Как Traffic Inspector Next Generation проходил сертификацию ФСТЭК

1739

Российские компании часто сообщают о получении сертификата Федеральной службы технического и экспортного контроля (ФСТЭК) на свои продукты. Такое внимание к сертификации не случайно: сертификат ФСТЭК стал обязательным документом для программных продуктов, которые вендоры предлагают компаниям определенных сфер деятельности. Особенно это актуально для компаний, в которых установлены государственные информационные системы (ГИС) и автоматизированные системы управления технологическим процессом (АСУ ТП).

Наша компания – не исключение. Мы получили сертификат ФСТЭК на свой флагманский продукт, универсальный шлюз безопасности Traffic Inspector Next Generation (TING). Процесс получения сертификата получился трудным и долгим. И компании, которые, так же как и мы, проходили его, имеют законный повод для гордости. Рассказываем, почему.

Traffic Inspector Next Generation FSTEC

Для чего нам потребовался сертификат ФСТЭК

Универсальный шлюз безопасности Traffic Inspector Next Generation (TING) предназначен для защиты информации и обеспечения безопасности персональных данных. Он хорошо известен бизнес-заказчикам. Но функциональные возможности нашего программного продукта позволяют предложить его еще более широкому кругу клиентов: государственным корпорациям, банкам с государственным участием, крупным образовательным учреждениям, компаниям нефтегазового сектора, транспортным операторам. Этот сегмент рынка для нашей компании очень интересен и привлекателен.

Но работать на этих рынках раньше мы не могли из-за того, что объекты критической информационной инфраструктуры в обязательном порядке должны быть защищены сертифицированными средствами защиты информации. Таковы требования регулятора. И для того, чтобы обеспечить соответствие TING этим требованиям, мы и поставили перед собой цель получить Сертификат ФСТЭК.

TING хорошо известен на рынке, к этому продукту проявляют интерес в государственном секторе и крупных корпорациях. Мы накопили солидный портфель заказов на TING от клиентов, которые хотели бы его приобрести. И получение сертификата ФСТЭК было тем единственным условием, которое нам необходимо было выполнить для совершения этих запланированных сделок.

 

Как устроен процесс сертификации

Получение Сертификата ФСТЭК – целый комплекс мероприятий, которые необходимо тщательно спланировать и выполнить в строгой последовательности. Процесс был запущен еще в апреле 2021 года, а за прошедшее с того момента время требования ФСТЭК к средствам защиты информации стали еще более строгими.

Перед тем, как подать в Орган по сертификации необходимые материалы, требуется подготовить комплект документации, состоящий из трех десятков технических документов. Самый объемный, Программа методики проведения сертификационных испытаний, насчитывает 370 страниц. Она утверждается Органом по сертификации и является основой для дальнейшей разработки методик отдельных испытаний, которые должен пройти продукт для получения сертификата.

Программа регламентирует выполнение технологических этапов производства программного продукта и описывает его с точки зрения требований, предъявляемых ФСТЭК к средствам защиты информации: описание функциональных характеристик, описание инструментов для определения поверхности атак – уязвимостей, которые закрывает продукт и т.п.

В 2017 году наша компания уже проходила процесс сертификации (срок действия прежнего сертификата закончился в декабре 2020 года). С того времени у нас оставался комплект документации, которым мы планировали воспользоваться и в этот раз. Но в 2018 году ФСТЭК разработала новые требования (они содержатся в Приказе ФСТЭК № 55 от 3 апреля 2018 года). Процедура сертификации по этим требованиям серьезно усложнилась и имеющийся комплект документации перестал им соответствовать. Поэтому пришлось разрабатывать новые документы. А это – сложная задача, решение которой требует и времени, и сил.

Сначала предстояло подготовить документы, необходимые для получения Решения ФСТЭК о проведении сертификации: технические условия, формуляр, задание по безопасности. Эти документы у нас частично уже были, нужно было их только отредактировать с учетом новых требований регулятора.

А вот второй этап, разработка методик испытаний продукта и анализа уязвимостей, оказался самым сложным и продолжительным. Он продолжался с апреля 2021 по декабрь 2022 года. В это время мы взаимодействовали с испытательной лабораторией, которую нам назначила ФСТЭК: составляли документы, согласовывали их с экспертами, которые проверяли методики на соответствие требованиям.

Следующий этап сертификации начался для нас в 2023 году и продолжался до конца весны. Это – сами испытания, которые проводит лаборатория. Их результаты вместе с комплектом документов она передает в орган по сертификации (их имеется несколько в разных регионах страны). Здесь снова анализируются ход испытаний, их результаты, документы, еще раз проводится проверка соответствия испытаний методикам. И только после этого орган сертификации оформляет протокол. Вместе со всем комплектом документов он был передан в ФСТЭК, которая 13 июля 2023 года выдала нам Сертификат соответствия №4692.

Сертификат соответствия ФСТЭК №4692 от 13.07.2023

Сроки

Очень важный момент в процедуре получения сертификата ФСТЭК – соблюдение установленных сроков подачи заявок, составления документов и проведения испытаний. После того как ФСТЭК получает заявку от компании на сертификацию, она выдает по ней положительное заключение, которое действует один год. За это время необходимо составить первоначальный комплект документов и заключить договор с органом сертификации, а потом, в течение еще одного года, разработать методики и начать сами сертификационные испытания. И, если процесс сертификации за эти два года так и не начат, заключение ФСТЭК перестает действовать и весь процесс необходимо начинать заново.

Дело не только в том, что процесс составления многих пространных и подробных документов занимает много времени. Если в них будут обнаружены ошибки, то орган сертификации вернет их на доработку и исправление ошибок, и это еще больше затянет и процедуру, и процесс получения сертификата.

 

Для чего потребовался аутсорсинг

Процесс получения сертификата ФСТЭК оказался для нас весьма длительным, а кроме того, он требует решения специфических задач, требующих специальных компетенций. В какой-то момент мы осознали, что нам не хватает собственных ресурсов для выполнения всех процедур. Эту проблему мы решили с помощью подрядчиков, которые выполнили для нас подготовку документов в соответствии с нормами приказа ФСТЭК № 55 (компаний, которые способны справиться с этой задачей, в стране считанные единицы).

Еще одна задача, которую мы поручили подрядчикам – разработка методик для проведения внутренних испытаний ПО. Перед тем, как выйти на испытания, компании-заявителю необходимо доказать испытательной лаборатории, что программное решение прошло необходимые внутренние проверки: модульное тестирования (ДАО.1), фаззинг-тестирование (ДАО.2), статический анализ исходного кода (САО), тестирование на проникновение (КАО), экспертиза исходного кода (ЭКО). Разработка методик для таких испытаний – весьма специфическая работа, которую мы тоже отдали на аутсорсинг той компании, которая имеет в этой области развитые компетенции. И методики, которые она составила, использовались затем нашими сотрудниками при проведении внутренних испытаний.

 

Как проходили испытания

TING проходит испытания для двух типов средств обеспечения информационной безопасности. Первый – испытания для межсетевых экранов типа А, программно-аппаратных комплексов. Иными словами, испытывается сервер, на котором установлено наше программное обеспечение.

К серверу предъявляются очень серьезные требования: он должен быть внесен в реестр Минпромторга. Здесь мы столкнулись с проблемами. Дело в том, что изначально, в 2021 году, мы планировали использовать серверы одного из российских вендоров, который, к сожалению, не сумел выполнить требования регуляторов, – не менее 30% комплектующих должны были иметь российское происхождение. И нам пришлось почти в авральном режиме искать замену. Хорошо, что это удалось сделать.

Очень серьезными были и сами испытания. В прошлый раз, проходя испытания, мы ориентировались на заказчиков из сегмента малого и среднего бизнеса и получали сертификат на соответствие требованиям к межсетевым экранам типов А и Б 4-го класса защиты. Теперь нашей целью был сегмент крупных предприятий и государственных органов, для работы с которыми необходимо было получить сертификат более высокого уровня, на соответствие не только требованиям к межсетевым экранам А и Б 4 класса защиты, но и систем обнаружения вторжения уровня сети 4 класса и 4 уровня доверия. Поэтому и сами испытания были весьма серьезными. Эксперты моделировали различные инциденты и проверяли, как наши межсетевые экраны справляются с этими нападениями, попытками взлома системы с целью похищения личных данных, атаками на инфраструктуру. Использовалась для этого тестовая среда, которую развернула сама испытательная лаборатория.

 

Предложение продукта ведущим российским предприятиям означает необходимость соответствия продукта самым строгим требованиям. И помимо уверенности компании в качестве своего продукта, получение сертификата требует готовности к выполнению сложной и длительной процедуры, сопряженной с тщательным выполнением множества формальностей. Но результат, возможность работы с самыми крупными заказчиками страны, стоит затраченных усилий.




Traffic Inspector Next Generation


Протестируйте бесплатно

Попробовать




Назад
Далее
Рекомендуем почитать Смотреть все

Борьба с утечками: платить штрафы или защищаться

Теги: Утечки ПДн, Traffic Inspector Next Generation

Регламент обеспечения информационной безопасности

Теги: Информационная безопасность, Traffic Inspector Next Generation, Регламентация

Филиал ПАО «МРСК Юга» — «Калмэнерго» выбрал Traffic Inspector в качестве замены Microsoft Forefront Threat Management Gateway

Теги: Traffic Inspector, История внедрения

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-NP
S100 FSTEC-NP
S100-UT
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
FSTEC
Облачный межсетевой экран
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа