Разбираемся в сертификации ПО

Вокруг сертификации ПО сложилась отдельная индустрия, экосистема, где новичку бывает сложно разобраться, да и среди старожилов укореняются мифы. Поэтому многим не помешает короткий обзор. Разберемся в том, что это такое, нужна ли сертификация, что именно сертифицируется и что подтверждает сертификат, кто должен сертифицировать ПО и кто есть кто в процессе сертификации.

Сертификация в широком смысле – это подтверждение определенных характеристик персоны, объекта или организации третьей стороной с выдачей сертификата (свидетельства). Такой подход используется очень часто (например, можно вспомнить систему менеджмента информационной безопасности ИСО 27001 или сертификацию специалистов по защите информации CISSP – Certified Information Systems Security Professional). Но в узком смысле под сертифицированным ПО, как правило, подразумевают то, что прошло сертификацию по требованиям безопасности информации. Это и есть сертификация ФСТЭК, или сертификация в системе ФСТЭК: она самая востребованная.

Сертификация по требованиям безопасности информации относится к сертификации средств защиты информации. Интересно, что в России систем сертификации средств защиты информации несколько – кроме ФСТЭК, есть и другие. Это системы ФСБ и Минобороны. Законодательные основы их работы заложены в постановлении Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации».

Сертификация — это одна из форм подтверждения соответствия, которые определены в Федеральном Законе от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании». Надо отметить, что область действия этого закона очень широкая, он распространяется на многие сферы экономики, и можно сказать, что принят он без особой оглядки на специфику защиты информации. Поэтому в законе отдельной статьей сделана оговорка, что для конкретных категорий продукции (в том числе предназначенной для защиты информации) требования уполномоченных госорганов (в нашем случае федеральных органов исполнительной власти, уполномоченных в области противодействия техническим разведкам и технической защиты информации, то есть ФСТЭК России) являются обязательными наряду с требованиями технических регламентов. А особенности технического регулирования рядом организаций (в том числе ФСТЭК) определяются Президентом и Правительством отдельно. И в том же постановлении N 608 написано, что сертификация средств защиты проводится на соответствие требованиям государственных стандартов и нормативных документов федерального органа (в нашем случае ФСТЭК).

В законе определены обязательное и добровольное подтверждение соответствия. К первому из них относится обязательная сертификация (еще одна форма – это декларирование соответствия), ко второму – так называемая добровольная сертификация. Главная разница между ними: обязательная сертификация выполняется только на соответствие требованиям технических регламентов, а добровольная – документов других типов (национальных и фирменных стандартов, систем добровольной сертификации, договоров). Системы обязательной сертификации всегда находятся в ведении государственных органов.

Весь процесс сертификации по требованиям безопасности информации подробно описан в «Положении о системе сертификации средств защиты информации» – приказе ФСТЭК России от 3 апреля 2018 г. N 55. Это положение заменило собой аналогичное, принятое еще в 1995 году.

Как происходит сертификация программного обеспечения ФСТЭК? Всего в процессе есть 4 роли: федеральный орган по сертификации, аккредитованные органы по сертификации, испытательные лаборатории и изготовители средств защиты. Интересно, что такая структура не вполне совпадает с той, что задана в законе о техническом регулировании, но соответствует прописанной в постановлении правительства о сертификации средств защиты.

Так как Правительство назначило ФСТЭК федеральным органом по сертификации, то он создает систему сертификации, устанавливает требования по безопасности информации, ведет реестры аккредитованных органов, испытательных лабораторий и сертифицированных средств защиты. За саму сертификацию отдельных средств защиты отвечают органы по сертификации – они оформляют сертификаты и передают их ФСТЭК для внесения в реестр. Испытательные лаборатории проводят так называемые сертификационные испытания, то есть проверяют средства защиты на соответствие требованиям по безопасности информации и предоставляют результаты этой проверки в виде заключений и протоколов в орган по сертификации. Наконец, изготовители занимаются разработкой и/или производством (тиражированием) средств защиты.

В процессе задействовано много участников, у каждого свои правила и цели, помимо желания коммерческих организаций извлечь прибыль. Почему всё устроено так сложно? Дело в том, что процесс проверки на соответствие требованиям довольно трудоемкий и требует от исполнителей высокой технической квалификации. Государство не может взять на себя эти работы с соответствующими им затратами, поэтому процесс поставлен на коммерческую основу. Нужно соблюсти требования государства к безопасности информации и при этом обеспечить хороший выбор средств защиты, доступные цены на них. И такая четырехуровневая модель как раз и должна обеспечить масштабируемость, конкуренцию и контроль. Да, сертифицированные средства всё равно получаются дороже своих обычных аналогов, а их выбор ограничен, но это неизбежно при трудоемком процессе сертификации продукции и ограниченной сфере применения.

Как мы помним из Постановления N 608, сертифицируются средства защиты информации. В положении о сертификации N 55, выпущенном ФСТЭК, уточняется, что сертифицируются, среди прочего, средства обеспечения информации информационных технологий. Хотя точного определения этому термину в отечественных нормативах нет, всем понятно, что речь идет о «компьютерных» средствах защиты в узком (специализированные средства защиты) и широком (системное и программное обеспечение со встроенными функциями защиты) смысле. Еще в нормативах есть понятие объекта оценки – он позволяет уточнить, что именно сертифицируется.

Успешное прохождение процесса заканчивается выпуском сертификата – бумажного документа в единственном экземпляре и записи в реестре средств защиты информации. Сертификат подтверждает только соответствие объекта (в нашем случае программного продукта) определенным требованиям по безопасности информации. Вопреки заблуждению, он не гарантирует ни отсутствие уязвимостей в продукте, ни достаточность его внедрения для нейтрализации угроз безопасности данных (в том числе и тех, против которых он и разработан).

Все участники процесса сертификации в системе ФСТЭК несут ответственность за свои действия. У регулятора есть действенные рычаги для наказания нарушителей. Как сами организации, так и их руководители за нарушения требований положения о сертификации могут быть оштрафованы. Но самое серьезное не это. Все участники процесса сертификации получают лицензию или аккредитацию от ФСТЭК, и за эти нарушения аккредитация и лицензия могут быть отозваны. Тем самым поддерживается баланс между коммерческими интересами участников процесса и интересами государства.

Должностные лица регулятора тоже несут ответственность за нарушение регламентов. Во-первых, дисциплинарную, то есть замечание, выговор, предупреждение о неполном должностном соответствии, и, наконец, увольнение. Во-вторых, их работодатель может заставить их компенсировать ущерб. В-третьих, административную – штрафы и прочее.