Что такое сертификат соответствия фстэк. Сертификаты фстэк

Продукты Microsoft, сертифицированные ФСТЭК , с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
  • каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Продукты Microsoft, сертифицированные другими уполномоченными органами , содержат дополнительное программное обеспечение, а именно сервисные пакеты, разработанные российскими организациями, которые позволяют этим продуктам Microsoft удовлетворять требованиям. Эти сервисные пакеты ‘Secure Pack Rus’ содержат в себе прежде всего российскую сертифицированную криптографию, которую Microsoft не производит.

Использование сертифицированных продуктов

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами. Поэтому Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков.

В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСТЭК

В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
  • клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
  • серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
  • серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
  • система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
  • платформа офисных приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
  • платформа офисных приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
  • межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия - на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
  • антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
  • сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
  • серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
  • система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
  • платформа офисных приложений Microsoft Office Professional Plus 2007, русская версия;
  • система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
  • система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
  • система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
  • система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
  • система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
  • система управления предприятием Microsoft Dynamics AX 2009;
  • система управления предприятием Microsoft Dynamics AX 4.0;
  • система управления предприятием Microsoft Dynamics NAV 5.0;
  • клиентская операционная система Windows 7 (все издания), русская и английская версии;
  • серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии;
  • сервер для управления бизнес процессами Microsoft BizTalk Server 2009 (все издания), русская версия;
  • сервер управления идентификацией в гетерогенных системах Microsoft Forefront Identity Manager 2010, русская и английская версии;
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2010 (все издания), русская и английская версии;
  • система управления сервисами в информационных системах Microsoft System Center Service Manager 2010, русская и английская версии;
  • система управления отношениями с клиентами Microsoft Dynamics CRM 2011, русская версия;
  • система управления предприятием Microsoft Dynamics NAV 2009 R2, русская версия;
  • платформа офисных приложений Microsoft Office Professional Plus 2010, русская и английская версии;
  • система антивирусной защиты Microsoft Forefront Endpoint Protection 2010, русская и английская версии;
  • сервер документооборота Microsoft SharePoint Server 2010 (все издания), русская и английская версии;
  • сервер коммуникаций Microsoft Lync Server 2010 Enterprise, русская и английская версии;
  • система управления предприятием Microsoft Dynamics AX 2012 R2;
  • клиентская операционная система Microsoft Windows 8 (версии Windows 8, Windows 8 Профессиональная, Windows 8 Корпоративная);
  • серверная операционная система Microsoft Windows Server 2012 (версии Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
  • система управления информационной структурой Microsoft System Center 2012 (версии Standard и Datacenter);
  • система управления базами данных Microsoft SQL Server 2012 (версии Standard, Enterprise, Business Intelligence, Web);
  • платформа офисных приложений Office Professional Plus 2013;
  • сервер управления виртуальными структурами Microsoft Hyper-V Server 2012;
  • система управления информационной структурой Microsoft System Center 2012 R2 (версии Standard и Datacenter);
  • система управления отношениями с клиентами Microsoft Dynamics CRM 2013;
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 (версии Standard и Enterprise);
  • сервер документооборота Microsoft SharePoint Server 2013;
  • системы управления базами данных Microsoft SQL Server 2014 в редакциях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
  • система управления отношениями с клиентами Microsoft Dynamics CRM Server 2015.

В соответствии с полученными сертификатами ФСТЭК, указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, те из них которые вышли поcле принятия ФЗ-152 «О персональных данных», сертифицированы и на соответствие законодательству о персональных данных.

В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:

  • Lync Server 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ другими уполномоченными органами

Следующие продукты Microsoft сертифицированы ФСБ:

  • клиентская операционная система Microsoft Windows XP Professional, русская версия;
  • серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
  • сервер документооборота Microsoft SharePoint Server 2007;
  • система управления базами данных Microsoft SQL Server 2008;
  • Microsoft Windows 7 Professional, Enterprise и Максимальная все с SP1;
  • Microsoft Windows 8 Professional и Enterprise;
  • Microsoft Windows 8.1 Professional и Enterprise;
  • Microsoft Windows Server 2008 Standard R2 и Enterprise R2 обе c SP1;
  • Microsoft Windows Server 2012 Standard c SP1;
  • Microsoft Windows Server 2012 R2 c SP1.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

  • защите информации, не содержащей сведений, составляющих государственную тайну,
  • защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Кроме того, уполномоченные органы сделали положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с национальными требованиями.

Недавно получены положительные заключения по результатам проведенных сертификационных испытаний следующих продуктов:

  • Microsoft Exchange Server 2010.

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.

  • IT-инфраструктура ,
  • Сетевые технологии

    • Недавно прошёл аттестацию на соответствие требованиям ФСТЭК России . ЦОД Rucloud спроектирован в соответствии с категорией надёжности TIER III согласно стандарту TIA-942 (резервирование N+1 с уровнем отказоустойчивости 99,98%). Получение аттестата ФСТЭК стало логичным шагом, соответствующим политике RUVDS: обеспечение защиты данных клиентов остается одним из важнейших направлений нашего развития. Что такое ФСТЭК и зачем нужна сертификация? Что это означает для нас и наших клиентов? Об этом – ниже.


    Информационной безопасности в нынешнее неспокойное время уделяется особое внимание. Вопросы ИБ – важная часть задач, решаемых государственными учреждениями и организациями, коммерческими компаниями при разработке и эксплуатации информационных систем, баз персональных данных. В связи с этим, необходимо учитывать требования международного и российского законодательства к информационным системам, предназначенные для работы с подобной информацией.

    С каждым годом ужесточаются требования отечественных регуляторов: Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Министерства обороны, Службы внешней разведки, Федеральной службы охраны, Министерства связи и массовых коммуникаций, Банка России. Каждый из них действует в своей сфере компетенции, описанной законодательством.

    Если, например, ФСБ «отвечает» за криптографию, а ФСТЭК – «за всё остальное» (межсетевые экраны, антивирусы, системы предотвращения вторжений и т. п.).

    Сертификация ФСТЭК

    Почему сертификация ФСТЭК? Именно ФСТЭК России, помимо прочей деятельности, осуществляет следующие полномочия: «организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры».


    Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. В данном случае речь идет о РОСС RU.0001.01БИОО – «Системе сертификации средств защиты информации по требованиям безопасности информации».

    Существуют различные требования ФСТЭК по защите тех или иных видов конфиденциальной информации. По итогам процедуры подтверждения соответствия того или иного программного или программно-аппаратного средства требованиям по безопасности выдается сертификат. Или не выдается – зависит от результата.

    Оценка соответствия применяется во многих областях, и ИБ - не исключение. В зарубежной практике существует стандарт ISO IEC 15408:2009, специально предназначенный для описания критериев оценки ИТ с точки зрения информационной безопасности. В России действуют свои средств защиты.

    Безопасность ЦОД

    К программному обеспечению, которое используется для построения ключевых систем информационной инфраструктуры, и к самим этим системам предъявляются особые требования. Кроме того, в ЦОД размещаются ценные информационные активы компаний и организаций, защита которых должна обеспечиваться на должном уровне и с учетом угроз информационной безопасности, требований законодательства России и регуляторов.

    К ЦОД предъявляются требования , 21-го, 17-го, 31-го приказов ФСТЭК России, требования ФСБ России по криптографической защите информации, требования Банка России, ФЗ-256 «О безопасности объектов топливно-энергетического комплекса». И это только основные требования.

    Например, согласно 152-ФЗ «О персональных данных», системы обработки и хранения персональной информации россиян должны не только располагаться на территории нашего государства, но и соответствовать предъявляемым законодательством требованиям в области безопасности. Особенно это касается операторов коммерческих ЦОД, для которых сохранность и безопасность информации клиентов является одним из ключевых критериев оценки качества.

    С момента вступления в силу 152-ФЗ обработка персональных данных, включенных в информационные системы, осуществляется в соответствии с данным законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению.

    Согласно федеральному закону 149-ФЗ, все программное обеспечение в государственных, правоохранительных, финансовых и других структурах, обрабатывающих служебную информацию, подлежит сертификации ФСТЭК. Закон разрешает таким организациям использовать только сертифицированное ПО.

    Если в коммерческом, корпоративном или государственном ЦОД хранятся персональные данные, из требований законодательства в числе прочего вытекают также необходимые меры по их физической защите. Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных. Исходя из этого, выбирается класс защищенности ЦОД по нормам ФЗ и ФСТЭК и обеспечивается , в том числе и физическая. Наиболее сбалансированный способ обеспечить физическую безопасность ЦОД - реализовать многоуровневую защиту (с несколькими периметрами безопасности). Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности.

    Наряду с организационными мерами и документирование комплекс мер по защите персональных данных предполагает внедрение технических средств защиты. По сложившейся практике это круглосуточное присутствие в ЦОД и на его территории специально обученной вооруженной охраны, а также средства видеонаблюдения, охватывающие внешний периметр ЦОД и внутренние помещения.
    На организации, владеющие персональными данными граждан, накладывается ответственность и за сохранность этих данных. Необходимые меры физической защиты прямо или косвенно следуют также из других стандартов и нормативов – международных и национальных, таких как TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 и др.

    В отношении физической безопасности выделяют следующие требования: организация режима обеспечения безопасности помещений, контроль физического доступа к инфраструктуре, в том числе к помещениям и сооружениям, контроль вноса и выноса оборудования, включая машинные носители. Важное внимание уделяется несанкционированному доступу к информации. Правильное построение и документирование процедур контроля доступа позволяют соблюсти необходимые требования по обеспечению физической безопасности.

    Какие же именно системы и средства аттестованы в нашем дата-центре?

    Что аттестовано?

    В ЦОД RUVDS аттестованы автоматизированные рабочие места сотрудников (антивирусная защита, защита от взлома информационной системы), средства вывода (принтер), контроль доступа в помещение, средства защиты от прослушивания. В частности, аттестат системы контроля и управления доступом (СКУД) гарантирует надёжность физической безопасности серверов ЦОД.

    Все действия постоянно протоколируются, активность за рабочим местом проверяется на подозрительную и при необходимости, может быть заблокирована с оповещением ответственных лиц. Используется сертифицированное программное обеспечение, начиная с сертифицированной ФСТЭК ОС Windows и специализированного ПО для контроля доступа и фильтрации трафика до антивирусной защиты и гипервизора.

    Таким образом, защищается рабочее пространство, которое имеет прямое отношение к данным клиентов. Это делается средствами ОС на рабочих станциях, баз данных, специализированными защитными и антивирусными продуктами, межсетевыми экранами, средствами контроля доступа (СКУД), резервного копирования и восстановления, уничтожения данных и контроля удаления информации.

    Если клиент попросит вынести свою инфраструктуру на отдельную машину, можно полностью защитить и ее, к примеру, установить туда VipNet, SecretNet, какие-то специальные антивирусы. И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.

    Исключается этап аттестации ИТ-инфраструктуры заказчика, тем самым до 50% снижается объем требуемых трудозатрат и времени, значительно сокращается требуемый размер инвестиций, существенно облегчается процесс аттестации информационных систем.

    Что касается персональных данных, то наши серверы физически находятся в Российской Федерации, RUVDS имеет также лицензии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №137295 от 30.10.2015 («Телематические услуги связи») и №137296 от 30.10.2015 («Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации»), так что по поводу исполнения данного федерального закона вы можете быть спокойны.

    Для чего сертифицируют ЦОД

    Получение подтверждающих документов говорит о и предлагаемых им услуг. Сертификация, в первую очередь, подтверждает ответственность компании перед всеми клиентами (не только теми, кто работает с конфиденциальной информацией). Сам процесс лицензирования по нормативам ФСТЭК является длительным и довольно затратным. Его просто не могут себе позволить небольшие участники рынка или участники, заинтересованные в сиюминутной выгоде от проекта.

    Получение лицензии ФСТЭК - это инвестиции в стратегическое развитие компании. Лицензия ФСТЭК не только подтверждает компетентность компании для работы с персональными данными, но и дает возможность предлагать услуги компаниям, в том числе из государственного сектора, которые обязаны соблюдать требования по защите конфиденциальной информации, например, сами обладают лицензией ФСТЭК и передают нам как провайдеру услуг данные, которые подлежат защите по нормативам ФСТЭК.
    Помимо и резервирования на уровне дата-центра и сертификации ФСТЭК, RUVDS персональных данных и корпоративной информации третьих лиц. Кроме общего страхования, RUVDS совместно с AIG планирует предложить своим клиентам уникальные условия индивидуального страхования их деятельности и данных на компании.

    И, конечно, в нашем дата-центре ваши ресурсы будут : анализ сетевого трафика производится в режиме 24/7, а защита позволяет стабильно выдерживать атаки мощностью до 1500 Гбит/сек. Аналитическая система фильтрует входящий на ваш адрес трафик, удаляет вредоносную информацию, передавая на вашу сторону только легитимный безопасный трафик.

    Теги:

    • RuVDS
    • ФСТЭК
    • сертификация
    Добавить метки

    Сертифицированные программные продукты, процедура сертификации программного обеспечения, требования безопасности, задачи ФСТЭК и ФСБ.

    Согласно требования Федерального закона (Ф3) №781 и Постановления правительства РФ 17.11.07г., все вопросы в сфере защиты персональных данных возложены на ФСТЭК России и ФСБ России . Так же есть ряд уполномоченных представителей * , которые могут сертифицировать программное обеспечение (ПО). Согласно требованиям нормативных документов, использование сертифицированных средств защиты информации обязательно во всех информационных системах обработки персональных данных с 1-го по 3-й класс включительно (все рабочие станции и серверы по обработке персональных данных).

    Процедура сертификациии программного обеспечения

    Процедура сертификации ПО необходима в двух случаях:
    1. сертификация разработчиками по собственному желанию (цели сертификации могут быть различными);
    2. обязательная сертификация программного обеспечения (если ПО обрабатывает данные, потеря/утечка которых может причинить вред/ущерб частным лицам, компаниям, государственным и иным структурам).
    Уведомление об обработке персональных данных и, соответственно, использование сертифицированных средств защиты информации не обязательно в случае :
    • защиты персональных данных субъектов, с которыми у оператора имеются трудовые отношения (например, кадровый отдел в рамках одного юридического лица);
    • данные используются для выполнения договора с Субъектом персональных данных (например, Договора оказания услуг и др.);
    • персональные данные являются обезличенными (то есть отсутствует возможность точно идентифицировать субъекта персональных данных, например вес, рост, дата рождения и др. параметры, не привязанные к каким-либо уникальным идентификаторам (паспорт, ИНН и др.));
    • персональные данные являются общедоступными (то есть данные, которые определены общедоступными данным или другими законами, например данные о кандидатах на выборные должности и др.).

    Сертифицированное ПО (требования по безопасности)

    • ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации по требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России и ФСБ России, что подтверждается Сертификатом соответствия.
    • Копия сертификата соответствия(заверенная печатью заявителя) должна входить в комплект поставки сертифицированного ПО ;
    ПО, дистрибутив, которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
    • Верифицированный дистрибутив ПО, формуляр с указанием контрольной суммы дистрибутива и специальный голографический знак соответствия должны входить в комплект поставки сертифицированного ПО ;
    ПО, механизмы защиты развернутой версии которого настроены в соответствии с сертифицированными параметрами. ПО сертифицируется на соответствие техническим документам (РД, ТУ или ЗБ) и с параметрами, указанными в этой документации.
    • Комплект поставки сертифицированного ПО должен включать в себя документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации ;
    ПО, все доработки (обновления) которого, критичные для безопасности, подвергаются сертификационным испытаниям, и доводятся до конечного пользователя. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
    • Комплект поставки сертифицированного ПО должен включать в себя всё необходимые инструменты для получение потребителем обновлений безопасности ;
    ПО, контролируемое в процессе эксплуатации. ПО должно иметь средства контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.
    • Комплект поставки сертифицированного ПО должен включать в себя необходимые программные средства (встроенные или наложенные), предназначенные для выполнения данных требований ;
    ПО, каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.
    • Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации ** .

    Задачи ФСТЭК и ФСБ

    Основными задачами ФСТЭК в сфере сертификации ПО являются:
    • реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
    • осуществление самостоятельного нормативно-правового регулирования вопросов:
    1. обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
    2. противодействия техническим разведкам;
    3. технической защиты информации.
    • осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях *** ;

    Лицензирование ПО ФСБ России

    Лицензированию, осуществляемому центром ФСБ России, подлежат:
    • деятельность, связанная с использованием сведений, составляющих государственную тайну;
    • деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
    • деятельность, связанная с созданием средств защиты информации **** ;

    Сведения о системе сертификации программного обеспечения

    Все данные о системе сертификации средств защиты информации по требованиям безопасности можно найти на официальном сайте ФСТЭК ***** .

    Сертифицированные продукты

    На данный момент количество сертифицированных продуктов насчитывает 3154 позиции ****** . Практически все эти продукты вы можете найти на нашем сайте в разделе «

    Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

    1. Подача заявки на сертификацию во ФСТЭК России.

      В заявке указываются:

      • наименования заявителя
      • адрес заявителя
      • наименование продукции, которую Заявитель хочет сертифицировать
      • перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.
      • схема сертификации (единичный образец продукции или серийное производство)
      • испытательная лаборатория, в которой Заявитель хотел бы провести испытания
      • дополнительные условия или требования

      Заявитель указывает в заявке, что он обязуется:

      • выполнять все условия сертификации;
      • обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
      • оплатить все расходы по проведению сертификации.

      Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!

      Пример заявки на сертификацию программного комплекса представлен на рисунке 5.1.

    2. Решение на проведение сертификационных испытаний

      ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

      • наименование Заявителя, адрес Заявителя;
      • наименование сертифицируемой продукции, код ОКП, ТУ;
      • схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);
      • назначенная испытательная лаборатория и ее адрес;
      • перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;
      • испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;
      • орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;
      • способ оплаты работ.

      Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заказчиком. Решение служит основанием для начала испытаний и "поводом" для заключения договора между Заявителем и испытательной лабораторией. Пример решения на проведение сертификации представлен на рисунке 5.2.

    3. Заключение договора с испытательной лабораторией

      В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

    4. Подготовка исходных данных.

      Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

      Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

      Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

    5. Сертификационные испытания.

      Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному "перезапуску", что повлияет на стоимость и сроки проведения работ.

    6. Оформление результатов испытаний

      Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии – Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

    7. Заключение договора с органом по сертификации

      Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

    8. Экспертиза результатов сертификационных испытаний

      Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

    9. Решение о выдаче сертификата.

      На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке 5.3.

    Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.

    Политика конфиденциальности персональных данных

    Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую сайт компании КАСЛ, (далее – Сайт ООО «КАСЛ») расположенный на доменном имени (а также его субдоменах), может получить о Пользователе во время использования сайта (а также его субдоменов), его программ и его продуктов.

    Определение терминов
    1.1 В настоящей Политике конфиденциальности используются следующие термины:
    1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом компании КАСЛ, действующие от имени ООО «КАСЛ», которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
    1.1.2. «Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
    1.1.3. «Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    1.1.4. «Конфиденциальность персональных данных» - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
    1.1.5. «Сайт компании КАСЛ» - это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): , а также его субдоменах.
    1.1.6. «Субдомены» - это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту компании КАСЛ, а также другие временные страницы, внизу который указана контактная информация Администрации
    1.1.5. «Пользователь сайта компании КАСЛ» (далее Пользователь) – лицо, имеющее доступ к сайту компании КАСЛ, посредством сети Интернет и использующее информацию, материалы и продукты сайта компании КАСЛ.
    1.1.7. «Cookies» - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
    1.1.8. «IP-адрес» - уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на Сайт ООО «КАСЛ».
    Общие положения 2.1. Использование сайта компании КАСЛ Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
    2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта компании КАСЛ.
    2.3. Настоящая Политика конфиденциальности применяется к сайту компании КАСЛ. Сайт ООО «КАСЛ» не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте компании КАСЛ.
    2.4. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

    Предмет политики конфиденциальности

    3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации при регистрации на сайте компании КАСЛ, при подписке на информационную e-mail рассылку или при оформлении заказа.
    3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте компании КАСЛ и включают в себя следующую информацию:
    3.2.1. Имя Пользователя;
    3.2.2. контактный телефон Пользователя;
    3.2.3. адрес электронной почты (e-mail)
    3.3. Сайт ООО «КАСЛ» защищает Данные, которые автоматически передаются при посещении страниц:
    IP адрес
    информация из cookies
    информация о браузере
    время доступа
    реферер (адрес предыдущей страницы).
    3.3.1. Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.
    3.3.2. Сайт ООО «КАСЛ» осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.
    3.4. Любая иная персональная информация неоговоренная выше (история посещения, используемые браузеры, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.

    Цели сбора персональной информации пользователя

    4.1. Персональные данные Пользователя Администрация может использовать в целях:
    4.1.1. Идентификации Пользователя, зарегистрированного на сайте компании КАСЛ для его дальнейшей авторизации, оформления заказа и других действий.
    4.1.2. Предоставления Пользователю доступа к персонализированным данным сайта компании КАСЛ.
    4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта компании КАСЛ, оказания услуг и обработки запросов и заявок от Пользователя.
    4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
    4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.
    4.1.6. Создания учетной записи для использования частей сайта компании КАСЛ, если Пользователь дал согласие на создание учетной записи.
    4.1.7. Уведомления Пользователя по электронной почте.
    4.1.8. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта компании КАСЛ.
    4.1.9. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта компании КАСЛ.
    4.1.10. Осуществления рекламной деятельности с согласия Пользователя.

    Способы и сроки обработки персональной информации

    5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
    5.2. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи (в том числе электронной), операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте компании КАСЛ, включая доставку Товара, документации или e-mail сообщений.
    5.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
    5.4. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
    5.5. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
    5.6. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

    Права и обязанности сторон

    6.1. Пользователь вправе:
    6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта компании КАСЛ, и давать согласие на их обработку.
    6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
    6.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    6.2. Администрация обязана:
    6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.
    6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2 и 5.3. настоящей Политики Конфиденциальности.
    6.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
    6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

    Ответственность сторон

    7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики Конфиденциальности.
    7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:
    7.2.1. Стала публичным достоянием до её утраты или разглашения.
    7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.
    7.2.3. Была разглашена с согласия Пользователя.
    7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
    7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта компании КАСЛ, несет лицо, предоставившее такую информацию.
    7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта компании КАСЛ, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте компании КАСЛ.
    Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
    7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте компании КАСЛ) допускается их распространение при условии, что будет дана ссылка на Сайт ООО «КАСЛ».
    7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте компании КАСЛ или передаваемых через него.
    7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
    7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте компании КАСЛ, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.

    Разрешение споров

    8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
    8.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
    8.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда г. Москва.
    8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

    Дополнительные условия

    9.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
    9.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте компании КАСЛ, если иное не предусмотрено новой редакцией Политики конфиденциальности.
    9.3. Все предложения или вопросы касательно настоящей Политики конфиденциальности следует сообщать по адресу: info@сайт
    9.4. Действующая Политика конфиденциальности размещена на странице по адресу
    Обновлено: 06 Апреля 2018 года
    Главный офис в г. Москва, ООО «КАСЛ», Бутырский вал 5 Представительство в г. Санкт-Петербург,ООО «КАСЛ», Ленинский проспект 160