Поставка и обновление средств защиты информации, сертифицированных ФСТЭК России

В Российской Федерации с 2021 г. действуют новые требования к сертификации средств защиты информации. В связи с этим представителям компании Индид часто задают вопросы о процедуре выпуска и распространения обновлений сертифицированных продуктов: 

• Какова процедура проверки и получения обновлений сертифицированных средств защиты информации?
• Какова процедура проверки и получения обновлений, направленных на нейтрализацию уязвимостей в сертифицированных средствах защиты информации?
• Нужно ли дожидаться повторной сертификации, чтобы получить актуальные обновления?
• Когда для проведения испытаний новых обновлений привлекается испытательная лаборатория? В каких случаях ранее выданный сертификат переоформляется?

Общая информация

На смену руководящему документу, который классифицировал средства защиты информации с точки зрения недекларированных возможностей (НДВ), пришли требования, устанавливающие для таких средств уровни доверия. Актуальные требования, предъявляемые к разработчикам при сертификации средств защиты информации, направлены в первую очередь на сертификацию серийного производства, то есть среды разработки в целом.

Иными словами, теперь объект сертификации – это не только само средство защиты информации, которое оценивается с точки зрения реализованных возможностей, но и вся процедура его разработки – от этапа проектирования до момента, когда прекращается предоставление технической поддержки. Таким образом, сертифицированное средство защиты информации – это продукт, который производитель выпустил в период действия сертификата и поддерживает, соблюдая все необходимые требования.

Порядок выпуска и распространения дистрибутивов и обновлений

• Если обновление не затрагивает функций защиты (то есть не нужно вносить изменения в описание функций безопасности в технических условиях и формуляре), то разработчик может проводить испытания самостоятельно. Их результаты направляются во ФСТЭК России, после чего обновление можно передавать потребителям.
• Если обновление направлено на устранение недостатков (в том числе уязвимостей), его можно передавать потребителям сразу же после выпуска, то есть проводить испытания и отправлять их результаты во ФСТЭК России допустимо после тиражирования.
• Если обновление затрагивает функции защиты (дополняет или изменяет их), то испытания проводятся с привлечением испытательной лаборатории.
• Если разработчик вносит в технические условия и формуляр изменения, даже не связанные с функциями защиты, то новые версии документов направляются во ФСТЭК России.

Таким образом, согласно установленной процедуре, официальный (коммерческий) релиз новой версии сертифицированного продукта возможен только после проведения испытаний и утверждения ФСТЭК России их результатов. В большинстве случаев разработчики проводят испытания самостоятельно.

Сертифицированные дистрибутивы и обновления программного обеспечения допустимо распространять в электронной форме – по электронной почте, через официальный сайт и т. д. Они обязательно должны быть заверены электронной подписью, которая позволяет установить их подлинность.

Все сказанное актуально только для серийно произведенных средств защиты информации. При сертификации единичного образца или партии данные требования не предъявляются. Однако сертифицировать единичный образец или партию можно только для собственных нужд, но не для продажи.

Для подтверждения изложенных тезисов компания Индид подготовила выписки из нормативно-правовых актов, которые регламентируют процесс сертификации средств защиты информации и сопровождения сертифицированных продуктов. Чтобы получить эти выписки, вы можете обратиться к нам через чат.