26 февраля 2026 г.

Сертификация средств защиты информации (СЗИ) в системе ФСТЭК России регламентируется Приказом № 55 от 03.04.2018 г. «Об утверждении Положения о системе сертификации средств защиты информации». Несмотря на четкую регламентацию этапов и сроков, неоднозначность отдельных формулировок и многоступенчатость процесса создают риски для бизнеса: каждая ошибка на любом этапе влечёт возврат на предыдущую стадию с повторным прохождением этапов с установленным сроком. Рассмотрим критические точки риска с количественной оценкой временных и финансовых последствий.

Этап 0. Предварительная подготовка (до подачи заявки)

Ошибка № 1 — несоответствие СЗИ компетенции ФСТЭК России. Важно понимать, что в системе ФСТЭК России сертифицируются СЗИ на соответствие требованиям по защите информации методами, не использующими криптографию. В случае необходимости получения сертификата на средство криптографической защиты информации (СКЗИ) заявителю необходимо обратиться в соответствующий орган — ФСБ России, который выдвигает собственные требования к СЗИ такого типа.

Ошибка № 2 — отсутствие сертифицированной среды функционирования. К среде функционирования относятся любые программные или программно-аппаратные компоненты, необходимые для функционирования СЗИ (например, СУБД или средства контейнеризации). В качестве среды функционирования СЗИ должен выступать хотя бы один сертифицированный ФСТЭК России компонент для каждого типа СЗИ (ОС, СУБД и пр.). В противном случае, несертифицированная среда функционирования должна быть включена в объект оценки, что повлечет за собой существенное увеличение сроков.

Решение: до начала сертификации убедиться в наличии в Государственном реестре сертифицированных СЗИ (reestr.fstec.ru) совместимой ОС, СУБД и т.д.

Ошибка № 3 — неопределенность исключительных прав. Заявка на сертификацию отправляется в том числе с договором на право Заявителю проводить сертификацию СЗИ (в случае, если он не является правообладателем). Отсутствие четко определенных правообладателей СЗИ или надлежащего договора о передаче прав на сертификацию является основанием для возврата заявки заявителю, её доработки и повторной отправки (каждая повторная отправка доработанной заявки занимает до 15 календарных дней со дня её получения ФСТЭК России), а также влечёт дополнительные финансовые расходы на юридическую доработку.

Решение: на этапе проектирования надлежащим образом оформить договор с правообладателем, включающий права на сертификацию, эксплуатацию, производство и техническую поддержку СЗИ.

Этап 1. Подача заявки на сертификацию

Ошибка № 4 — отсутствие функций безопасности, соответствующих назначению СЗИ. Без ФБ изделие не может называться СЗИ. ФБ должны соответствовать требованиям нормативных актов ФСТЭК России (например, для СЗИ, которое планируется применять в государственных информационных системах (ГИС) — Приказ ФСТЭК России № 117 от 11.04.2025 г.). Несоответствие ФБ требованиям приведет к отказу в проведении сертификации. Пример: ваше СЗИ является СУБД и планируется к применению в ГИС. Наличие в технических условиях только требований из упомянутого Приказа № 117 будет являться ошибкой, так как вместе с этим необходимо обеспечить выполнение требований из Приказа ФСТЭК России от 14.04.2023 № 64, устанавливающего требования к СУБД. Временные затраты от такого рода ошибок составят непосредственная доработка функциональных возможностей СЗИ и повторная отправка доработанной заявки в ФСТЭК России.

Решение: на этапе проектирования определить целевое назначение СЗИ (уровень доверия, тип информационной системы, категория защищаемой информации и т.д.) и реализовать ФБ в соответствии с актуальными нормативными требованиями ФСТЭК России.

Ошибка № 5 — отсутствие лицензий у заявителя и разработчика. Заявитель и разработчик СЗИ должны иметь действующие лицензии ФСТЭК России. Отсутствие таких лицензий — основание для отказа в сертификации. Временные потери в данном случае составит не только повторная отправка доработанной заявки, но и 2-6 месяцев (в среднем) на получение каждой из необходимых лицензий в зависимости от степени соответствующей подготовки заявителя/разработчика.

Решение: заявителю и разработчику заранее необходимо получить две обязательные лицензии до подачи заявки:

  • на деятельность по технической защите конфиденциальной информации;
  • на деятельность по разработке и производству средств защиты конфиденциальной информации.

Этап 2. Принятие решения о проведении сертификации

Ошибка № 6 — недостоверные сведения в заявке. Наличие недостоверных данных в заявке или прилагаемых документах (например, указанное с ошибками наименование или правовая форма организации-заявителя) — основание для отказа в проведении сертификации и дальнейшей доработки заявки с повторной отправкой.

Решение: внимательно изучить требования Приказа № 55 в отношении заявки и прилагаемых к ней документов.

Ошибка № 7 — наличие уязвимостей в банке данных угроз ФСТЭК России (bdu.fstec.ru). Если в банке данных угроз ФСТЭК России содержатся сведения об уязвимостях сертифицируемого СЗИ, в сертификации будет отказано. Наряду с повторной отправкой заявки потребуется устранение обнаруженных уязвимостей, что может занять продолжительное время в зависимости от сложности исправлений.

Решение: до подачи заявки провести тестирование на проникновение и анализ уязвимостей (нефункциональное тестирование в рамках ГОСТ Р 56939-2024), убедиться в отсутствии в публичных базах данных угроз известных уязвимостей, непосредственно связанных с СЗИ и параметрами его работы.

Этап 3. Сертификационные испытания

Ошибка № 8 — неготовность СЗИ к испытаниям. СЗИ должно быть полностью реализовано в соответствии с заявленным уровнем доверия и техническими условиями. Во время отбора образцов СЗИ испытательной лабораторией допускаются лишь незначительные изменения и финальные устранения недостатков в СЗИ.

Решение: перед подачей заявки провести функциональное тестирование СЗИ (в порядке, установленном п. 18 Приказа ФСТЭК России от 2 июня 2020 г. № 76) на соответствие всем заявленным функциям безопасности и убедиться в отсутствии уязвимостей.

Ошибка № 9 — неполный комплект документации, необходимый для проведения сертификации. Отсутствие требуемой конструкторской, программной, эксплуатационной или иной документации приведет к приостановке испытаний. Как пример, Приказ ФСТЭК России от 02 июня 2020 г. № 76 в качестве эксплуатационной документации обязывает иметь руководства пользователя и администратора на СЗИ любого уровня доверия.

Решение: заранее подготовить полный комплект документации в соответствии с требованиями Приказа ФСТЭК России от 02 июня 2020 г. № 76 и ГОСТ Р 56939-2024 до начала сертификационных испытаний.

Ошибка № 10 — внесение изменений после непосредственного начала испытаний. Согласно п. 46 Приказа № 55, сертификационные испытания проводятся строго в соответствии с утвержденной программой и методикой для отобранных образцов, в которых зафиксировано состояние СЗИ. Любые изменения в СЗИ после начала приведут к прекращению текущего цикла испытаний и повторному отбору образцов СЗИ для проведения сертификационных испытаний. Временные потери составят полный цикл испытаний, внесение изменений в эксплуатационную и конструкторскую документацию на СЗИ, а финансовые издержки будут зависеть от установленных условий в договоре с испытательной лабораторией.

Решение: все финальные изменения в СЗИ должны быть внесены максимум на этапе согласования программы и методики сертификационных испытаний (п. 43 Приказа № 55) до их утверждения органом по сертификации. После утверждения программы и методики испытаний СЗИ изменения вносить не допускается.

Статья предоставлена Telegram-каналом @AK_BC_3

Источник: Сас Арустумян, директор Центр оценки соответствия и тестирования АО «НПО «Эшелон»