СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Компания «ИТБ» является разработчиком и производителем средств защиты информации, а также оказывает услуги по подготовке к сертификационным испытаниям программных и программно-технических средств защиты, встроенных механизмов защиты по требованиям безопасности информации ФСТЭК России №РОСС RU.0001 .01БИ00.

Сертификация является одним из приоритетных направлений деятельности компании.
Процедура сертификации определена в Положении о сертификации средств защиты информации (Приказ ФСТЭК России от 3 апреля 2018 г. N 55).

Наличие/отсутствие сертификатов соответствия напрямую влияет на процесс подготовки и проведения аттестационных испытаний. Вопросы аттестационных испытаний подробно описаны в разделе «Аттестационные испытания и аттестация на соответствие требованиям по защите информации»

Заявитель и производитель средств защиты должен быть лицензиатом ФСТЭК России и иметь лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации.

ОПЫТ КОМПАНИИ

ООО «ИТБ» является разработчиком и производителем сертифицированных средств защиты:

ОС «EMIAS 1.0» на соответствие требованиям профиля защиты операционных систем типа «А» пятого класса защиты ИТ.ОС.А5.ПЗ., УД 5
Системы мониторинга и корреляции событий информационной безопасности Security Capsule класса SIEM (Security information and event management) (ТУ, УД 5)

За более чем десятилетний период специалисты компании подготовили к сертификации и организовали серийное производство программных и программно-технических средств защиты, включая сертификацию встроенных механизмов защиты:

Встроенных механизмов защиты операционных систем Red Hat Linux (версии 2.1, 4.8, 5.5) на соответствие требованиям ТУ и РД МЭ
Средства защиты от НСД «Интернет Контроль Сервер», разработчиком которого является ООО «А-Реал Консалтинг»
Встроенных механизмов защиты IOS (Internetwork Operating System) компании Cisco Inc. На соответствие требованиям ТУ, РД МЭ
Встроенных межсетевых экранов в ОС семейства Linux (FreeBCD, Centos) на соответствие требованиям ТУ и РД МЭ

ЦЕЛЕСООБРАЗНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Применение сертифицированных средств защиты ОБЯЗАТЕЛЬНО при создании систем защиты государственных информационных систем, а также для нейтрализации актуальных угроз информационных систем персональных данных.

Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки (Приказ ФСТЭК России от 25 декабря 2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», в ред. приказа ФСТЭК России от 26 марта 2019 г. № 60).

Приказы ФСТЭК России N 121 от 05.08.2021 и N 172 от 19.09.2022 вносят ряд существенных изменений и дополнений в Положение о сертификации средств защиты информации (Приказ ФСТЭК России от 3 апреля 2018 г. N 55) в части:

Сертификации средств защиты информации иностранного производства
Сроков проведения сертификационных испытаний, порядка взаимодействия заявителя, испытательной лаборатории и органа по сертификации
Внесения изменений в сертифицированное средство защиты информации
Маркирования сертифицированных средств защиты информации
Формы заявки на сертификацию

Необходимо обратить особое внимание на выполнение требований регламентов о своевременном предоставлении сведений в федеральный орган по сертификации о выявленных уязвимостях, маркированных и переданных заказчикам средствах защиты информации, о ходе выполнения работ по сертификации средств защиты, сроках техничкой поддержки.

НОРМАТИВНО-ПРАВОВАЯ БАЗА

Полный актуальный Государственный реестр сертифицированных средств защиты в системе сертификации ФСТЭК России доступен по ссылке.

Перечень нормативно – методических документов и требований по сертификации доступен для ознакомления и скачивания по ссылке.

В Приказе ФСТЭК России №239 от 25 декабря 2017 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (ОКИИ) Российской Федерации» указано, что в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).

Применение сертифицированных встроенных средств защиты (реализованных механизмов защиты) информации позволяет:

существенно уменьшить затраты на приобретение, установку и эксплуатацию наложенных (дополнительных) средств защиты
обеспечить неизменность среды функционирования системы
повысить степень доверия к программному обеспечению и программно-аппаратным средствам
получить конкурентные преимущества

Основные нормативно-правовые документы:

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Приказ ФСТЭК России от 3 апреля 2018 г. N 55 «Об утверждении Положения о системе сертификации средств защиты информации»
Требования по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76
Методический документ. Утвержден ФСТЭК России 28 октября 2022 г. «Методика тестирования обновлений безопасности программных, программно-аппаратных средств»
Методический документ. Утвержден ФСТЭК России 28 октября 2022 г. «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств»
Методический документ. Утвержден ФСТЭК России 5 февраля 2021 г. «Методика оценки угроз безопасности информации»

Раскрыть весь список

ПРОВОДИМ АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ И АТТЕСТАЦИЮ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ

SECURITY CAPSULE SIEM

БЕСПЛАТНЫЙ ПИЛОТ

НАВИГАЦИЯ:

СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ