Поставка и обновление средств защиты информации, сертифицированных ФСТЭК России
В Российской Федерации с 2021 г. действуют новые требования к сертификации средств защиты информации. В связи с этим представителям компании Индид часто задают вопросы о процедуре выпуска и распространения обновлений сертифицированных продуктов:
- Какова процедура проверки и получения обновлений сертифицированных средств защиты информации?
- Какова процедура проверки и получения обновлений, направленных на нейтрализацию уязвимостей в сертифицированных средствах защиты информации?
- Нужно ли дожидаться повторной сертификации, чтобы получить актуальные обновления?
- Когда для проведения испытаний новых обновлений привлекается испытательная лаборатория? В каких случаях ранее выданный сертификат переоформляется?
Общая информация
На смену руководящему документу, который классифицировал средства защиты информации с точки зрения недекларированных возможностей (НДВ), пришли требования, устанавливающие для таких средств уровни доверия. Актуальные требования, предъявляемые к разработчикам при сертификации средств защиты информации, направлены в первую очередь на сертификацию серийного производства, то есть среды разработки в целом.
Иными словами, теперь объект сертификации – это не только само средство защиты информации, которое оценивается с точки зрения реализованных возможностей, но и вся процедура его разработки – от этапа проектирования до момента, когда прекращается предоставление технической поддержки. Таким образом, сертифицированное средство защиты информации – это продукт, который производитель выпустил в период действия сертификата и поддерживает, соблюдая все необходимые требования.
Порядок выпуска и распространения дистрибутивов и обновлений
- Если обновление не затрагивает функций защиты (то есть не нужно вносить изменения в описание функций безопасности в технических условиях и формуляре), то разработчик может проводить испытания самостоятельно. Их результаты направляются во ФСТЭК России, после чего обновление можно передавать потребителям.
- Если обновление направлено на устранение недостатков (в том числе уязвимостей), его можно передавать потребителям сразу же после выпуска, то есть проводить испытания и отправлять их результаты во ФСТЭК России допустимо после тиражирования.
- Если обновление затрагивает функции защиты (дополняет или изменяет их), то испытания проводятся с привлечением испытательной лаборатории.
- Если разработчик вносит в технические условия и формуляр изменения, даже не связанные с функциями защиты, то новые версии документов направляются во ФСТЭК России.
Таким образом, согласно установленной процедуре, официальный (коммерческий) релиз новой версии сертифицированного продукта возможен только после проведения испытаний и утверждения ФСТЭК России их результатов. В большинстве случаев разработчики проводят испытания самостоятельно.
Сертифицированные дистрибутивы и обновления программного обеспечения допустимо распространять в электронной форме – по электронной почте, через официальный сайт и т. д. Они обязательно должны быть заверены электронной подписью, которая позволяет установить их подлинность.
Все сказанное актуально только для серийно произведенных средств защиты информации. При сертификации единичного образца или партии данные требования не предъявляются. Однако сертифицировать единичный образец или партию можно только для собственных нужд, но не для продажи.
Для подтверждения изложенных тезисов компания Индид подготовила выписки из нормативно-правовых актов, которые регламентируют процесс сертификации средств защиты информации и сопровождения сертифицированных продуктов. Чтобы получить эти выписки, вы можете обратиться к нам через чат.
Читайте еще по теме
Компания Индид инвестирует в Octopus IdM
Компания «Индид», российский разработчик комплекса решений в области безопасности identity, объявляет о заключении стратегического партнерства с компанией Octopus Identity. Об этом сообщил генеральный директор компании «Индид» Алексей Баранов […]
Портал документации Компании Индид
Теперь техническая документация программного обеспечения Компании Индид находится в одном месте — на портале https://docs.indeed-company.ru/. У документации каждого продукта свой сайт: Indeed Access Manager — централизованное управление доступом […]
Персональные данные по-прежнему представляют для злоумышленников особый интерес
Компания Gemalto опубликовала результаты отчета Breach Level Index (Индекс критичности утечек) за первую половину 2015 года. Проведенное исследование показало, что за первые шесть месяцев этого года в мире […]
Инфраструктура 99% отечественных компаний уязвима к проникновению
Компания Инфосистемы Джет подвела итоги 2014 года по направлению информационной безопасности. Согласно результатам проведенных пентестов, инфраструктура отечественных компаний в 99% случаев уязвима к проникновению. По оценкам экспертов Центра […]
Строгая аутентификация
В этом посте речь пойдет о различных способах аутентификации пользователей в мире современных IT-технологий. Об их недостатках и достоинствах, особенностях и сложностях внедрения фактора Строгой аутентификации в существующую […]