Реестр аккредитованых лиц

Реестр средств защиты информации ФСТЭК

Реестр средств защиты информации ФСТЭК (Федеральной службы по таможенному и экспортному контролю) – крупный и известный государственный перечень сертифицированных продуктов. Многие организации и ведомства законодательно обязаны использовать только входящие в него СЗИ. Есть и не столь явное преимущество – уровень доверия к имеющим сертификат службы решениям явно выше чем у тех, кто данную процедуру не прошел.

Мотивация разработчиков

Мотивация многих разработчиков сертифицировать свою продукцию ясна. Но чтобы довести процесс до желаемого итога, стоит запастись терпением и временем. Начать планирование пути рекомендуем с этой статьи.

Общее описание и законодательная база

Реестр ФСТЭК существует относительно недавно. Служба начала его вести в нынешнем виде только в июне 2020 года. На момент написания этой статьи в реестре 1961 заполненная строка. С полным перечнем прошедших сертификацию компаний можно ознакомиться здесь. Также доступны опции его скачивания в форматах ODS или CSV.

По каждому решению в таблице представлены номер, дата оформления и срок действия сертификата, название и шифр средства, тип сертификации, реквизиты заявителя и сведения о лаборатории, ответственной за испытания. Все эти сведения доступны любому пользователю, в том числе и потенциальному клиенту компании. Убедиться в наличии у продукта такого сертификата можно в несколько кликов.

Государственные структуры изучают данный документ особенно тщательно. Еще в 2015 году было принято постановление, обязывающее их использовать только сертифицированные средства защиты информации. С тех пор в него дважды вносились дополнения – актуальная версия обновлена в июне 2023 года. Если компания обязана осуществлять свою деятельность в соответствии с Федеральным законом №152 о защите персональных данных, без реестра СЗИ при выборе ей также не обойтись. Наконец, выбора исключительно сертифицированных средств защиты информации требуют госзакупки в соответствии с ФЗ№44 и ФЗ№223.

Основные факторы успешной сертификации

Основным фактором успешного прохождения сертификации продукции в системе сертификации ФСТЭК России является готовность разработчика выполнять процедуры безопасной разработки. Суть процесса сертификации – показать регулятору (ФСТЭК России) в лице Органа по сертификации (назначается решением ФСТЭК России) силами разработчика и испытательной лаборатории насколько испытываемый продукт безопасен в призме нормативной базы ФСТЭК России.

Какие продукты могут войти в реестр

Сертификацию ФСТЭК могут пройти два вида решений:

1. Первое понятие шире и включает весь комплекс программных, технических, криптографических и прочих средств для обеспечения безопасности данных.
2. Определение второго имеется в ГОСТ Р 51583-2000, где автоматизированной системой в защищенном исполнении называют систему, которая выполняет требуемые функции в соответствии с нормативными документами по защите информации.

Начальник отдела ТЗКИ Cloud Networks

Подготовка к процессу сертификации

Фактически можно сразу обратиться за предметной консультацией и коммерческим предложением к потенциальному исполнителю процесса, который подскажет, какие шаги предпринять. Но основное – четкое понимание целей сертификации, какие продукты и в каком составе хотелось бы сертифицировать, в достаточном ли объеме в наличии есть документация на продукт, в какой степени завершенности находится актуальная версия продукта(ов), которые планируется сертифицировать.

Требования для сертификации

Все требования для заявленных на сертификацию решений подробно описаны в документации ФСТЭК, которую лучше тщательно изучить до подачи заявки. Актуальную версию требований можно найти на этой странице. Предлагаемый продукт должен соответствовать требованиям определенного уровня доверия к средствам защиты. Всего их шесть и количество критериев увеличивается от шестого к первому.

Процесс сертификации и его этапы

Прогнозировать, сколько времени займет сертификация конкретного продукта – дело весьма неблагодарное. В плане компании лучше заложить на это дело порядка года, однако сроки могут меняться. Процесс разделен на несколько этапов, которые подробно описаны в приказе ФСТЭК Об утверждении положения о системе сертификации средств защиты информации. Схематично они выглядят так:

Эксперт центра развития продуктов NGR Softlab

Сертификационные испытания СЗИ

Это, пожалуй, самый сложный и длительный этап сертификации. Он начинается с отбора образцов продукта и документации. Далее лаборатория в течение 20 дней оформляет программу и методики испытаний, а орган по сертификации рассматривает и утверждает их еще 30 дней. В процессе испытаний, которые проводятся по утвержденным программе и методикам, лаборатория производит оценку соответствия заявленных характеристик продукта фактическим, а также проверяет соответствие продукта и процессов его разработки, производства, поддержки предъявляемым требованиям. По результатам проверок лаборатория оформляет протоколы и техническое заключение.

Внесение решения в реестр ФСТЭК СЗИ

В процессе внесения своего решения в реестр ФСТЭК СЗИ компания может столкнуться с рядом сложностей. Основное – несоответствие продукта предъявляемым требованиям. Отказ возможен на нескольких этапах. Чтобы не тратить время с таким неприятным для компании итогом, лучше уделить больше времени предварительной подготовке – изучению требований и проверке соответствия им своего решения.

Исправление несоответствий

Если в процессе сертификации выявлены несоответствия, компания может их исправить, а не прекращать сертификацию. Однако работа над исправлениями в моменте и необходимость оперативно устранять замечания могут означать для команды излишнюю нагрузку и стресс. Как раз тот случай, когда лучше по максимуму подстелить соломки заранее.

Независимый эксперт компании Индид

Реестр сертифицированных средств защиты информации: анализ основных проблем

На этапе принятия решения на проведение сертификационных испытаний компания-разработчик может неверно оценить свои возможности ввиду плохого понимания требований по безопасности, например, проигнорировать внедрение процедур безопасной разработки, не иметь необходимого комплекта документов или не иметь в штате компании необходимых специалистов для проведения каждого вида процедур по анализу уязвимостей.

На этапе испытаний сильно увеличивает сроки сертификационных испытаний внесение изменений в дистрибутив СЗИ или отсутствие его версии, готовой к сертификации.

Что потребуется от разработчика

Часть требований касаются не самого решения, а его разработчика. У него должны быть лицензии на проводимые работы.

Первая обязательная лицензия – на деятельность по технической защите конфиденциальной информации. Ее описание и требования к получателю доступны в положении о лицензировании. Отдельный приказ ФСТЭК устанавливает формы документации, которую необходимо заполнить.

Также разработчику потребуется лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации. Подробности о ее получении также можно найти в постановлении и приказе.

Технический директор Arenadata

Для разработки СЗИ компания-разработчик должна обладать лицензией ФСТЭК РФ на разработку средств защиты конфиденциальной информации. Но не стоит забывать, что часто компании-разработчики дополнительно оказывают услуги по внедрению, а также обслуживанию своих продуктов у клиентов. В этом случае разработчику необходимо также получить лицензию ФСТЭК РФ на техническую защиту конфиденциальной информации. Нашей компании потребовалось получить обе лицензии.

Все только начинается

Важно помнить, что попадание в составленный ФСТЭК реестр сертифицированных средств защиты информации накладывает на разработчика ряд обязательств. То есть это не финал, после которого сертификат можно разместить на своем сайте и забыть о нем.

На производителя сертифицированных СЗИ ложится обязанность по контролю за распространением продукта. Каждую копию сертифицированных СЗИ необходимо особым образом маркировать. Куда и как его наносить, ФСТЭК определила в тематическом разделе уже упоминавшегося в этой статье приказа.

Дополнительно компания обязана вести специальный журнал учета. В него вносят каждую копию сертифицированного СЗИ, которое промаркировано в соответствии с требованиями.

Третье обязательство – предоставлять во ФСТЭК отчетность по промаркированным образцам сертифицированного средства защиты информации. Делать это необходимо ежегодно.

Выводы

Включить свой продукт в реестр сертифицированных ФСТЭК СЗИ – задача трудоемкая, но вполне решаемая. Каждой компании потребуется свой промежуток времени, чтобы достичь результата. Он может составлять от шести месяцев до двух лет, поэтому стоит запастись терпением.

Важные аспекты получения сертификата ФСТЭК

Не торопитесь на этапе предварительной подготовки

Один из важных выводов – для получения желаемого результата не стоит торопиться на этапе предварительной подготовки. Важно убедиться в базовом соответствии своего решения всем требованиям к СЗИ определенного класса до подачи заявки. Даже такой сценарий полностью не исключит необходимости доработок здесь и сейчас, но уменьшит вероятность такого развития событий.

Ответственность за сертификат ФСТЭК

Получение желаемого сертификата ФСТЭК – это не только важный шаг для разработчика, но и большая ответственность. У компании появляются дополнительные обязательства, которые необходимо соблюдать.

Вступление в силу редакций ТР ТС

В соответствии с абзацем 2 пункта 3 Решения Совета ЕЭК от 14.09.2021 № 90 отдельные позиции приложений №№ 1, 3 и 4 к ТР ТС 001/2011 вступают в силу с 08.04.2023 (по истечении 18 месяцев с даты официального опубликования Решения Совета ЕЭК).

Переходные положения по новым изменениям

Информация о новых изменениях для продукции в ТР ТС 001 пунктом 3 Решения Совета ЕЭК от 14.09.2021 № 90 вступает в силу с 08.04.2023. Однако, действуют переходные положения Решения Коллегии ЕЭК от 01.02.2022 № 19:

• Адаптеры колесных пар тележек грузовых вагонов
• Балансир трехосной тележки грузовых вагонов
• Балка соединительная четырехосной тележки грузовых вагонов
• Балка шкворневая трехосной тележки грузовых вагонов
• Боковые изделия остекления пассажирских вагонов локомотивной тяги, моторвагонного подвижного состава
• Клинья фрикционные тележек грузовых вагонов
• Корпус буксы колесных пар тележек грузовых вагонов
• Пятники грузовых вагонов
• Тележки трехосные для грузовых вагонов
• Тележки четырехосные для грузовых вагонов
• Устройство соединительное шарнирное грузовых вагонов сочлененного типа

Важная информация о декларировании!

Для получения сертификата ФСТЭК необходимо следовать процедурам и требованиям, учитывая изменения и переходные положения определенные решениями ЕЭК. Важно быть внимательным к срокам и требованиям, чтобы избежать лишних проблем при сертификации.

В соответствии с пунктом 134 ТР ТС 001/2011, пунктом 126 ТР ТС 002/2011, пунктом 64 ТР ТС 003/2011 регистрация, приостановление, возобновление и прекращение действия декларации о соответствии осуществляются в порядке, утверждаемом Евразийской экономической комиссией.В соответствии с решением Коллегии Евразийской экономической комиссии от 20 марта 2018 г. № 41 регистрация декларации о соответствии осуществляется уполномоченными на регистрацию деклараций о соответствии органами (организациями) государств – членов Союза (далее – государства-члены), в том числе аккредитованными органами по сертификации государств-членов, которые включены в единый реестр органов по оценке соответствия Союза и область аккредитации которых распространяется на декларируемую продукцию, если это предусмотрено законодательством государств-членов.В соответствии с пунктом 3 Правил регистрации, приостановления, возобновления и прекращения действия деклараций о соответствии, признания их недействительными, утвержденных постановлением Правительства Российской Федерации от 19 июня 2021 г. № 936 регистрацию деклараций о соответствии осуществляет национальный орган по аккредитации (Росаккредитация).Таким образом, с введением в действие 06 апреля 2022 г. новых редакций ТР ТС ОС ЖТ ФБУ «РС ФЖТ» прекращает регистрацию деклараций о соответствии требованиям технических регламентов Таможенного союза в области железнодорожного транспорта и внесение сведений о них в федеральную государственную информационную систему в области аккредитации (ФГИС) Росаккредитации.При этом ФБУ «РС ФЖТ» на основании обращения заявителя в соответствии с заключенным договором выполняет работы по декларированию соответствия в части проверки полноты необходимого комплекта документов для регистрации декларации о соответствии, включая создание черновика карточки о регистрации декларации о соответствии в сервисе регистрации декларации о соответствии во ФГИС Росаккредитации. При этом подписание декларации о соответствии в информационной системе осуществляется непосредственно заявителем с применением усиленной квалифицированной электронной подписи.

С 06 апреля 2022 года согласно Решению Совета

Евразийской экономической комиссии от 14.09.2021 № 90 вступают в силу изменения в технические регламенты Таможенного союза в области железнодорожного транспорта «О безопасности железнодорожного подвижного состава» (ТР ТС 001/2011), «О безопасности высокоскоростного железнодорожного транспорта» (ТР ТС 002/2011), «О безопасности инфраструктуры железнодорожного транспорта» (ТР ТС 003/2011) (далее – ТР ТС) (кроме отдельных положений).Изменения касаются, в том числе, схем сертификации и наименований объектов подтверждения соответствия.В этой связи по заявкам на сертификацию продукции требованиям ТР ТС, находящимся в работе, выдача сертификатов соответствия по которым будет осуществляться после 05 апреля 2022 года, заявителю необходимо представить в ФБУ «РС ФЖТ» изменения к ранее поданным заявкам на сертификацию продукции.

С 01 января 2022 года заявки (обращения) по присвоению условных номеров клеймения, расширению, контролю, приостановлению, возобновлению их действия и аттестации производственных участков необходимо подавать в Федеральное агентство железнодорожного транспорта.

В соответствии с решением Федерального агентства железного транспорта Федеральное бюджетное учреждение «Регистр сертификации на федеральном железнодорожном транспорте» (ФБУ «РС ФЖТ») признано в качестве экспертной организации, имеющей право выполнять обследование лабораторий неразрушающего контроля предприятий, осуществляющих изготовление или ремонт или техническое обслуживание железнодорожного подвижного состава и его составных частей, с целью их аттестации

08 октября 2021 г. на правовом портале Евразийского экономического союза опубликовано Решение Совета Евразийской экономической комиссии № 90 от 14 сентября 2021 г. "О внесении изменений в некоторые решения Комиссии Таможенного союза и Совета Евразийской экономической комиссии" (о внесении изменений в ТР ТС).

В соответствии с пунктом 2.1 статьи 25 Федерального закона от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании» в случаях непроведения в установленный срок инспекционного контроля, сертификат соответствия прекращает действие по истечении 30 дней со дня наступления последнего дня месяца, в котором должен быть проведен инспекционный контроль.

Место нахождения аккредитованного лицаНомер телефона аккредитованного лицаИнформация о приостановлении действия аттестата аккредитации**

* Указываются идентификационные данные области аккредитации органа по сертификации или испытательной лаборатории (в одной строке может содержаться несколько идентификационных данных области аккредитации органа по сертификации или испытательной лаборатории, разделяемых запятыми):

"1" – при выполнении органом по сертификации или испытательной лабораторией работ по оценке (подтверждению) соответствия в отношении средств противодействия иностранным техническим разведкам, включая средства, в которых они реализованы, а также средства контроля эффективности противодействия иностранным техническим разведкам;

"2" – при выполнении органом по сертификации или испытательной лабораторией работ по оценке (подтверждению) соответствия в отношении средств защиты информации от утечки по техническим каналам, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от утечки по техническим каналам;

"3" – при выполнении органом по сертификации или испытательной лабораторией работ по оценке (подтверждению) соответствия в отношении средств защиты информации от несанкционированного доступа, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от несанкционированного доступа;

"4" – при выполнении органом по сертификации или испытательной лабораторией работ по оценке (подтверждению) соответствия в отношении средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

** Заполняется в случае принятия решения о приостановлении действия аттестата аккредитации.

Единый реестр зарегистрированных (аккредитованных) лиц в Системах добровольной сертификации

Уполномочивание органов по сертификации (ОС) для целей проведения работ по сертификации в Системе осуществляет Руководящий орган Системы. Решение принимается по результатам анализа представленных документов. В случае положительного решения о выдаче полномочий между Руководящим органом Системы и органом по сертификации заключается письменное соглашение о передаче полномочий на проведение сертификации. Орган по сертификации вносится в Реестр органов по сертификации Системы. Руководящий орган Системы проводит постоянный мониторинг деятельности органов по сертификации Системы, который может осуществляться в форме документарной либо выездной проверки (при необходимости).

Испытательные лаборатории (ИЛ) проводят испытания объектов сертификации в соответствии со своей областью аккредитации и выдают протоколы сертификационных испытаний. Для проведения испытаний в рамках Системы допускаются аккредитованные в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации испытательные лаборатории, являющиеся независимыми от производителя (продавца) и потребителя (покупателя). Основной функцией испытательных лабораторий (центров) является проведение испытаний и оформление их результатов в соответствии со стандартом ГОСТ ISO/IEC 17025-2019 «Общие требования к компетентности испытательных и калибровочных лабораторий», обеспечивающих объективную и достаточную информацию о фактических значениях показателей испытуемых образцов продукции.