Обзор процесса и роли
Весь процесс сертификации по требованиям безопасности информации подробно описан в
«Положении о системе сертификации средств защиты информации» – приказе ФСТЭК России от 3 апреля 2018 г. N 55. Это положение заменило собой аналогичное, принятое еще в 1995 году.
Как происходит сертификация программного обеспечения ФСТЭК? Всего в процессе есть 4 роли: федеральный орган по сертификации, аккредитованные органы по сертификации, испытательные лаборатории и изготовители средств защиты. Интересно, что такая структура не вполне совпадает с той, что задана в законе о техническом регулировании, но соответствует прописанной в постановлении правительства о сертификации средств защиты.
Так как Правительство назначило ФСТЭК федеральным органом по сертификации, то он создает систему сертификации, устанавливает требования по безопасности информации, ведет реестры аккредитованных органов, испытательных лабораторий и сертифицированных средств защиты. За саму сертификацию отдельных средств защиты отвечают органы по сертификации – они оформляют сертификаты и передают их ФСТЭК для внесения в реестр. Испытательные лаборатории проводят так называемые
сертификационные испытания, то есть проверяют средства защиты на соответствие требованиям по безопасности информации и предоставляют результаты этой проверки в виде заключений и протоколов в орган по сертификации. Наконец, изготовители занимаются разработкой и/или производством (тиражированием) средств защиты.
В процессе задействовано много участников, у каждого свои правила и цели, помимо желания коммерческих организаций извлечь прибыль. Почему всё устроено так сложно? Дело в том, что процесс проверки на соответствие требованиям довольно трудоемкий и требует от исполнителей высокой технической квалификации. Государство не может взять на себя эти работы с соответствующими им затратами, поэтому процесс поставлен на коммерческую основу. Нужно соблюсти требования государства к безопасности информации и при этом обеспечить хороший выбор средств защиты, доступные цены на них. И такая четырехуровневая модель как раз и должна обеспечить масштабируемость, конкуренцию и контроль. Да, сертифицированные средства всё равно получаются дороже своих обычных аналогов, а их выбор ограничен, но это неизбежно при трудоемком процессе сертификации продукции и ограниченной сфере применения.