Как Traffic Inspector Next Generation проходил сертификацию ФСТЭК
Российские компании часто сообщают о получении сертификата Федеральной службы технического и экспортного контроля (ФСТЭК) на свои продукты. Такое внимание к сертификации не случайно: сертификат ФСТЭК стал обязательным документом для программных продуктов, которые вендоры предлагают компаниям определенных сфер деятельности. Особенно это актуально для компаний, в которых установлены государственные информационные системы (ГИС) и автоматизированные системы управления технологическим процессом (АСУ ТП).
Наша компания – не исключение. Мы получили сертификат ФСТЭК на свой флагманский продукт, универсальный шлюз безопасности Traffic Inspector Next Generation (TING). Процесс получения сертификата получился трудным и долгим. И компании, которые, так же как и мы, проходили его, имеют законный повод для гордости. Рассказываем, почему.
Для чего нам потребовался сертификат ФСТЭК
Универсальный шлюз безопасности Traffic Inspector Next Generation (TING) предназначен для защиты информации и обеспечения безопасности персональных данных. Он хорошо известен бизнес-заказчикам. Но функциональные возможности нашего программного продукта позволяют предложить его еще более широкому кругу клиентов: государственным корпорациям, банкам с государственным участием, крупным образовательным учреждениям, компаниям нефтегазового сектора, транспортным операторам. Этот сегмент рынка для нашей компании очень интересен и привлекателен.
Но работать на этих рынках раньше мы не могли из-за того, что объекты критической информационной инфраструктуры в обязательном порядке должны быть защищены сертифицированными средствами защиты информации. Таковы требования регулятора. И для того, чтобы обеспечить соответствие TING этим требованиям, мы и поставили перед собой цель получить Сертификат ФСТЭК.
TING хорошо известен на рынке, к этому продукту проявляют интерес в государственном секторе и крупных корпорациях. Мы накопили солидный портфель заказов на TING от клиентов, которые хотели бы его приобрести. И получение сертификата ФСТЭК было тем единственным условием, которое нам необходимо было выполнить для совершения этих запланированных сделок.
Как устроен процесс сертификации
Получение Сертификата ФСТЭК – целый комплекс мероприятий, которые необходимо тщательно спланировать и выполнить в строгой последовательности. Процесс был запущен еще в апреле 2021 года, а за прошедшее с того момента время требования ФСТЭК к средствам защиты информации стали еще более строгими.
Перед тем, как подать в Орган по сертификации необходимые материалы, требуется подготовить комплект документации, состоящий из трех десятков технических документов. Самый объемный, Программа методики проведения сертификационных испытаний, насчитывает 370 страниц. Она утверждается Органом по сертификации и является основой для дальнейшей разработки методик отдельных испытаний, которые должен пройти продукт для получения сертификата.
Программа регламентирует выполнение технологических этапов производства программного продукта и описывает его с точки зрения требований, предъявляемых ФСТЭК к средствам защиты информации: описание функциональных характеристик, описание инструментов для определения поверхности атак – уязвимостей, которые закрывает продукт и т.п.
В 2017 году наша компания уже проходила процесс сертификации (срок действия прежнего сертификата закончился в декабре 2020 года). С того времени у нас оставался комплект документации, которым мы планировали воспользоваться и в этот раз. Но в 2018 году ФСТЭК разработала новые требования (они содержатся в Приказе ФСТЭК № 55 от 3 апреля 2018 года). Процедура сертификации по этим требованиям серьезно усложнилась и имеющийся комплект документации перестал им соответствовать. Поэтому пришлось разрабатывать новые документы. А это – сложная задача, решение которой требует и времени, и сил.
Сначала предстояло подготовить документы, необходимые для получения Решения ФСТЭК о проведении сертификации: технические условия, формуляр, задание по безопасности. Эти документы у нас частично уже были, нужно было их только отредактировать с учетом новых требований регулятора.
А вот второй этап, разработка методик испытаний продукта и анализа уязвимостей, оказался самым сложным и продолжительным. Он продолжался с апреля 2021 по декабрь 2022 года. В это время мы взаимодействовали с испытательной лабораторией, которую нам назначила ФСТЭК: составляли документы, согласовывали их с экспертами, которые проверяли методики на соответствие требованиям.
Следующий этап сертификации начался для нас в 2023 году и продолжался до конца весны. Это – сами испытания, которые проводит лаборатория. Их результаты вместе с комплектом документов она передает в орган по сертификации (их имеется несколько в разных регионах страны). Здесь снова анализируются ход испытаний, их результаты, документы, еще раз проводится проверка соответствия испытаний методикам. И только после этого орган сертификации оформляет протокол. Вместе со всем комплектом документов он был передан в ФСТЭК, которая 13 июля 2023 года выдала нам Сертификат соответствия №4692.
Сроки
Очень важный момент в процедуре получения сертификата ФСТЭК – соблюдение установленных сроков подачи заявок, составления документов и проведения испытаний. После того как ФСТЭК получает заявку от компании на сертификацию, она выдает по ней положительное заключение, которое действует один год. За это время необходимо составить первоначальный комплект документов и заключить договор с органом сертификации, а потом, в течение еще одного года, разработать методики и начать сами сертификационные испытания. И, если процесс сертификации за эти два года так и не начат, заключение ФСТЭК перестает действовать и весь процесс необходимо начинать заново.
Дело не только в том, что процесс составления многих пространных и подробных документов занимает много времени. Если в них будут обнаружены ошибки, то орган сертификации вернет их на доработку и исправление ошибок, и это еще больше затянет и процедуру, и процесс получения сертификата.
Для чего потребовался аутсорсинг
Процесс получения сертификата ФСТЭК оказался для нас весьма длительным, а кроме того, он требует решения специфических задач, требующих специальных компетенций. В какой-то момент мы осознали, что нам не хватает собственных ресурсов для выполнения всех процедур. Эту проблему мы решили с помощью подрядчиков, которые выполнили для нас подготовку документов в соответствии с нормами приказа ФСТЭК № 55 (компаний, которые способны справиться с этой задачей, в стране считанные единицы).
Еще одна задача, которую мы поручили подрядчикам – разработка методик для проведения внутренних испытаний ПО. Перед тем, как выйти на испытания, компании-заявителю необходимо доказать испытательной лаборатории, что программное решение прошло необходимые внутренние проверки: модульное тестирования (ДАО.1), фаззинг-тестирование (ДАО.2), статический анализ исходного кода (САО), тестирование на проникновение (КАО), экспертиза исходного кода (ЭКО). Разработка методик для таких испытаний – весьма специфическая работа, которую мы тоже отдали на аутсорсинг той компании, которая имеет в этой области развитые компетенции. И методики, которые она составила, использовались затем нашими сотрудниками при проведении внутренних испытаний.
Как проходили испытания
TING проходит испытания для двух типов средств обеспечения информационной безопасности. Первый – испытания для межсетевых экранов типа А, программно-аппаратных комплексов. Иными словами, испытывается сервер, на котором установлено наше программное обеспечение.
К серверу предъявляются очень серьезные требования: он должен быть внесен в реестр Минпромторга. Здесь мы столкнулись с проблемами. Дело в том, что изначально, в 2021 году, мы планировали использовать серверы одного из российских вендоров, который, к сожалению, не сумел выполнить требования регуляторов, – не менее 30% комплектующих должны были иметь российское происхождение. И нам пришлось почти в авральном режиме искать замену. Хорошо, что это удалось сделать.
Очень серьезными были и сами испытания. В прошлый раз, проходя испытания, мы ориентировались на заказчиков из сегмента малого и среднего бизнеса и получали сертификат на соответствие требованиям к межсетевым экранам типов А и Б 4-го класса защиты. Теперь нашей целью был сегмент крупных предприятий и государственных органов, для работы с которыми необходимо было получить сертификат более высокого уровня, на соответствие не только требованиям к межсетевым экранам А и Б 4 класса защиты, но и систем обнаружения вторжения уровня сети 4 класса и 4 уровня доверия. Поэтому и сами испытания были весьма серьезными. Эксперты моделировали различные инциденты и проверяли, как наши межсетевые экраны справляются с этими нападениями, попытками взлома системы с целью похищения личных данных, атаками на инфраструктуру. Использовалась для этого тестовая среда, которую развернула сама испытательная лаборатория.
Предложение продукта ведущим российским предприятиям означает необходимость соответствия продукта самым строгим требованиям. И помимо уверенности компании в качестве своего продукта, получение сертификата требует готовности к выполнению сложной и длительной процедуры, сопряженной с тщательным выполнением множества формальностей. Но результат, возможность работы с самыми крупными заказчиками страны, стоит затраченных усилий.
Протестируйте бесплатно