Сертификация средств защиты информации (ФСТЭК)

Если ваша разработка (антивирус, EDR, SIEM, межсетевой экран, средство аутентификации) будет продаваться регуляторам и КИИ — без сертификата ФСТЭК не обойтись. Проведём через весь цикл: от технических условий до выданного сертификата. От 1 200 000 ₽, срок 6–12 месяцев.

Рассчитать проект

Уровни доверия и что к чему применимо

УД 6 (самый низкий)

СЗИ для ИСПДн К4, простейшие средства криптографии. Проверка документации + статический анализ исходников.

от 1 200 000 ₽ · 6 мес.

УД 4 (средний)

СЗИ для ГИС 2 класса, значимых объектов КИИ 3 категории. Динамический анализ, фаззинг, проверка на НДВ.

от 3 500 000 ₽ · 10 мес.

УД 1–2 (высший)

СЗИ для КИИ 1-й категории, криптография класса КС3. Формальная верификация, полный исходный код, доверенная среда.

от 8 000 000 ₽ · 14–18 мес.

Этапы сертификации

1Технические условия (ТУ) + Задание безопасности (ЗБ)

2Функциональная спецификация, модель нарушителя

3Сертификационные испытания в аккредитованной ИЛ

4Устранение замечаний, повторные испытания

5Получение сертификата, внесение в реестр

Что сертифицируем чаще всего

Антивирусы и EDR

Сертификат подтверждает применимость для ИСПДн/ГИС/КИИ. Без него продукт не может быть в реестре ФСТЭК.

Межсетевые экраны, NGFW

Категории А, Б, В, Г, Д — в зависимости от уровня защиты. Для КИИ требуется минимум категория Б.

SIEM, DLP, средства аутентификации

Для включения в типовой проект защиты ИСПДн или значимого объекта КИИ требуется сертификат ФСТЭК.

Операционные системы

Astra Linux Special Edition, РЕД ОС, Альт — примеры сертифицированных отечественных ОС с УД 1–4.

Гипервизоры и контейнеры

vGate, Numa vServer, отечественные k8s-сборки. Требуется для виртуализованных ИСПДн и ГИС.

Средства доверенной загрузки

Аккорд, Dallas Lock, Соболь — сертифицируются отдельно, обязательны для ГИС и КИИ.

Что готовим мы, что — вы

Наша часть

ТУ, ЗБ, модель угроз, спецификации, методики испытаний, сопровождение в ИЛ, протоколы исправления, регистрация в реестре.

Ваша часть

Исходный код с комментариями, архитектурная документация, тестовые стенды, ответственный разработчик на полную нагрузку на период испытаний.

Предварительная оценка проекта за 3 рабочих дня

Посмотрим вашу архитектуру, определим реалистичный уровень доверия и дадим смету с помесячным графиком.

Запросить оценку

Частые вопросы о сертификации СЗИ

Зачем нужна сертификация ФСТЭК для СЗИ?

Только сертифицированные СЗИ можно применять на значимых объектах КИИ, в ИСПДн, ГИС. Без сертификата продукт нельзя включить в типовые проекты защиты и нельзя использовать в госзакупках с требованиями ИБ. Сертификат — конкурентное преимущество на рынке B2G.

Сколько длится сертификация ФСТЭК?

Полный цикл — 9-14 месяцев: подготовка документации (1-2 мес), испытания в аккредитованной лаборатории (4-6 мес), экспертиза ФСТЭК (2-4 мес), выдача сертификата. Срок зависит от класса защиты и сложности продукта.

Какие классы защиты ФСТЭК бывают?

6 классов для СЗИ от НСД (К6 - К1, где К1 — максимальный для обработки сведений гостайны), уровни доверия 1-6 для средств доверенной загрузки и СОВ. Для коммерческих ИСПДн обычно достаточно 4-5 класса.

Можно ли сертифицировать иностранное ПО?

Формально — можно, но с 2022 г. ФСТЭК отказывает в сертификации софта из недружественных юрисдикций. Российский софт имеет приоритет и упрощённую процедуру. Для импортного кода — только по специальным основаниям и с депонированием исходников.

Сколько стоит сертификация СЗИ?

Ориентировочно 2,5-6 млн ₽ в зависимости от класса и сложности: испытания в лаборатории, подготовка документации, госпошлина ФСТЭК, консультации. Для сертификации по 4-5 классу — ближе к нижней границе.