Нужно ли сертифицировать всё программное обеспечение на объектах КИИ?
Это один из самых частых вопросов при проектировании систем защиты информации. На практике многие компании закладывают избыточные требования, что приводит к росту бюджета и усложнению внедрения.
В этой статье разберём:
● когда требуется сертификация ПО для КИИ,
● какие средства защиты информации (СЗИ) подлежат обязательной сертификации,
● в каких случаях можно использовать несертифицированные решения,
● типичные ошибки при реализации требований Приказа №239.
Ключевой принцип сертификации ПО для КИИ
Сертификация требуется не из-за принадлежности к КИИ, а из-за функций ПО.
Если программное обеспечение:
● реализует меры защиты информации → требуется сертификация,
● выполняет вспомогательные функции → сертификация не обязательна.
Это напрямую следует из логики Приказа №239:
● требуется реализовать меры защиты,
● но не требуется использовать исключительно сертифицированное ПО.
Когда сертификация ПО обязательна (СЗИ)
Ниже — перечень случаев, когда сертификация обязательна.
1. Средства идентификации и аутентификации
Ключевые запросы:
идентификация и аутентификация КИИ, MFA сертификация, ИАФ ФСТЭК
Сертификация требуется, если ПО:
● управляет учетными записями,
● реализует MFA,
● выступает как отдельное средство защиты.
2. Средства управления доступом (УПД)
Ключевые запросы:
разграничение доступа КИИ, IAM сертификация, контроль доступа ФСТЭК
Сюда относятся:
● IAM/IdM системы,
● системы разграничения прав доступа.
Если это отдельное решение — требуется сертификация как СЗИ от НСД.
3. Межсетевые экраны (Firewall, NGFW)
Ключевые запросы:
межсетевой экран ФСТЭК, NGFW сертификация, firewall КИИ
Сертификация обязательна во всех случаях использования как меры защиты.
4. IDS/IPS (обнаружение вторжений)
Ключевые запросы:
IDS IPS сертификация, обнаружение атак КИИ
Если система:
● анализирует трафик,
● выявляет атаки,
она должна быть сертифицирована.
5. Антивирусная защита
Ключевые запросы:
антивирус ФСТЭК, EDR сертификация КИИ
Включает:
● антивирусы,
● EDR/XDR решения.
Требуется обязательная сертификация.
6. Криптография (СКЗИ)
Ключевые запросы:
СКЗИ сертификация, VPN ФСБ, криптозащита КИИ
Если используется:
● шифрование,
● VPN,
● защита каналов,
требуется:
● сертификация СКЗИ,
● иногда дополнительная сертификация.
7. Контроль целостности
Ключевые запросы:
контроль целостности ФСТЭК, integrity monitoring КИИ
Специализированные решения должны быть сертифицированы.
Когда сертификация НЕ требуется
Ключевые запросы:
несертифицированное ПО КИИ, требования к ПО КИИ, что не требует сертификации
1. Резервное копирование
● системы backup не требуют сертификации,
● если не выполняют функции защиты.
Исключение: если используются как средство защиты (например, шифрование).
2. Мониторинг инфраструктуры
● Zabbix, Prometheus и аналоги,
● не относятся к СЗИ.
Сертификация не требуется.
3. SIEM-системы
Ключевые запросы:
SIEM сертификация ФСТЭК, нужна ли сертификация SIEM
Обычно не требуется, если:
● нет активного предотвращения атак.
4. Системы управления ИТ
● CMDB,
● системы администрирования,
● оркестраторы.
Не являются средствами защиты информации.
5. Базовое ПО
● гипервизоры,
● СУБД,
● прикладные системы.
Не требуют сертификации сами по себе.
Главный критерий: функция защиты
Перед внедрением задайте вопрос:
Это ПО защищает или просто обеспечивает работу?
Тип ПО
Сертификация
Защита от НСД, атак
✔ Обязательна
Эксплуатация и доступность
❌ Не требуется
Смешанные функции
⚠️ Анализ
Роль модели угроз и ТЗ
Ключевые запросы:
модель угроз КИИ, требования ФСТЭК КИИ, ТЗ безопасность КИИ
Даже не-СЗИ может потребовать сертификации, если:
● указано в модели угроз,
● прописано в ТЗ,
● требуется заказчиком.
Типичная ошибка при внедрении КИИ
❌ «Нужно сертифицировать всё ПО»
Это неверно.
✔Правильно:
сертифицируются только средства защиты информации.
Почему требуют лишнюю сертификацию
Ключевые запросы:
проверки ФСТЭК КИИ, аудит КИИ требования
Причины:
● страх проверок,
● упрощение закупок,
● недостаток компетенций.
Это избыточная практика, а не нормативное требование.
Практические рекомендации
Чтобы правильно реализовать требования КИИ:
1. Определите перечень мер защиты
2. Привяжите ПО к каждой мере
3. Выделите СЗИ
4. Проверьте требования к сертификации
5. Не закладывайте лишние ограничения
Вместо вывода
✔ Сертификация ПО для КИИ обязательна, только если оно является СЗИ
✔ Большая часть инфраструктурного ПО, может использоваться без сертификации
✔ Ключевой фактор — роль в системе защиты информации
