RU.01.ХХХХХ.ХХХХХХ. - Изменения: Любые изменения, влияющие на функции безопасности (новые функции, исправление уязвимостей), требуют проведения испытаний и переоформления сертификата. Обновления баз данных могут требовать информирования потребителей без повторных испытаний (в зависимости от требований безопасности).
2.2. Требования к государственным информационным системам (Приказ № 17)
Если ПО внедряется в ГИС, заказчик обязан обеспечить защиту информации в соответствии с классом защищенности системы (1, 2 или 3 класс).
- Класс защищенности: Определяется уровнем значимости информации (ущерб от нарушения конфиденциальности, целостности, доступности) и масштабом системы (федеральный, региональный, объектовый).
- Требования к ПО: В ГИС должны применяться СЗИ, прошедшие оценку соответствия (сертификацию).
- Аттестация: Перед вводом в эксплуатацию ГИС подлежит аттестации по требованиям безопасности информации. Это подтверждает, что система в сборе (включая ваше ПО) соответствует техническому заданию и требованиям ФСТЭК.
- Контроль защищенности: В ходе эксплуатации оператор должен проводить контроль уровня защищенности (не реже 1 раза в год для 1 класса, 1 раза в 2 года для 2 и 3 классов).
3. ФСБ России: Работа с государственной тайной
Если ПО предназначено для обработки сведений, составляющих государственную тайну, или содержит криптографические средства защиты, вступает в действие регламент ФСБ.
3.1. Аккредитация испытательных лабораторий (Приказ № 1)
ФСБ не сертифицирует ПО напрямую в рамках этого приказа, но регулирует кто имеет право проводить испытания для таких средств.
- Критерии аккредитации лабораторий:
- Наличие лицензии ФСБ на работу с гостайной (соответствующей степени секретности).
- Наличие помещений, соответствующих требованиям защиты гостайны (режимно-секретных органов).
- Наличие сертифицированного оборудования и ПО для тестирования.
- Персонал: Руководители и эксперты должны иметь допуск к гостайне, высшее образование по профилю «Информационная безопасность» (или техническое) и стаж работы (от 3 до 10 лет в зависимости от должности).
- Для разработчика: Чтобы создать ПО для гостайны, организация-разработчик также должна иметь лицензию ФСБ на деятельность по технической защите конфиденциальной информации или работу с гостайной.
3.2. Сертификация
Сертификация средств защиты для гостайны проводится в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (СЗИ-ГТ). Испытания проводят только аккредитованные ФСБ лаборатории (Система сертификации ФСБ России).
4. Минобороны России: Ведомственная сертификация (Приказ № 488)
Для нужд Вооруженных Сил РФ действует собственная система сертификации.
- Участники: Федеральный орган по сертификации (Минобороны), органы по сертификации, испытательные лаборатории, изготовители.
- Процесс: Включает подачу заявки, принятие решения, испытания, выдачу сертификата.
- Срок действия: Сертификат соответствия действует не более 5 лет.
- Особенности:
- Требуется подтверждение отсутствия недекларированных возможностей (НДВ).
- Изготовители средств для гостайны должны иметь лицензию Минобороны.
- Предусмотрены процедуры приостановления и прекращения действия сертификата при выявлении несоответствий.
5. Пошаговый алгоритм действий для разработчика и заказчика
Чтобы обеспечить соответствие ПО требованиям регуляторов, рекомендуется следующий порядок действий:
Шаг 1. Определение класса системы и типа информации
- Заказчик: Определяет, какая информация будет обрабатываться (персональные данные, гостайна, общедоступная, критическая инфраструктура).
- Разработчик: На основе этого определяет необходимый класс защищенности (для ГИС — по Приказу № 17, для КИИ — по Приказу № 239 ФСТЭК).
Шаг 2. Выбор модели угроз и требований
- Разработайте Модель угроз безопасности информации. Используйте банк данных угроз ФСТЭК и Методику определения актуальных угроз.
- Сформулируйте Техническое задание (ТЗ) или Задание по безопасности (ЗБ). В них должны быть четко прописаны требования к функциям безопасности ПО.
Шаг 3. Выбор схемы оценки соответствия
- Для ГИС/КИИ: Требуется аттестация системы. ПО должно быть сертифицировано ФСТЭК (классы защиты 4, 5, 6 в зависимости от класса системы).
- Для гостайны: Требуется сертификация в системе ФСБ. Разработчик должен иметь лицензию.
- Для Минобороны: Сертификация в системе МО РФ.
Шаг 4. Подготовка документации
Для прохождения сертификации/аттестации потребуется пакет документов (согласно Приказу № 55 и № 488):
- Технические условия (ТУ) или Техническое задание.
- Паспорт (формуляр) на средство защиты информации.
- Описание архитектуры и функций безопасности.
- Перечень заимствованных компонентов (в т.ч. Open Source).
- Документы, подтверждающие отсутствие НДВ (недекларированных возможностей).
Шаг 5. Проведение испытаний
- Выберите аккредитованную испытательную лабораторию (реестры доступны на сайтах ФСТЭК, ФСБ, МО).
- Предоставьте образец ПО и документацию.
- Лаборатория проводит тесты на соответствие требованиям безопасности и отсутствие уязвимостей.
- По итогам оформляется Протокол испытаний и Техническое заключение.
Шаг 6. Получение сертификата и внедрение
- Орган по сертификации на основе заключения выдает Сертификат соответствия.
- ПО маркируется (для ФСТЭК).
- Система внедряется, проводится аттестация системы (для ГИС).
Шаг 7. Поддержка и обновление
- Ведите журнал обновлений.
- При выпуске новых версий оценивайте влияние изменений на безопасность.
- Своевременно продлевайте сертификат (не позднее окончания срока действия).
- Информируйте регулятора об изменениях в составе ПО (например, новых открытых компонентах).
6. Важные нюансы и риски
- Недекларированные возможности (НДВ): Наличие НДВ является основанием для отказа в сертификации (Приказ № 55, п. 25). Требуется тщательный анализ кода, особенно при использовании сторонних библиотек.
- Срок действия сертификата: Помните о 5-летнем ограничении. Просроченный сертификат делает использование средства нелегитимным в защищенных системах.
- Изменения в ПО: Любое изменение функций безопасности требует переоформления сертификата. Обновления, не влияющие на безопасность (например, исправление интерфейса), могут требовать лишь уведомления, но это должно быть обосновано.
- Компенсирующие меры: Если невозможно реализовать требуемую меру защиты технически, допускается применение компенсирующих мер (организационных или иных технических), но это требует обоснования и согласования при аттестации системы (Приказ № 17, п. 23).
- Лицензирование: Для работы с гостайной недостаточно просто сертифицировать ПО. Организация-разработчик и организация-эксплуатант должны иметь соответствующие лицензии ФСБ или Минобороны.
7. Полезные ресурсы и нормативная база
Для самостоятельного изучения требований и актуализации знаний рекомендуем следующие официальные источники:
Федеральные законы
- 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- 152-ФЗ «О персональных данных»
- 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»
- 184-ФЗ «О техническом регулировании»
Нормативные акты ФСТЭК России
- Приказ № 21 от 18.02.2013 — меры защиты персональных данных
- Приказ № 31 от 14.03.2014 — защита информации в АСУ
- Приказ № 239 от 25.12.2017 — требования к КИИ
- Приказ № 55 от 03.04.2018 — система сертификации СЗИ
- Банк данных угроз безопасности информации
- Методические документы ФСТЭК
Нормативные акты ФСБ России
Государственные стандарты
- ГОСТ Р 51583-2014 — создание АС в защищенном исполнении
- ГОСТ Р 56939-2016/2024 — защищенная разработка ПО
Заключение
Оценка безопасности ПО по требованиям ФСБ и ФСТЭК — это не разовое мероприятие, а непрерывный процесс, сопровождающий жизненный цикл продукта. Успешное прохождение сертификации и аттестации требует глубокого понимания нормативной базы, качественной документации и взаимодействия с аккредитованными лабораториями. Соблюдение этих требований является обязательным условием для работы на рынке государственных заказов и в защищенном контуре Российской Федерации.