Получения сертификата соответствия

Сертификационные испытания средств защиты информации

Проводим сертификационные испытания на соответствие требованиям безопасности информации в системах сертификации ФСТЭК России и Минобороны России

Получить консультацию Узнать подробнее

Средство защиты информации (СЗИ)

Сертификации подлежат средства защиты информации, представляющие собой технические, программные или программно-технические средства, предназначенные или используемые для обеспечения безопасности информации и реализующие функционал по защите информации.

Технические средства противодействия

Средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам

Средства защиты технических каналов

Средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации

Средства безопасности информационных технологий

Средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации

Типы СЗИ на практике

В реальных информационных системах используются различные классы средств защиты информации. Здесь приведены основные типы СЗИ, применяемые при проектировании, аттестации и обеспечении безопасности инфраструктуры.

Межсетевые экраны
Межсетевые экраны подразделяются на пять типов: тип А — на физическом периметре и только программно-технические; тип Б — на логических границах и программные либо программно-технические; тип В — на уровне узлов, только программные; тип Г — на уровне веб-серверов, контролирующие HTTP-трафик; тип Д — в промышленной сети, фильтрующие промышленные протоколы. Каждый тип применяется на своём уровне инфраструктуры и обеспечивает фильтрацию информационных потоков в соответствии с требованиями защищаемой среды.
Операционные системы
Операционные системы делятся на три типа: тип А — общего назначения и используемые на универсальных вычислительных устройствах; тип Б — встраиваемые, прошитые в специализированные технические средства для фиксированного набора задач; тип В — системы реального времени, обеспечивающие обработку событий в жёстких временных интервалах. Каждый тип применяется в своей категории устройств и соответствует требованиям к функциональности и режимам обработки информации..
Средства со встроенным функционалом защиты от несанкционированного доступа
Средства со встроенным функционалом защиты от несанкционированного доступа это программные, аппаратные или программно-технические решения, в состав которых изначально включены механизмы аутентификации, авторизации, разграничения доступа и контроля действий пользователей. Сертификация данных средств проходит на соответствие функционалу, описанному в технических условиях или в техническом задании.
Средства антивирусной защиты
Средства антивирусной защиты подразделяются на четыре типа: тип А — средства централизованного администрирования, работающие только совместно с типами Б и В; тип Б — антивирусные решения для серверов; тип В — средства защиты для автоматизированных рабочих мест; тип Г — решения для автономных рабочих мест, не подключённых к инфраструктуре. Каждый тип используется на своём уровне информационной системы и обеспечивает контроль и нейтрализацию вредоносной активности в соответствии с назначением компонента.

Для чего нужна сертификация?

Сертификация средств защиты информации нужна для официального подтверждения, что в средстве отсутствуют уязвимости и недекларированные возможности, а также что средство удовлетворяет установленным регулятором требованиям. Сертификация позволяет применять ваше средство в различных информационных системах, с повышенным требованием к информационной безопасности

Объекты критической информационной инфраструктуры

Федеральный закон от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры РФ» № 187-ФЗ.

Приказ ФСТЭК России от 25 декабря 2017 г. № 239. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Государственные информационные системы
Приказ ФСТЭК России от 11 апреля 2025 г. № 117 Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений
Автоматизированные системы управления технологическим процессом
Приказ ФСТЭК России от 14 марта 2014 г. № 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Информационные системы персональных данных

Федеральный закон от 27 июля 2006 г. «О персональных данных» № 152-ФЗ.

Постановление Правительства от 01 ноября 2012 г. № 1119.

Приказ ФСТЭК России от 18 февраля 2013 г. № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Этапы сертификации СЗИ

Этап 01
Проведение GAP‑анализа
Проведение предварительного исследования СЗИ и документации на него
Этап 02
Получение решения
Формирование заявки на проведение сертификации СЗИ и получение решения
Этап 03
Отбор контрольного образца
Проведение отбора образца и получение плана испытаний заимствованных компонент
Этап 04
Разработка программы и методик
Описание шагов и этапов испытаний, утверждение программы и методик в органе по сертификации
Этап 05
Проведение испытаний
Проведение тестирования на безопасность и функционала СЗИ по утвержденной программе и методики
Этап 06
Разработка отчетных документов
Разработка отчетных документов и отправка материалов в орган по сертификации
Скачать опросный лист

Проведение тестирования средства защиты информации

Тестирование СЗИ при сертификации проводится для подтверждения того, что средство разработано безопасно, работает корректно и не содержит уязвимостей и недекларированных возможностей, которые могут поставить под угрозу защищаемую систему. Это обязательный этап, позволяющий убедиться, что СЗИ реально выполняет свои функции и может безопасно функционировать в заявленной инфраструктуре.

Безопасная разработка и производство средства защиты информации
Архитектура безопасности Эскизный проект Технический проект Управление конфигураций Функциональная спецификация Эксплуатационная документация
Тестирование средства защиты информации
Функциональное тестирование Статический анализ Композиционный анализ Динамический анализ Фаззинг тестирование Тестирование на проникновение
Поддержка безопасности сертифицированного средства защиты информации
Устранение выявленных недостатков Политика обновления СЗИ Документирование процедур при устранении недостатков Информирование о прекращении поддержки

Инструментальный контроль

Для проведения сертификационных испытаний используются инструменты, позволяющие объективно оценить безопасность средства защиты информации, выявить уязвимости, ошибки реализации и скрытые зависимости, а также подтвердить корректность работы всех защитных механизмов. Такой набор инструментов обеспечивает полноту проверки: от анализа исходного кода и исполняемых файлов до динамического поведения, взаимодействия компонентов и устойчивости к несанкционированным воздействиям.

Статический анализ

Svace

Solar appScreener

АК-ВС 3

PVS Studio

Композиционный анализ

Trivy

Syft

OWASP Dependency-Check

Фаззинг тестирование

Crusher

AFL++

libFuzzer

JQF

Atheris

Другие используемые инструменты

Natch

Блесна

OpenVAS

Wapiti

Nikto

Наш опыт в сертификации

Мы имеем многолетний опыт проведения сертификационных испытаний и подтверждения соответствия средств защиты информации по требованиям ФСТЭК России и Минобороны России. Наши специалисты выполняют полный цикл работ — от анализа документации и испытаний до сопровождения на всех этапах сертификации, что обеспечивает предсказуемый результат и высокое качество.

Испытательная лаборатория
Более 50 успешно завершённых сертификационных испытаний, подтверждённых выданными сертификатами
Орган по сертификации
Уже более 45 проведенных экспертиз материалов сертификационных испытаний и выданных экспертных заключений
Получить консультацию

Частые вопросы

Сроки, входные данные и нюансы сертификации.

Сколько занимает и стоит сертификация?
Сертификация не имеет фиксированной цены и сроков. Требования ФСТЭК России и Минобороны России включают разные уровни доверия, классы СЗИ и объёмы испытаний, поэтому оценка всегда зависит от исходных данных по продукту: архитектуры, состава функционала, используемых технологий, наличия документации и готовности к испытаниям. Чтобы определить точные сроки и стоимость, нам необходимы входные данные. Для этого мы предлагаем заполнить краткий опросный лист, на его основе мы подготовим индивидуальную оценку и направим вам коммерческое предложение. В опросном листе есть пример заполнения при заполнении по своему продукту старайтесь отразить максимально полную информацию.
Скачать опросный лист
Нужны ли исходные коды?
Да, для проведения сертификационных испытаний испытательная лаборатория должна провести контрольную сборку, а также исследовать исходные тексты на безопасность.
Можно ли развивать продукт параллельно?
Для проведения сертификационных испытаний вы должны предоставить функционально законченный продукт, по согласованию с испытательной лабораторией можно внести изменения, однако это может повлечь за собой увеличение сроков сертификационных испытаний.
Какие исследования продукта должен проводить Разработчик?
Исходными данными для проведения сертификационных испытаний служат результаты всего тестирования, выполняемого разработчиком — статический анализ, динамический анализ, фаззинг-тестирование, системный анализ (сетевая активность, активность файловой системы, обращения к реестру, создание дочерних процессов, обращение к общей памяти и пр.) и композиционный анализ. Аналогично все эти процедуры требуется соблюдать согласно ГОСТ Р 56939-2024 Защита информации. Разработка безопасного программного обеспечения Однако если тестирование изделия проводимого разработчиком, не удовлетворяют требованиям нормативных документов, Испытательная лаборатория вправе самостоятельно проверить продукт. От разработчика потребуется лишь обработка (разметка) результатов автоматизированного анализа. Следует отметить, что в этом случае время- и трудозатраты на полноценные испытания увеличивают срок сертификации.

Начните сертификацию вместе с нами

Проведём GAP‑анализ и расскажем о нюансах при проведении сертификационных испытаний

Оставить заявку +7 (499) 949-46-33