Для ряда организаций использование сертифицированных продуктов является необходимым. К таким организациям относятся государственные организации, негосударственные организации, работающие с так называемой «служебной информацией государственных органов», а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных»).

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

  • В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании».
  • В ФЗ 184 «О техническом регулировании» в ст.4 . «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5».
  • Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»).
  • Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России.
  • В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается:
    • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».
    • п. 2.16. « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
    • п.2.17. «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа»
  • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».
  • п. 2.16. « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
  • п.2.17. «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа»
  • Закон РФ N 5485-1 от 21 июля 1993 г. («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов». Из этого следует, что, например, Windows содержит средства защиты информации, хотя само не является таковым средством
  • Приказ ФСТЭК России №17 11 февраля 2013 г. об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Приказ ФСТЭК России №21 от 18 февраля 2013 г. об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

При сертификации продукта на соответствие российским требованиям по безопасности сертифицируются встроенные в продукт средства защиты информации.

Если организация обязана использовать продукты с сертифицированными средствами защиты информации (к таким организациям, как уже говорилось, относятся все государственные организации), но продукт, который она хочет использовать еще не сертифицирован, то организация должна использовать с таким продуктом стороннее средство защиты информации именно для этого продукта. Такие средства защиты обычно называют наложенными средствами.

Использование наложенных средств защиты информации не только существенно удорожает продукт, но и подчас резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными продуктами. Поэтому производители сертифицируют свои продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков, которые хотят быть законопослушными.

Как видно из приведенных выдержек из законодательства, некоторые организации должны не только использовать продукты с сертифицированными средствами защиты информации, но и должны аттестовать свои рабочие места.

Процедуру аттестации рабочих мест для работы с конфиденциальной информацией проводят органы ФСТЭК и их лицензиаты по всей стране.

Сертифицированный продукт часто является необходимым (но не единственным) условием получения аттестата на рабочее место для работы с конфиденциальной информацией.

Продукты, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то:

Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.