Найти в Дзене
Техдир в действии

Что такое сертификация ФСТЭК

1 мин
Если вы разрабатываете программные продукты для информационной безопасности или для использования в критической инфраструктуре, то рано или поздно у вас в скоупе появится сертификация ФСТЭК 🤬 У этого требования много стейкхолдеров и участников процесса, многие из них не понимают логику происходящего, поэтому часто бывает неразбериха. Опишу основную суть процесса сертификации. Если пробиться через документы, описывающие требования регулятора, и перевести их на человеческий язык, то по сути мы имеем следующую картину: 1️⃣ Государство считает, что в определенных организациях (критическая инфраструктура, заводы, энергетика, банки и т.п.) нужно использовать только правильные решения. 2️⃣ Решение является правильным, если оно соответствует определенному набору требований. 3️⃣ Соответствие решения требованиям подтверждается сертификатом. Какие бывают требования Функциональные требования: 1️⃣ Функционал по профилю продукта, т.е. антивирус должен ловить вирусы, а firewall фильтровать пакеты

Что такое сертификация ФСТЭК

Если вы разрабатываете программные продукты для информационной безопасности или для использования в критической инфраструктуре, то рано или поздно у вас в скоупе появится сертификация ФСТЭК 🤬

У этого требования много стейкхолдеров и участников процесса, многие из них не понимают логику происходящего, поэтому часто бывает неразбериха. Опишу основную суть процесса сертификации.

Если пробиться через документы, описывающие требования регулятора, и перевести их на человеческий язык, то по сути мы имеем следующую картину:

1️⃣ Государство считает, что в определенных организациях (критическая инфраструктура, заводы, энергетика, банки и т.п.) нужно использовать только правильные решения.

2️⃣ Решение является правильным, если оно соответствует определенному набору требований.

3️⃣ Соответствие решения требованиям подтверждается сертификатом.

Какие бывают требования

Функциональные требования:

1️⃣ Функционал по профилю продукта, т.е. антивирус должен ловить вирусы, а firewall фильтровать пакеты.

2️⃣Функционал связанный с безопасностью самого решения, например, ролевая модель доступа и аудит действия пользователя.

Требования безопасности. Фактически это требования на процесс разработки. Необходимо разрабатывать продукт в соответствии с принципами Secure Development Lifecycle, то есть таким образом, чтобы уменьшить вероятность возникновения уязвимостей в сертифицируемом решении. Включают в себя:

1️⃣ Проверка заимствованных компонентов на уязвимости.

2️⃣ Статический анализ кода.

3️⃣ Динамический анализ кода (fuzzing тестирование и т.п.)

Процесс сертификации устроен таким образом: между производителем решения и ФСТЭК есть испытательная лаборатория, которая проверяет соблюдение всех требований, делает заключение о соответствии и направляет документы регулятору. Тот на основании заключения выдает сертификат. Далее все радуются 🍾

В принципе все просто, но дьявол как обычно в деталях 😜