| МНН / Действ. вещества |
|---|
| Страна держателя РУ |
| Hengshui Bodefu Instrument Co., Ltd., Китай |
| Срок действия реестра |
| Общество с ограниченной ответственностью СТС (ООО СТС), г. Москва |
| MRU GmbH, Германия |
| Общество с ограниченной ответственностью Висом (ООО Висом), г. Смоленск |
| Общество с ограниченной ответственностью Нефть (ООО Нефть), г. Москва |
| Акционерное общество Нижегородское научно-производственное объединение имени М.В. Фрунзе (АО ННПО имени М.В. Фрунзе), г. Нижний Новгород |
| Акционерное общество Хакаснефтепродукт ВНК (АО Хакаснефтепродукт ВНК), Республика Хакасия, г. Абакан |
| FAURE HERMAN S.A.S., Франция |
| Общество с ограниченной ответственностью РН-Морской терминал Туапсе (ООО РН-Морской терминал Туапсе), г. Туапсе |
| Акционерное общество Научно-производственный комплекс ЭЛАРА имени Г.А. Ильенко (АО ЭЛАРА), Чувашская Республика, г. Чебоксары |
| Общество с ограниченной ответственностью ЮМИС ПРО (ООО ЮМИС ПРО), г. Домодедово, Московская обл. |
| Общество с ограниченной ответственностью РН-Энерго (ООО РН-Энерго), Московская обл., г.о. Красногорск, д. Путилково |
| OEG GmbH, Германия |
| Общество с ограниченной ответственностью КУРС (ООО КУРС), г. Уфа |
| Акционерное общество Институт физико-технических проблем (АО ИФТП), Московская обл., г. Дубна |
| POWER ELECTRONIC MEASUREMENTS Ltd., Великобритания |
| Общество с ограниченной ответственностью ЛУКОЙЛ-Нижегороднефтеоргсинтез (ООО ЛУКОЙЛ-Нижегороднефтеоргсинтез), Нижегородская обл., г. Кстово |
| Акционерное общество Аэроприбор-Восход (АО АП Восход), г. Москва |
| Непубличное акционерное общество СибКом (АО СибКом), г. Уфа; Beijing Pinghe Chuangye Technology Development Co., Ltd., Китай |
| Общество с ограниченной ответственностью Фирма Информтест (ООО Фирма Информтест), г. Москва, г. Зеленоград |
| Общество с ограниченной ответственностью Малленом Системс (ООО Малленом Системс), Вологодская обл., г. Череповец |
| Shenzhen Pacom Medical Instruments Co., Ltd., Китай |
| Beijing Consen Automation technology Co.,Ltd., КНР |
Государственный реестр сертифицированных средств защиты информации ФСТЭК
Реестр средств защиты информации ФСТЭК (Федеральной службы по таможенному и экспортному контролю) – крупный и известный государственный перечень сертифицированных продуктов. Многие организации и ведомства законодательно обязаны использовать только входящие в него СЗИ. Есть и не столь явное преимущество – уровень доверия к имеющим сертификат службы решениям явно выше чем у тех, кто данную процедуру не прошел.
Мотивация многих разработчиков сертифицировать свою продукцию ясна. Но чтобы довести процесс до желаемого итога, стоит запастись терпением и временем. Начать планирование пути рекомендуем с этой статьи.
Общее описание и законодательная база
Реестр ФСТЭК
Реестр ФСТЭК существует относительно недавно. Служба начала его вести в нынешнем виде только в июне 2020 года. На момент написания этой статьи в реестре 1961 заполненная строка. С полным перечнем прошедших сертификацию компаний можно ознакомиться здесь. Также доступны опции его скачивания в форматах ODS или CSV.
Таблица реестра ФСТЭК
| Номер | Дата оформления | Срок действия сертификата | Название и шифр средства | Тип сертификации | Реквизиты заявителя | Информация о лаборатории |
|---|---|---|---|---|---|---|
| 1 | 12.05.2021 | 12.05.2023 | Программное обеспечение Безопасный режим | Сертификация соответствия | ООО Информбезопасность | Лаборатория ТестСервис |
| 2 | 08.11.2020 | 08.11.2022 | Аппаратно-программный комплекс Шифр-М | Сертификация соответствия | ЗАО КриптоТех | Лаборатория Защита Инфо |
| … | … | … | … | … | … | … |
Важность сертификации
По каждому решению в таблице представлены номер, дата оформления и срок действия сертификата, название и шифр средства, тип сертификации, реквизиты заявителя и сведения о лаборатории, ответственной за испытания. Все эти сведения доступны любому пользователю, в том числе и потенциальному клиенту компании. Убедиться в наличии у продукта такого сертификата можно в несколько кликов.
Государственные структуры изучают данный документ особенно тщательно. Еще в 2015 году было принято постановление, обязывающее их использовать только сертифицированные средства защиты информации. С тех пор в него дважды вносились дополнения – актуальная версия обновлена в июне 2023 года. Если компания обязана осуществлять свою деятельность в соответствии с Федеральным законом №152 о защите персональных данных, без реестра СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно сертифицированных средств защиты информации требуют госзакупки в соответствии с ФЗ№44 и ФЗ№223.
Процесс сертификации и его этапы
Прогнозировать, сколько времени займет сертификация конкретного продукта – дело весьма неблагодарное. В плане компании лучше заложить на это дело порядка года, однако сроки могут меняться. Процесс разделен на несколько этапов, которые подробно описаны в приказе ФСТЭК Об утверждении положения о системе сертификации средств защиты информации. Схематично они выглядят так:
- Подготовка к сертификации
- Сертификационные испытания
- Экспертиза документации
- Регистрация сертификата
Анна Кривенко, эксперт центра развития продуктов NGR Softlab:
— Сертификационные испытания СЗИ – это, пожалуй, самый сложный и длительный этап сертификации. Он начинается с отбора образцов продукта и документации. Далее лаборатория в течение 20 дней оформляет программу и методики испытаний, а орган по сертификации рассматривает и утверждает их еще 30 дней. В процессе испытаний, которые проводятся по утвержденным программе и методикам, лаборатория производит оценку соответствия заявленных характеристик продукта фактическим, а также проверяет соответствие продукта и процессов его разработки, производства, поддержки предъявляемым требованиям. По результатам проверок лаборатория оформляет протоколы и техническое заключение.
В процессе внесения своего решения в реестр ФСТЭК СЗИ компания может столкнуться с рядом сложностей. Основное – несоответствие продукта предъявляемым требованиям. Отказ возможен на нескольких этапах. Чтобы не тратить время с таким неприятным для компании итогом, лучше уделить больше времени предварительной подготовке – изучению требований и проверке соответствия им своего решения.
Важно помнить
Если в процессе сертификации выявлены несоответствия, компания может их исправить, а не прекращать сертификацию. Однако работа над исправлениями в моменте и необходимость оперативно устранять замечания могут означать для команды излишнюю нагрузку и стресс. Как раз тот случай, когда лучше по максимуму подстелить соломки заранее.
Все только начинается
Важно помнить, что попадание в составленный ФСТЭК реестр сертифицированных средств защиты информации накладывает на разработчика ряд обязательств. То есть это не финал, после которого сертификат можно разместить на своем сайте и забыть о нем.
На производителя сертифицированных СЗИ ложится обязанность по контролю за распространением продукта. Каждую копию сертифицированных СЗИ необходимо особым образом маркировать. Куда и как его наносить, ФСТЭК определила в тематическом разделе уже упоминавшегося в этой статье приказа.
Основные обязательства
- Вести специальный журнал учета, в который вносят каждую копию сертифицированного СЗИ, промаркированного в соответствии с требованиями.
- Предоставлять во ФСТЭК отчетность по промаркированным образцам сертифицированного СЗИ ежегодно.
Трудоемкий процесс
Включить свой продукт в реестр сертифицированных ФСТЭК СЗИ – задача трудоемкая, но вполне решаемая. Каждой компании потребуется свой промежуток времени, чтобы достичь результата. Он может составлять от шести месяцев до двух лет, поэтому стоит запастись терпением.
Важное замечание
Для получения желаемого результата не стоит торопиться на этапе предварительной подготовки. Важно убедиться в базовом соответствии своего решения всем требованиям к СЗИ определенного класса до подачи заявки. Даже такой сценарий полностью не исключит необходимости доработок здесь и сейчас, но уменьшит вероятность такого развития событий.
Вывод
Получения желаемого сертификата ФСТЭК – не только важная веха для разработчика, но и ответственность. У компании появляются дополнительные обязательства, которые необходимо соблюдать.
Подробнее на сайте издания по ссылке.