Сертификация ФСТЭК: что это и для чего нужно
Сертификация по требованиям ФСТЭК остается ключевым инструментом обеспечения информационной безопасности в России. Где бы ни находились ваше предприятие или организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной обработкой данных, имеют важное значение. Сертификация ФСТЭК — это не только формальное требование, но и инвестиция в долгосрочную стабильность и успешность вашего бизнеса. Но многих пугает сертификация ПО, так как получение сертификата соответствия ФСТЭК — сложный и дорогой процесс.
Помимо готовности программной документации ПО, описывающей функции безопасности, необходимо выстроить процесс безопасной разработки ПО, так как без этого процесс выполнения требований может затянуться на годы. Для передачи кодов и ПО нужно быть уверенным, что ПО не содержит уязвимостей, иначе сертификация обречена на провал. Специализированная лаборатория проводит испытания, направленные на различные виды тестирования, такие как: статический, динамический анализ кода, тестирование на проникновение, фаззинг-тестирование. Далее лаборатория, убедившись в соответствии требованиям ИБ, направляет материалы во ФСТЭК России.
С чего следует начать
Перед прохождением сертификации подробно ознакомьтесь с требованиями приказа ФСТЭК №76, проанализируйте их и заранее начинайте готовить пакет документов, которые необходимы для заявляемого уровня доверия. Также необходимо запросить ДСП (документ для служебного пользования) «Методика выявления уязвимостей и недекларированных возможностей» ФСТЭК России. В нем прописан перечень технических проверок, которые необходимо провести для подтверждения отсутствия уязвимостей и недекларированных возможностей. Среди них статический, динамический анализ, пентесты, фаззинг-тестирование. На этом этапе возникает самая большая сложность, так как неопытному разработчику трудно реализовать все предъявляемые методы тестирования. Разработка методики проведения испытаний значительно ускорит процесс и поможет разобраться в требованиях.
Согласно последним требованиям методики, испытательная лаборатория может принимать результаты тестирования непосредственно от разработчика ПО. Таким образом, зная предъявляемые требования, можно реализовать их выполнение заранее и на постоянной основе, скажем так, сделать интеграцию проверок в CI/CD.
Как мы организовали этот процесс и чего достигли
Мы в eXpress реализовали безопасную разработку ПО с интеграцией различных видов анализаторов в CI/CD. При каждой сборке выполняется динамический анализ, модульное тестирование, сбор покрытия, фаззинг-тестирование, статический анализ. Поэтому при необходимости проведения сертификации определенной версии нужно всего лишь выгрузить полученные артефакты из пайплайнов. Безусловно, первоначальное внедрение практик и их регламентация требует временных затрат, но оно окупает себя упрощением последующих процессов сертификации ФСТЭК и не только.
eXpress — это единственный на текущий момент продукт класса «онлайн-коммуникации», который соответствует требованиям четвертого уровня доверия по безопасности информации, установленным в документах ФСТЭК России. Еще в 2020 году наш продукт успешно прошел сертификационные испытания на соответствие шестому уровню доверия ФСТЭК России. А осенью 2023 года по процедуре внесения изменений в сертифицированную версию получил подтверждение соответствия самому высокому уровню доверия — четвертому. Этот уровень применяют к средствам защиты информации, которые не предназначены для обработки сведений, составляющих государственную тайну.
Сертификация — это процесс, а не краткосрочная задача
Сертификация ФСТЭК не является разовой акцией, ее не проходят для галочки в списке требований. Напротив, это непрерывный, динамический процесс, который требует внимательного планирования, преданности и тщательного следования протоколам безопасности и нормативам.
Работа не заканчивается после получения сертификата. Сертификация — это долгосрочный процесс управления и поддержания безопасности программного обеспечения. Это означает, что организация-разработчик должна продолжать мониторинг, обновление и улучшение защищенности своего ПО, чтобы оставаться безопасным продуктом и адаптироваться к непрерывно меняющемуся ландшафту угроз кибербезопасности. В том числе при разработке новых функций и последующем внесении изменений в сертифицированный продукт.
Сертификация требует постоянного внимания и усилий с учетом динамичного развития функциональности ПО. Она включает не только выполнение конкретного набора требований, но и приверженность культуре безопасности и активному управлению рисками. Однако результат стоит вложенных усилий: потребители сертифицированного ПО уверены в безопасности продуктов, а производители демонстрируют зрелость выстроенных процессов безопасной разработки.
