Когда заказчик в ТЗ пишет «применять сертифицированные средства защиты информации», за этой фразой стоит конкретная регуляторная цепочка: от класса информационной системы - через приказы ФСТЭК и ФСБ - до строки в реестре с номером сертификата и сроком действия. Ошибка в любом звене - не просто формальное несоответствие, а срыв аттестации, проблемы при проверке и реальные штрафы.
Я настраивал Dallas Lock под класс К1, видел, как КриптоПро CSP ведёт себя в нагрузке на реальной ИСПДн, и знаю, чем сертификат отличается от реальных возможностей продукта в боевой среде. Если вы сталкиваетесь с сертифицированными СЗИ на проектах - разберёмся, что за этими сертификатами стоит, а что нет.
ФСТЭК и ФСБ: кто за что отвечает в сертификации средств защиты
Первое, что вызывает путаницу - два регулятора с пересекающимися зонами. На деле разграничение жёсткое и определяется одним критерием: используется ли в средстве защиты криптография.
ФСТЭК России сертифицирует средства защиты информации некриптографическими методами. Сюда попадают межсетевые экраны, антивирусы, системы обнаружения вторжений, средства доверенной загрузки, СУБД, средства виртуализации и контейнеризации - всё, что защищает без шифрования. Сертификация проводится в системе сертификации СЗИ ФСТЭК России (регистрационный номер РОСС RU.0001.01БИ00) через аккредитованные испытательные лаборатории. Порядок определён Приказом ФСТЭК №77.
ФСБ России (через ЦЛСЗ - Центр по лицензированию, сертификации и защите государственной тайны) сертифицирует средства криптографической защиты информации (СКЗИ). VPN-шлюзы с шифрованием по ГОСТ, средства электронной подписи, криптопровайдеры, аппаратные шифраторы - если продукт реализует криптографические алгоритмы для защиты информации, он идёт на сертификацию в ФСБ.
На практике один продукт часто имеет оба сертификата. Классический пример - ViPNet Coordinator: сертификат ФСТЭК подтверждает функции межсетевого экрана, а сертификат ФСБ - криптографическую защиту каналов связи. Secret Net Studio сертифицирован ФСТЭК как средство защиты от НСД, но если вы используете его модуль шифрования дисков - нужно проверять наличие сертификата ФСБ на криптографический компонент.
| Параметр | ФСТЭК России | ФСБ России |
|---|---|---|
| Область сертификации | Некриптографическая защита | Криптографическая защита (СКЗИ) |
| Нормативная база | Сертификация СЗИ: Приказы №76, №77. Требования к применению СЗИ в ИС: №17, №21, №239 | Приказ ФСБ №378, ПКЗ-2005 |
| Реестр | reestr.fstec.ru/reg3 | Публикуется ФСБ России (ЦЛСЗ) |
| Срок действия сертификата | Указывается в сертификате (типично 3–5 лет, продление по результатам инспекционного контроля) | Указывается в сертификате (типично 3–5 лет, продление по результатам инспекционного контроля) |
| Типичные продукты | МЭ, АВЗ, СОВ, СДЗ, ОС | VPN-шлюзы, криптопровайдеры, ЭП |
| Класс защиты | 1–6 класс + уровень доверия | КС1, КС2, КС3, КВ, КА |
Для пентестера правило простое: встретили Dallas Lock - ищите сертификат ФСТЭК, встретили КриптоПро CSP - сертификат ФСБ. Если заказчик утверждает, что «у нас всё сертифицировано», первый вопрос - каким именно регулятором и под какой класс.
Требования ФСТЭК к средствам защиты: классы и уровни доверия
Маппинг классов СЗИ к информационным системам
Требования ФСТЭК к средствам защиты привязаны к классу информационной системы. Связка прописана в приказах №17 (ГИС), №21 (ИСПДн), №239 (значимые объекты КИИ) и ключевом Приказе ФСТЭК №76, который установил соответствие классов СЗИ, классов ИС и уровней доверия:| Класс ИС / Категория КИИ | Класс СЗИ | Уровень доверия (УД) |
|---|---|---|
| 1 класс ГИС / 1 категория КИИ | Не ниже 4 класса | Не ниже 4 УД |
| 2 класс ГИС / 2 категория КИИ | Не ниже 5 класса | Не ниже 5 УД |
| 3 класс ГИС / 3 категория КИИ | Не ниже 6 класса | Не ниже 6 УД |
Для ИСПДн маппинг аналогичен через уровни защищённости (УЗ): УЗ-1 - СЗИ не ниже 4 класса, УЗ-2 - не ниже 5 класса, УЗ-3 и УЗ-4 - не ниже 6 класса, с учётом типов СЗИ - МЭ, СОВ, АВЗ и др. (согласно Приказу ФСТЭК №21 в связке с ПП-1119 и Приказом №76).
Уровни доверия - требования к процессу разработки и производства СЗИ:
- проверка исходного кода (статический и динамический анализ);
- контроль отсутствия недекларированных возможностей;
- фаззинг-тестирование (появилось с 2019 года вместе с требованиями доверия);
- анализ уязвимостей среды функционирования;
- анализ скрытых каналов.
Сертифицированные средства защиты информации: 12 типов требований ФСТЭК
По состоянию на 2025 год ФСТЭК разработал специализированные требования для 12 типов средств защиты:- операционные системы (ОС);
- средства антивирусной защиты (АВЗ);
- межсетевые экраны (МЭ);
- системы обнаружения вторжений (СОВ);
- средства доверенной загрузки (СДЗ);
- средства контроля съёмных носителей (СКН);
- средства защиты от DDoS-атак;
- многофункциональные межсетевые экраны (ММЭ);
- средства контейнеризации (СК);
- средства виртуализации (СВ);
- СУБД;
- средства обеспечения безопасной удалённой работы (СОБДР).
Для пентестера это практически значимо: видите российский SIEM без сертификата ФСТЭК - это не обязательно нарушение. Требования к сертификации SIEM как отдельного типа СЗИ пока не утверждены, и продукт может быть сертифицирован по ТУ или вовсе использоваться как несертифицированное средство мониторинга (если модель угроз это допускает).
Классы СКЗИ: требования ФСБ от КС1 до КА
Сертификация по требованиям безопасности информации со стороны ФСБ строится вокруг модели нарушителя. Каждый класс СКЗИ определяет, против какого уровня атакующего средство способно защитить:| Класс СКЗИ | Модель нарушителя | Типичное применение |
|---|---|---|
| КС1 | Атаки из-за пределов контролируемой зоны | Шифрование каналов между филиалами с контролируемым физическим периметром |
| КС2 | Атаки извне + изнутри контролируемой зоны | Защита данных в среде, где не все пользователи доверенные |
| КС3 | Физический доступ к СВТ с установленным СКЗИ | Защита на рабочих станциях в зонах с ограниченным контролем доступа |
| КВ | Атаки специалистов по разработке и анализу СКЗИ | Защита информации высокой степени конфиденциальности |
| КА | Атаки с доступом к конструкторской документации и аппаратным компонентам | Защита гостайны, специальные применения |
Приказ ФСБ №378 устанавливает привязку классов СКЗИ к уровням защищённости ИСПДн. Для большинства коммерческих и государственных систем хватает КС1 или КС2. КриптоПро CSP имеет сертификаты на классы КС1, КС2 и КС3 - какой класс реализуется, зависит от среды функционирования и организационных мер. Поставили КриптоПро CSP на обычную рабочую станцию без дополнительных средств защиты от НСД - получили КС1. Добавили сертифицированное средство защиты от НСД (Dallas Lock или Secret Net Studio) - можно обосновать КС2.
Вот тут многие спотыкаются: класс СКЗИ - это не только свойство самого продукта, но и свойство среды его функционирования. Один и тот же КриптоПро CSP может работать в режиме КС1 или КС3 в зависимости от сопутствующих мер защиты. При аудите мало проверить наличие сертификата - нужно сверить среду эксплуатации с требованиями формуляра на конкретный класс. Я на проектах видел ситуацию, когда заказчик гордо показывал сертификат на КС3, а среда тянула максимум на КС1.
Реестр сертифицированных средств защиты ФСТЭК и ФСБ: как проверять
Государственный реестр сертифицированных СЗИ ФСТЭК доступен по адресуreestr.fstec.ru/reg3. Реестр ФСБ публикуется на сайте 8 Центра ФСБ России. Проверка сертификата - обязательный этап при выборе СЗИ для КИИ, ГИС или ИСПДн.На что смотреть:
Срок действия. Типично 3–5 лет, продление - по результатам инспекционного контроля. Срок истёк, а продукт работает - нарушение. При этом экземпляры, купленные в период действия сертификата, могут эксплуатироваться и после его окончания, но новые поставки невозможны.
Класс и уровень доверия. В записи реестра ФСТЭК указан конкретный класс СЗИ и уровень доверия. Система требует 4 класс, а у продукта сертификат на 5 класс - не подходит. Нумерация обратная: 1 класс - самый строгий, 6 - наименее строгий. Наличие сертификата на 4 класс не означает автоматического покрытия 5 и 6 классов - сверяйте конкретную запись.
Версия продукта. Сертификат выдаётся на конкретную версию ПО. Обновление до новой мажорной версии может потребовать пересертификации. Вендоры выпускают «сертифицированные обновления» - патчи, прошедшие инспекционный контроль. Но между публикацией уязвимости и выходом сертифицированного патча проходят недели, а то и месяцы. Это одна из главных проблем сертифицированных СЗИ с точки зрения реальной безопасности - и головная боль для всех, кто с ними работает.
Схема сертификации. Единичный экземпляр, партия или серийное производство - от этого зависит, можно ли свободно закупать продукт или нужно запрашивать конкретную партию с голографическими знаками соответствия.
Алгоритм проверки для пентестера прост: запросите у заказчика номер сертификата, найдите его в реестре, сверьте версию установленного ПО с версией из сертификата, проверьте срок действия. Расхождение в любом пункте - находка для отчёта.
Приказы ФСТЭК 17, 21, 239 и новый приказ 117: что изменилось
Три ключевых приказа ФСТЭК определяют требования к защите разных типов систем:- Приказ №17 (2013) - защита информации в ГИС;
- Приказ №21 (2013) - меры обеспечения безопасности ПДн в ИСПДн;
- Приказ №239 (2017) - обеспечение безопасности значимых объектов КИИ.
Приказ ФСТЭК №117: новые требования с 2026 года
Приказ ФСТЭК №117 от 11.04.2025, вступающий в силу 1 марта 2026 года, заменяет Приказ №17 в части требований к защите ГИС и серьёзно расширяет область применения. По данным аналитического разбора от BI.ZONE, ключевые изменения:Расширение области. Приказ №17 распространялся только на ГИС и МИС. Приказ №117 обязателен для ГИС и иных информационных систем государственных органов и организаций, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну. Охват существенно шире, и разрыв в защите внутри одной организации наконец закрывается.
Новый подход к классу защищённости. Масштаб системы теперь определяется не по месту физического размещения, а по уровню решаемых задач. ГИС, ранее получившая 3 класс из-за размещения на одной площадке, может быть пересмотрена до 2 или 1 класса, если фактически обслуживает задачи федерального масштаба. Для информации «Для служебного пользования» (ДСП) уровень значимости автоматически устанавливается как максимальный (УС1), а класс защищённости - К1.
Строгая аутентификация. Вводится обязательная строгая аутентификация (по ГОСТ Р 58833-2020) - многофакторная взаимная аутентификация с использованием криптографических протоколов - для мобильного доступа, удалённого подключения и привилегированного доступа.
Управление уязвимостями. Критические - устранение за 24 часа. Высокого уровня - 7 календарных дней. Если уязвимость отсутствует в БДУ ФСТЭК, оператор обязан уведомить регулятор в течение 5 рабочих дней. (Спойлер: 24 часа на сертифицированный патч - это утопия, но об этом ниже.)
Переходный период. Аттестаты соответствия, выданные до 1 марта 2026 года, продолжают действовать при неизменной конфигурации ИС. Любое расширение функциональности, внедрение новых компонентов или изменение архитектуры требует приведения защиты в соответствие с новыми требованиями.
Для проектировщиков систем защиты это означает: пересмотр классов защищённости действующих ГИС, потенциальную замену СЗИ на продукты более высокого класса и обязательное внедрение SIEM/SOC-решений для непрерывного мониторинга.
Выбор СЗИ для КИИ и ГИС: расхождение сертификата и реальности
Отечественные сертифицированные СЗИ в боевых условиях
Сертификат подтверждает соответствие требованиям на момент испытаний, в конкретной конфигурации из формуляра. Реальная эксплуатация вносит расхождения, и о них полезно знать и проектировщику, и пентестеру.
Задержка патчей. Сертифицированная версия обновляется медленнее коммерческой. Вендор выпускает обновление, оно проходит инспекционный контроль в испытательной лаборатории, и только потом становится «сертифицированным обновлением». Окно между публикацией уязвимости и выходом сертифицированного патча - от нескольких недель до нескольких месяцев. Для пентестера это подарок: сертифицированные экземпляры могут содержать уязвимости, уже закрытые в коммерческой версии. Проверяйте CVE по конкретной сборке - бывает интересно.
Ограничения конфигурации. Формуляр на сертифицированное изделие фиксирует допустимые параметры эксплуатации. Включили функцию, не описанную в формуляре - формально вывели продукт за рамки сертификата. На практике администраторы нередко активируют дополнительные модули или меняют политики за пределами описанных. Сертификат при этом становится условным (хотя все делают вид, что нет).
Совместимость. Сертификационные испытания проводятся в определённой среде функционирования. Dallas Lock, сертифицированный для работы на конкретной версии ОС, при установке на другую версию формально теряет подтверждение соответствия. То же с ViPNet Coordinator: сертификат может покрывать работу на определённой аппаратной платформе, а при миграции на виртуальную среду нужно проверять наличие соответствующей записи в сертификате.
Производительность. Сертификационные испытания проверяют функциональность и безопасность, но не нагрузочные характеристики. КриптоПро CSP в режиме КС3 с обязательным аппаратным датчиком случайных чисел может давать совсем другую производительность на операциях подписания, чем та же версия в КС1. На одном проекте мы закладывали запас x3 по железу именно из-за этого - при проектировании высоконагруженных систем с шифрованием по ГОСТ это нужно считать отдельно.
Сравнительная таблица: типичные отечественные сертифицированные СЗИ
| Продукт | Регулятор | Тип СЗИ | Практическое ограничение |
|---|---|---|---|
| Dallas Lock 8.0 | ФСТЭК | СЗИ от НСД | Совместимость с ОС зафиксирована в формуляре; при обновлении ОС нужна проверка |
| Secret Net Studio | ФСТЭК | Комплексное СЗИ | Модуль шифрования требует отдельного сертификата ФСБ |
| КриптоПро CSP | ФСБ | СКЗИ | Класс (КС1/КС2/КС3) зависит от среды эксплуатации, а не только от продукта |
| ViPNet Coordinator | ФСТЭК + ФСБ | МЭ + СКЗИ | Два сертификата на разные функции; при аудите проверяются оба |
| Astra Linux SE | ФСТЭК | ОС | Сертифицирована конкретная сборка; произвольная установка пакетов нарушает условия |
| Kaspersky Endpoint Security | ФСТЭК | АВЗ | Сертифицированная версия может отставать от коммерческой по базам сигнатур |
Импортозамещение средств защиты информации и сертификация
Указ Президента №166 от 30.03.2022 запретил использование иностранного ПО на значимых объектах КИИ с 1 января 2025 года, а Указ №250 от 01.05.2022 дополнительно запретил использование СЗИ из недружественных стран для органов власти и стратегических организаций. Переход на отечественные сертифицированные СЗИ ускорился, но создал практические проблемы.Не для всех классов продуктов существуют зрелые отечественные аналоги. Межсетевые экраны и антивирусы покрыты (UserGate, Kaspersky, Dallas Lock), а вот в области NGFW, полноценных EDR и SOAR-платформ выбор ограничен, сертифицированных решений - ещё меньше.
Приказ №239 для значимых объектов КИИ требует применения сертифицированных СЗИ. В сочетании с требованием импортозамещения продукт должен быть одновременно российским, сертифицированным и функционально пригодным. Триада, в которой третий пункт иногда страдает - и все это знают, но вслух говорят редко.
По требованиям ФЗ-187 о безопасности КИИ, субъекты КИИ обязаны взаимодействовать с ГосСОПКА через НКЦКИ (Национальный координационный центр по компьютерным инцидентам при ФСБ России) и сообщать об инцидентах не позднее 3 часов с момента обнаружения для значимых объектов КИИ (согласно Приказу ФСБ №367 от 24.07.2018). Это создаёт спрос на сертифицированные SIEM и средства мониторинга - категории, для которых отдельные требования ФСТЭК пока не разработаны.
Для аудита объекта КИИ чек-лист выглядит так:
- Проверить категорию объекта КИИ (1, 2 или 3 по ПП-127 и Приказу ФСТЭК №236).
- Определить требуемый класс СЗИ и уровень доверия по Приказу №239.
- Убедиться, что все СЗИ - российского производства (для значимых объектов КИИ с 01.01.2025).
- Проверить наличие действующего сертификата ФСТЭК и/или ФСБ нужного класса.
- Сверить установленную версию продукта с версией в сертификате.
- Проверить условия эксплуатации по формуляру - ОС, аппаратная платформа, сопутствующие СЗИ.
- Убедиться в подключении к ГосСОПКА (для значимых объектов КИИ).
Вопрос к читателям
На каждом проекте по аттестации сталкиваюсь с одной и той же коллизией: сертифицированная версия СЗИ отстаёт от коммерческой на несколько патчей, и заказчик оказывается перед выбором - формальное соответствие сертификату или реальное закрытие уязвимости несертифицированным обновлением. Приказ №117 вводит жёсткие сроки устранения критических уязвимостей - 24 часа, а сертифицированного патча в эти 24 часа почти никогда нет. Кто-нибудь из коллег нашёл рабочий способ совместить оба требования, не нарушая ни одного из них?
Последнее редактирование модератором:
