Luxms BI получила сертификат ФСТЭК России по 4 уровню доверия
Сертификат подтверждает, что решение соответствует требованиям регулятора к безопасности информации и может использоваться в информационных системах с установленными требованиями по защите информации.
Это открывает возможности применения платформы:
-
в государственных информационных системах (ГИС),
-
на объектах критической информационной инфраструктуры (КИИ),
-
в системах обработки персональных данных,
-
в корпоративных решениях, работающих с коммерческой и служебной информацией ограниченного доступа.
Для наших клиентов это, в первую очередь, про практическое применение: платформу можно сразу использовать в проектах с повышенными требованиями к безопасности — без дополнительных доработок и ограничений.
Наличие сертификата ФСТЭК по 4 уровню доверия упрощает согласование и запуск решений в государственном секторе, на объектах КИИ и в крупных корпоративных системах, где критичны защита данных и соответствие регуляторным требованиям.
Что означает 4 уровень доверия ФСТЭК
Уровни доверия условно можно сгруппировать по области применения и глубине требований:
-
Уровни 1–3 применяются в наиболее критичных системах, включая решения, работающие с государственной тайной, а также инфраструктуру с повышенными требованиями к надежности и контролю. Они предполагают максимально строгие требования не только к функциональности безопасности, но и к процессам разработки, среде создания продукта и цепочке поставки.
-
4 уровень доверия ориентирован на более широкий круг задач — государственные информационные системы, объекты КИИ и крупные корпоративные внедрения — и обеспечивает баланс между высоким уровнем защиты и практической применимостью решения.
-
Уровни 5–6 чаще используются для программного обеспечения общего назначения и систем с базовыми требованиями к защите информации. Они подтверждают наличие необходимых механизмов безопасности, но предполагают менее глубокую проработку и проверку механизмов защиты по сравнению с более высокими уровнями доверия.
В частности, в отличие от 5 и 6 уровней доверия, 4 уровень ориентирован на более глубокую оценку защищенности продукта и его готовность к использованию в регулируемых и критичных средах.
Он предполагает:
-
анализ архитектуры безопасности,
-
реализацию механизмов идентификации, аутентификации и разграничения доступа,
-
регистрацию и аудит событий безопасности,
-
проверку на наличие уязвимостей,
-
контроль процессов разработки и сопровождения ПО.
Этот сертификат подтверждает, что у нас, как у вендора, сформирована высокая культура разработки — не только в части инноваций, надежности и масштабирования, но и в части безопасности, которой мы уделяем приоритетное внимание на протяжении многих лет.
Изменение требований: тогда и сейчас
За последние годы требования ФСТЭК России к сертификации программного обеспечения существенно ужесточились:
1. Усиление требований к импортозамещению
-
ранее допускалось более широкое использование зарубежных компонентов,
-
сегодня вводятся ограничения на применение иностранных технологий, особенно в критичных контурах.
2. Более строгий контроль разработки (Secure SDLC)
-
усилены требования к процессам безопасной разработки,
-
обязательна проверка исходного кода, зависимостей и цепочек поставки.
3. Расширенные испытания на уязвимости
-
проводится углубленный анализ защищенности, включая моделирование атак,
-
повышены требования к устранению выявленных рисков.
4. Контроль среды эксплуатации
-
ужесточены требования к документации и условиям внедрения,
-
формализованы правила безопасного использования решений.
5. Акцент на комплексную безопасность
-
оценивается не только функциональность защитных механизмов, но и устойчивость системы в целом.
Таким образом, получение сертификата сегодня требует более высокого уровня зрелости продукта по сравнению с предыдущими годами.
