Сертификация фстэк что это

Сертификация ФСТЭК

ФЗ № 152 от 26.01.2007 обозначает необходимость соблюдения правил работы с персональными данными (ПДн), сохранения их целостности, конфиденциальности. При этом никак не обозначены технические требования в отношении используемого ПО и IT- систем, работающих с информацией, что чревато неоднозначностью и спорностью подходов к обработке, передаче, хранению ПДн. Решить эти проблемы призвана сертификация ФСТЭК, которая гарантирует, что ПО, используемое оператором для обеспечения безопасности информации, соответствует заявленным требованиям к СЗИ.

Что такое сертификация ФСТЭК?

Данная процедура связана с получением документального подтверждения, что ПО и IT-инструменты, которые использует оператор в ходе ведения своей деятельности, соответствуют действующим стандартам безопасности ФСТЭК. Документальное подтверждения соответствия ПО стандартам безопасности может быть представлено в виде сертификата и аттестата.

Разница между сертификатом и аттестатом заключается в том, что первый нужен компаниям, которые занимаются разработкой программного обеспечения по защите информации и выводят новый программный продукт на рынок. Второй требуется организациям, которые производят обработку, хранение важной информации, для которой предусмотрена защита, согласно уровню ее критичности.

Процедуры сертификации и аттестации ПО могут существенно отличаться от случая к случаю как по продолжительности проведения тестовых испытаний, так и по уровню требований, предъявляемых к ним. Это связано с разными уровнями сертификатов ФСТЭК и категориями данных.

Зачем нужна сертификация ФСТЭК?

• Для подтверждения надежности и безопасности ПО при работе с критически важными сведениями.
• Для вывода на рынок нового ПО, которое предназначено для использования в информационных системах с повышенными требованными к безопасности.
• Для исключения штрафов и уголовного наказания со стороны регуляторов при использовании несертифицированного ПО в информационных системах, где это недопустимо.

Аттестация ФСТЭК является обязательной для организаций, которые работают в ГИС, АСУ ТП, относятся к объектам КИИ, обрабатывают ПДн и государственную тайну. В таких организациях также недопустимо использование несертифицированного ПО, т.к. это несет огромные риски информационной безопасности. Игнорирование сертификации или переход на несертифицированное ПО наказывается крупными штрафами и даже уголовной ответственностью. ФСТЭК располагает собственным реестром, куда внесены все проверенные системы защиты данных, что упрощает поиск и подтверждение сертификатов ПО.

Кому необходимо проходить аттестацию ФСТЭК?

Организациям, работающим с важной информацией, требуется получение аттестата ФСТЭК. Сертификацию ФСТЭК, в свою очередь, проходят разработчики средств защиты информации (СЗИ). Получение аттестата ФСТЭК будет обязательным условием для организации, если она работает с государственной тайной, ПДн, иной информацией, внесенной в список ограниченного доступа и охраняемой законодательством РФ. Сюда включены сведения, относящиеся к первым трем уровням защищенности. Например, сведения биометрического характера, которые позволяют идентифицировать личность, разведанные, указывающие на дислокацию военных сил и расположение важных объектов, сведения, касающиеся семейной тайны или деловой переписки и открывающие приватную информацию третьей стороне.

Под обязательную аттестацию попадают все государственные информационные системы, где используется автоматизация при работе с данными. На это указывает Приказ ФСТЭК № 17 от 11.02.2013 (статья 3). В отношении коммерческих организаций аттестация носит добровольный характер согласно положению об аттестации, однако при этом должна обязательно присутствовать независимая оценка эффективности действующих мер по защите информации (Приказ ФСТЭК № 21, ФЗ № 152). Получить подобную оценку возможно только путем прохождения аттестации. Отсюда следует, что и некоммерческие организации, если они работают с ПДн, также должны обладать аттестатом о соответствии требованиям безопасности, чтобы избежать наказания со стороны проверяющих органов.

Исключением для аттестации выступают:

• Случаи, когда оператор данных не производит хранение и обработку ПДн. Например, малый бизнес, который не собирает никаких сведений о своих клиентах или использует обезличенную информацию в процессе отношений с клиентом, по которой невозможно его идентифицировать.
• Случаи, когда оператор данных хранит исключительно информацию четвертого уровня защищенности. Это общедоступные ПДн, находящиеся в открытых источниках. Например, ФИО, род деятельности, место проживания человека.

Специфика сертификации ФСТЭК

Согласно Приказу ФСТЭК РФ № 55 от 3.04.2018 обязательной сертификации подлежит все ПО, которое применяется для защиты государственной тайны и ПДн. При этом важно принимать во внимание следующие моменты, когда идет речь о прохождении сертификации ПО:

1. Сертифицированная версия ПО имеет ряд существенных отличий от обычной версии. Во-первых, она поставляется совместно с сертификатом, что исключает какие-либо дополнительные действия в ее отношении. Во-вторых, класс надежности ПО зафиксирован и не вызывает сомнений. При этом присутствует ряд недостатков: задержки с обновлением программного обеспечения и присутствие ограничений по функционалу. Процесс сертификации ФСТЭК, как правило, занимает продолжительное время – в среднем, 5-12 месяцев. Учитывая, что сертифицируют отлаженную и обновленную версию ПО, следующее обновление смещается в сертифицированной версии на месяцы по сравнению с обычным вариантом ПО. Часть функционала, сертифицированного программного продукта нередко ограничена, особенно если речь идет об исключении недекларированных возможностей. Это связано с присвоением определенного класса защиты и уровня защищенности ПО. Таким образом безопасность ПО нередко превалирует над удобством и функциональностью.
2. Двойные стандарты. Не исключены случаи, когда в рамках одной организации присутствует несколько разных информационных систем. Одна требует сертификации ФСТЭК, вторая – нет. Все будет зависеть от категории информации и уровня ее защиты. Допускается использование как сертифицированных, так и обычных СЗИ в одной организации, но при этом должен быть соответствующий контроль и четкое разделение двух разных информационных систем, исключающие их пересечение.
3. Совмещение сертифицированной ОС и несертифицированных программных продуктов. Такой вариант возможен при условии, что несертифицированное ПО не относится к СЗИ. Также при использовании несертифицированных пакетов должен соблюдаться ряд требований: исключается замена пакетов в составе сертифицированного ПО, они должны быть работоспособны в изолированной рабочей среде.
4. Смена характера деятельности организации в пользу обработки ПДн зачастую требует смены СЗИ с обязательным привлечением сертифицированных решений. Здесь можно действовать по-разному: сохранить старое, привычное решение и приобрести дополнительные, устанавливаемые поверх ПО, средства защиты, которые перекроют новые бреши в защите, либо сделать откат ПО до ранней, но сертифицированной версии, при условии, что сохранился тот же поставщик программного обеспечения.
5. Регулярное обновление требований ФСТЭК. Риски и угрозы не стоят на месте, появляются новые угрозы в отношении критически важной информации. Соответственно меняются и требования к СЗИ, обновляется список сертифицированного ПО. Высока вероятность, что от чего-то придется отказаться и заменить на более современное и надежное решение. В любом случае сертификация ФСТЭК требует времени, поэтому смена СЗИ, аттестация выполняются постепенно, чтобы привести информационные системы организации к действующим стандартам безопасности без ненужных рисков.

Использование сертифицированных СЗИ при работе с критически важной информацией – обязательное условие для операторов данных. Это снижает риски угрозы безопасности информации, помогает избежать наказания со стороны регуляторов. Сертификация ФСТЭК обеспечивает оптимальные условия для защиты ценной и конфиденциальной информации, поэтому ее можно рассматривать как некий стандарт надежности в сфере информационной безопасности.

Сертификация ФСТЭК для чайников

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

• Защиту конфиденциальной информации строго определенного уровня.
• Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
• Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

• Государственные информационные системы (ГИС).
• Автоматизированные системы управления технологическим процессом (АСУ ТП).
• Персональные данные (ЗПДн).
• Критическая информационная инфраструктура (КИИ).
• Государственная тайна (ЗГТ).
• Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности.

1. Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
2. У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

• Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
• Они не имеют отношения к средствам защиты информации.
• Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий.

1. Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
2. Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

• В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
• У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

теги

рекомендуем

Как сократить время загрузки веб-сайта на 30% и увеличить лояльность пользователей

Обзор возможностей виртуальной и дополненной реальности для повышения эффективности и безопасности персонала

Avanpost DS: отечественная служба каталогов без использования open source

Открытие инновационной демозоны в офисе ГК Softline

Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ

Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

1. Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
2. Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака VK Cloud (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Сертификация и аттестация ФСТЭК: что это такое и как она проходит

Категории лиц, обрабатывающие личные данные различных категорий населения (персонала компаний, партнеров, клиентов, пенсионеров и пр.), обязаны соблюдать Федеральный закон №152 «О защите персональных данных». Сам закон не предусматривает отдельных требований к техническому исполнению программного обеспечения, они изложены в нормативных документах ФСТЭК. Официальное подтверждение соответствия возможно лишь после получения соответствующего сертификата или аттестата.

Что такое сертификат и аттестат ФСТЭК

Сертификат ФСТЭК — это документ, подтверждающий, что представленный ИТ-продукт (инструмент защиты данных) прошел необходимые проверочные процедуры и соответствует действующим стандартам и требованиям.

Аттестат ФСТЭК требуется компании, которая хранит персональные данные. Он подтверждает должный уровень безопасности системы и ее соответствие 152-Ф3.

В этом документе могут нуждаться не только компании-разработчики ПО, но и те фирмы, которые работают с конфиденциальными данными.

Сертификат распространяется лишь на программное обеспечение, но проверяется и оборудование, отвечающее за хранение конфиденциальных данных: серверы, облачные ресурсы и т. д. Они проходят процедуру аттестации. Она не является обязательной для тех, кто:

• не занимается обработкой конфиденциальных данных (например, небольших онлайн-магазинов с формой регистрации для осуществления покупок);
• не работает с информацией, относящейся как минимум к 4 уровню секретности. В эту категорию входят самые простые и общедоступные данные (ФИО, год рождения и др.). Все оборудование, отвечающее за сохранность другой личной информации, например, биометрических данных человека, позволяющих идентифицировать личность, подлежит аттестации.

Зачем нужна сертификация ФСТЭК

Под сертификацией ФСТЭК подразумевается процедура выдачи документа, удостоверяющего соответствие средства защиты информации требованиям методических и нормативных документов ФСТЭК РФ.

Процедура сертификации ФСТЭК для средств защиты данных предназначена для:

• обеспечения защиты конфиденциальных данных строго определенного уровня;
• предоставления возможности выбора потребителем эффективных и качественных систем защиты информации;
• содействия развитию рынка средств обеспечения с достаточным уровнем защищенности.

Сертификация средств защиты нужна объектам, работающим в специфических сферах, необходимость ее иметь зависит от вида данных, обрабатываемых информационной системой.

Обязательная сертификация средств защиты информации касается:

• государственных информационных систем (ГИС);
• персональных данных (ЗПДн);
• автоматизированных систем управления технологическим процессом (АСУ ТП);
• сфер деятельности с обязательной сертификацией средств защиты информации;
• государственной тайны (ЗГТ);
• критической информационной инфраструктуры (КИИ);
• конфиденциальной (служебной) информации.

Запрещается использование несертифицированного продукта в сферах, предусматривающих обязательное применение систем, прошедших сертификацию.

Компанию, которая нарушит закон и будет использовать несертифицированные продукты в сфере защиты персональных данных, ожидают последствия. По решению суда это может быть крупный штраф и даже уголовная ответственность.

Раис Ахкямов, директор продукта ELMA365 ECM

СЭД/ECM в контуре заказчика часто становится одной из систем, обрабатывающих персональные данные. Мы как разработчики ELMA365 ECM часто встречаемся с запросами наших клиентов на получение аттестата ФСТЭК и обеспечиваем выполнение требований к программному обеспечению. Для выполнения требований по аппаратной защите мы можем привлекать технологических партнеров, имеющих соответствующие программно-аппаратные комплексы, обеспечивающие выполнение требований приказа.

В целом, следует иметь ввиду, что для прохождения аттестации нельзя обойтись установкой только одного программного комплекса, который обеспечит выполнение всех требований ФСТЭК. Это комплексная работа, требующая применения соответствующих программных и аппаратных средств, а также организационных мер по защите данных. Наличие сертификата ФСТЭК на используемые программные и аппаратные решения не гарантирует получение аттестата на информационную систему, хоть и является важным условием на высоких уровнях защиты данных.

Раис Ахкямов, директор продукта ELMA365 ECM

СЭД/ECM в контуре заказчика часто становится одной из систем, обрабатывающих персональные данные. Мы как разработчики ELMA365 ECM часто встречаемся с запросами наших клиентов на получение аттестата ФСТЭК и обеспечиваем выполнение требований к программному обеспечению. Для выполнения требований по аппаратной защите мы можем привлекать технологических партнеров, имеющих соответствующие программно-аппаратные комплексы, обеспечивающие выполнение требований приказа.

В целом, следует иметь ввиду, что для прохождения аттестации нельзя обойтись установкой только одного программного комплекса, который обеспечит выполнение всех требований ФСТЭК. Это комплексная работа, требующая применения соответствующих программных и аппаратных средств, а также организационных мер по защите данных. Наличие сертификата ФСТЭК на используемые программные и аппаратные решения не гарантирует получение аттестата на информационную систему, хоть и является важным условием на высоких уровнях защиты данных.

В рамках обработки персональных данных при аттестации систем ФСТЭК компании руководствуются приказом от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Данный приказ определяет четыре уровня защищенности.

Как правило, клиенты стараются выводить систему из-под более высоких требований уровня защищенности персональных данных, ограничиваясь аттестацией под уровни 4 или 3. В этом случае большая часть требований по уровню защищенности персональных данных может быть обеспечена организационными и программными мерами и поддерживаться относительно небольшим штатом.

В случае аттестации системы по уровням защищенности 2 и 1 требуется формирование программно-аппаратных комплексов и введение более жестких регламентов по работе с системой и данными в этой системе.

Отличия сертифицированных версий ПО от обычных

При поставке сертифицированных версий решений к ним прилагается соответствующий формуляр, сертификат, инструкции и другие документы, подтверждающие должный уровень защищенности системы хранения данных.

Для сертифицированных версий характерны следующие особенности:

1. Обновление затруднительно. Сам процесс сертификации продукта занимает от 9 месяцев до 1 года. Обычно процедуру проводят с уже отлаженными и проверенными решениями, с достаточным количеством готовых обновлений. Это объясняет запаздывание выхода сертифицированных версий в сравнении с общедоступными версиями.
2. Сертифицированная версия может иметь особые ограничения, связанные с определенным классом или уровнем защиты. Если говорить о категории офисного ПО и операционных систем, то их версии после сертификации ФСТЭК могут иметь ограниченный доступ к некоторым опциям (в частности, при наличии сертификата об отсутствии недекларированных возможностей).

Как проходит сертификация ФСТЭК

Получению сертификата предшествует сложная многоэтапная проверка. Программный продукт всесторонне изучают специалисты по информационной безопасности, проверяя его устойчивость к взлому и внешним атакам.

Сертификацию должны проходить:

• госструктуры, обрабатывающие конфиденциальную информацию (ГИС);
• системы, отвечающие за автоматизацию технологических процессов;
• любые организации, сохраняющие у себя личные данные работников или клиентов;
• учреждения и предприятия, связанные с военной либо государственной тайной.

Предусмотрены разные варианты проверок, окончательный выбор зависит от типа нужного сертификата. Например, при необходимости сертификации программы, работающей с биометрией, проверки будут более строгими. Если же сертифицируется продукт, не предназначенный для работы с секретной и конфиденциальной информацией, выбирается более простой метод.

Сертификат соответствия ФСТЭК нужен разработчикам ПО для подтверждения безопасности их продукции. При успешной проверке программа вносится в общий реестр ПО, с которым можно ознакомиться на официальном сайте ФСТЭК.

Выводы

Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого софта требованиям защиты персональных данных.

Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.