КиберосноваSGRC

Уровни доверия ФСТЭК: что означают и как проверить сертификат СЗИ

Что такое уровни доверия ФСТЭК по приказу №76, чем отличается 4 уровень, какой нужен для КИИ, ГИС и ИСПДн и как проверить сертификат средства защиты.

Уровень доверия — это то, насколько глубоко ФСТЭК проверила средство защиты информации перед выдачей сертификата. Всего уровней шесть: первый самый высокий, шестой самый низкий. Чем выше категория вашей системы, тем строже требуемый уровень доверия к СЗИ, которое вы в неё ставите.

Требования утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76 и действуют с 1 января 2021 года. С этой же даты утратил силу прежний документ — Требования, утверждённые приказом ФСТЭК России от 30 июля 2018 г. № 131.

В статье разберём: что такое уровень доверия, чем он отличается от класса защиты (их постоянно путают), какой уровень требуется именно вашей системе — таблица из пункта 4 приказа — и как за пять минут проверить сертификат конкретного СЗИ.

А в конце — неприятная правда, о которой редко говорят вслух: сертификат ФСТЭК не означает, что в средстве защиты нет уязвимостей. У сертифицированных продуктов есть записи в банке данных угроз — и мы покажем, как это увидеть.

Что такое уровень доверия ФСТЭК

Когда вендор приносит своё СЗИ на сертификацию, испытательная лаборатория проверяет не только «работают ли заявленные функции». Она проверяет, как продукт сделан: как разрабатывался, как тестировался, что с исходным кодом, есть ли скрытые каналы утечки, как вендор поддерживает продукт после выпуска.

Глубина этой проверки и есть уровень доверия.

Требования приказа № 76 разбиты на пять групп:

  • Общие требования по безопасности информации;
  • Требования к разработке и производству средства — то, как устроен процесс у вендора;
  • Требования к проведению испытаний — что и как проверяет лаборатория;
  • Требования к поддержке безопасности средства — что вендор обязан делать после сертификации;
  • Требования к самому средству.

Чем выше уровень доверия (то есть чем меньше его номер), тем жёстче каждая группа.

Зачем это ввели

Предыдущая редакция Требований (приказ ФСТЭК России от 30 июля 2018 г. № 131) утратила силу с 1 января 2021 года. А до неё десятилетиями действовали руководящие документы 1990-х годов с классами защищённости и уровнями контроля недекларированных возможностей. Они описывали продукт как «чёрный ящик»: проверяли, что он делает, но почти не смотрели, как он собран.

Приказ № 76 сместил фокус: теперь проверяют процесс разработки — управление конфигурацией, среду сборки, работу с уязвимостями, поддержку после выпуска. Логика прямая: продукт, собранный в неконтролируемой среде из непроверенных компонентов, небезопасен — даже если все функции формально работают.

Тот же сдвиг виден и в других документах регулятора. Например, приказ ФСТЭК № 117 требует от организаций, разрабатывающих собственное ПО, применять ГОСТ Р 56939 по безопасной разработке. Логика везде одна: регулятор смотрит не на бинарник, а на то, как его получили.

Шесть уровней доверия: чем отличаются

Пункт 4 Требований формулирует это дословно: «Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень — шестой, самый высокий — первый».

УровеньЧто известно из открытого текста
1–3В открытой выписке не раскрыты. Приказ № 76 опубликован в виде выписки; полный текст относится к документам ограниченного распространения
4КИИ 1 категории, ГИС и АСУ ТП 1 класса, ИСПДн УЗ1, ИС общего пользования II класса
5КИИ 2 категории, ГИС и АСУ ТП 2 класса, ИСПДн УЗ2
6КИИ 3 категории, ГИС и АСУ ТП 3 класса, ИСПДн УЗ3 и УЗ4

Важная деталь, которая сбивает с толку. Сами Требования охватывают и защиту государственной тайны, и защиту иной информации ограниченного доступа. Но опубликована только выписка — и в ней раскрыты применение и требования лишь для уровней 6, 5 и 4. Уровни 1–3 в открытом доступе не описаны.

Практический вывод для большинства организаций: если вы не работаете с гостайной, ваш потолок — четвёртый уровень доверия. Именно он требуется для самых критичных из «обычных» систем: КИИ первой категории, ГИС первого класса, ИСПДн первого уровня защищённости.

Требования вводились поэтапно

Приказ № 76 действует с 1 января 2021 года, но часть требований включалась постепенно (письмо ФСТЭК от 15 октября 2020 г. № 240/24/4268):

  • пункты 12.2 и 12.4 — с 1 января 2022 года;
  • пункт 12.5 — с 1 января 2024 года;
  • пункт 12.3 — с 1 января 2028 года.

Практический вывод: сертификаты, выданные в разные годы, проверялись по разному объёму требований. Сертификат 2021 года и сертификат 2026 года на один и тот же уровень доверия — это не совсем одно и то же.

Какой уровень доверия нужен вашей системе

Правило общее: чем критичнее система — тем выше требуемый уровень доверия к СЗИ, которое в ней применяется. Соответствие задано прямо в пункте 4 Требований (приказ ФСТЭК № 76).

Уровень доверияЗначимые объекты КИИГИСАСУ ТПИСПДнИС общего пользования
4 уровень1 категория значимости1 класс защищённости1 класс защищённостиУЗ1II класса
5 уровень2 категория значимости2 класс защищённости2 класс защищённостиУЗ2
6 уровень3 категория значимости3 класс защищённости3 класс защищённостиУЗ3 и УЗ4

Формулировка приказа дословная: «Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, в информационных системах общего пользования II класса».

Про информационные системы общего пользования: их классы установлены приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489.

Логика простая и симметричная: чем меньше номер категории (класса, уровня защищённости) вашей системы — тем меньше должен быть номер требуемого уровня доверия. КИИ первой категории требует 4 уровень доверия ФСТЭК, вторая категория — 5 уровень доверия ФСТЭК, третья — 6 уровень доверия ФСТЭК.

🔍 Проверьте своё СЗИ прямо сейчас Узнали нужный уровень? Найдите ваше средство защиты в реестре сертифицированных СЗИ ФСТЭК — 1900+ сертификатов с поиском по названию, вендору и номеру. Посмотрите, какой уровень доверия там указан на самом деле.

⚠️ Не берите таблицу как единственный источник при закупке. Категория, класс или уровень защищённости вашей системы определяется по результатам категорирования КИИ, классификации ГИС или определения уровня защищённости ИСПДн. Сначала — ваши документы, потом эта таблица.

4 уровень доверия ФСТЭК: разбираем отдельно

Это самый частый запрос по теме — и понятно почему. Для большинства организаций, не работающих с гостайной, 4 уровень доверия ФСТЭК и есть максимальная планка.

Кому нужен (п. 4 приказа № 76): значимые объекты КИИ 1 категории значимости, ГИС 1 класса защищённости, АСУ ТП 1 класса защищённости, ИСПДн при необходимости обеспечения 1 уровня защищённости (УЗ1), а также информационные системы общего пользования II класса.

Что дополнительно проверяют на четвёртом уровне (по сравнению с пятым и шестым):

  • Скрытые каналы. На четвёртом уровне требуется выявить и проанализировать скрытые каналы утечки информации через память.
  • Более глубокий анализ исходного кода и среды разработки у вендора.
  • Строже требования к поддержке средства после сертификации: вендор обязан отслеживать и устранять выявленные уязвимости в течение срока действия сертификата.

Что это значит на практике. Если у вас значимый объект КИИ первой категории, а поставщик предлагает СЗИ с сертификатом на 5 или 6 уровень доверия — это средство вам не подходит, даже если по функциям оно идеально. Проверяющий это увидит. Категория, к слову, определяется не на глаз, а по процедуре категорирования КИИ.

Уровень доверия и класс защиты — это не одно и то же

Самая частая путаница в теме. Разберём просто.

Уровень доверияКласс защиты (класс СЗИ)
Что описываетКак глубоко проверили продукт и процесс его разработкиКакие функции защиты реализованы в продукте
О чём говоритО доверии к вендору и процессуО возможностях самого средства
ОснованиеПриказ ФСТЭК № 76Профили защиты, требования к классам СЗИ
Шкала1–6 (1 — высший)Зависит от типа СЗИ (например, 1–6 для СВТ)

Проще говоря: класс защиты СЗИ отвечает на вопрос «что средство умеет», а уровень доверия — «насколько тщательно это проверили».

Аналогия. Класс защиты — это что у автомобиля есть подушки безопасности и ABS. Уровень доверия — насколько строго завод проверил, что они действительно сработают, и на каком производстве их собрали.

В сертификате ФСТЭК обычно указаны оба параметра. Например: «соответствует требованиям к средствам защиты информации 4 класса и 4 уровню доверия». И смотреть нужно на оба — оба видны в карточке продукта в реестре сертифицированных СЗИ.

Как проверить сертификат СЗИ: практика

Вот что делать, когда вам приносят коммерческое предложение с фразой «сертифицировано ФСТЭК».

Сертификация СЗИ ведётся по Положению о системе сертификации средств защиты информации, утверждённому приказом ФСТЭК России от 3 апреля 2018 г. № 55 — на него прямо ссылается приказ № 76.

Шаг 1. Найдите сертификат в реестре

«Сертифицировано ФСТЭК» без номера сертификата — не аргумент. Просите номер и проверяйте его в государственном реестре сертифицированных средств защиты информации.

Мы собрали реестр в удобном виде — проверить сертификат СЗИ можно по номеру, названию продукта или вендору.

Шаг 2. Проверьте четыре вещи

В сертификате ФСТЭК уровень доверия указан прямо — ищите формулировку вида «соответствует требованиям к уровням доверия ФСТЭК, 4 уровень доверия».

  1. Действует ли сертификат. У сертификатов есть срок. Истечение срока не аннулирует автоматически каждый экземпляр: по Положению о сертификации (приказ № 55) серийное средство, произведённое в период действия сертификата, может сохранять статус сертифицированного при условии соответствия требованиям и наличия технической поддержки. Но новые поставки по истёкшему сертификату уже не пройдут, а для единичных образцов и партий действует своя логика — уточняйте статус у вендора и в реестре.
  2. Уровень доверия. Соответствует ли он категории вашей системы (таблица выше).
  3. Версия продукта. Сертификат выдан на конкретную версию. Если вендор с тех пор выпустил три мажорных релиза, а вы ставите последний — сертификат на него может не распространяться. Это одна из самых частых ошибок при проверках.
  4. Схема сертификации. Серийное производство или единичный образец — от этого зависит, покрывает ли сертификат ваш экземпляр.

Шаг 3. Посмотрите уязвимости продукта

И вот здесь начинается самое интересное.

Сертификат ФСТЭК ≠ отсутствие уязвимостей

Это ключевая мысль всей статьи, и её стоит проговорить прямо.

Сертификат — это фотография на момент испытаний. Лаборатория проверила версию 3.2 в 2023 году и подтвердила: требования выполнены. Но уязвимости в программном обеспечении находят постоянно — и после сертификации тоже.

Откройте карточку любого популярного сертифицированного СЗИ в реестре — мы связали её с банком данных угроз ФСТЭК. Вы увидите, что у сертифицированных продуктов есть записи в БДУ. У некоторых — десятки. У отдельных — с подтверждённым эксплойтом.

Это не значит, что продукт плохой или сертификат «липовый». Это значит ровно то, что написано: сертификат подтверждает соответствие требованиям на момент проверки, а не отсутствие уязвимостей навсегда.

Что из этого следует практически

Для службы информационной безопасности это три обязанности, которые сертификат не снимает:

  1. Знать, какие СЗИ и какие версии реально установлены в инфраструктуре. Не по бумагам, а по факту. Это инвентаризация ИТ-активов и учёт СЗИ.
  2. Отслеживать уязвимости этих продуктов в БДУ ФСТЭК и CVE — непрерывно, а не раз в год перед проверкой.
  3. Устранять их в установленные сроки. Если ваша система подпадает под приказ ФСТЭК № 117 (он распространяется на ГИС и иные информационные системы государственных органов, ГУП и государственных учреждений), сроки заданы через уровни опасности: уязвимости критического уровня опасности устраняются в срок не более 24 часов, высокого уровня опасностине более 7 календарных дней. Для среднего и низкого уровней сроки организация устанавливает во внутреннем регламенте сама. Для систем вне области действия № 117 сроки определяются собственным регламентом и требованиями профильных приказов (№ 21 для ИСПДн, № 239 для КИИ). Сам уровень опасности рассчитывается по «Методике оценки уровня критичности уязвимостей программных, программно-аппаратных средств» (утверждена ФСТЭК России 30 июня 2025 года, заменила методику от 28 октября 2022 года) — она опирается на CVSS с учётом контекстных факторов: наличия эксплойта и признаков реальных атак. Цепочка такая: оценка по методике → уровень опасности → срок устранения по приказу № 117.

Если сертифицированное СЗИ стоит у вас три года без обновлений, а в БДУ на него накопилось полтора десятка записей — формально у вас есть сертификат, а фактически есть незакрытые уязвимости на средстве защиты. Инспектор ФСТЭК спросит именно про второе.

⚡ Проверьте, сколько уязвимостей у вашего сертифицированного СЗИ Откройте карточку вашего средства в реестре СЗИ — там же показаны связанные с ним записи из банка данных угроз ФСТЭК. Часто это неприятный сюрприз: сертификат есть, а уязвимости с эксплойтами — тоже.

Типичные ошибки при закупке СЗИ

Ошибка 1. Смотрят только на наличие сертификата. Есть сертификат — значит, подходит. Не проверяют ни уровень доверия, ни версию.

Ошибка 2. Путают уровень доверия и класс защиты. Берут СЗИ 4 класса, думая, что это и есть 4 уровень доверия. Это разные параметры.

Ошибка 3. Ставят версию, на которую сертификат не распространяется. Сертификат на 3.2, в проде 5.1. Формально — незащищённая система. Лечится учётом СЗИ с версиями: если вы не знаете, какая версия реально стоит, вы не знаете и покрыта ли она сертификатом.

Ошибка 4. Не следят за сроком. Сертификат истёк в прошлом квартале, никто не заметил.

Ошибка 5. Считают, что сертификат заменяет управление уязвимостями. Самая дорогая ошибка — см. раздел выше. Управление уязвимостями — отдельный процесс: мониторинг БДУ ФСТЭК, привязка находок к активам и контроль устранения.

Что писать в документах: формулировки для ТЗ и модели угроз

Уровень доверия СЗИ — это не абстракция для галочки. Он попадает минимум в три документа, и в каждом звучит по-своему.

Техническое задание на закупку. Требование к средству формулируется через приказ 76 ФСТЭК напрямую:

«Средство защиты информации должно иметь действующий сертификат соответствия ФСТЭК России, подтверждающий соответствие требованиям по безопасности информации, устанавливающим не ниже 4 уровня доверия (приказ ФСТЭК России от 2 июня 2020 г. № 76), а также требованиям к средствам защиты информации класса (указывается конкретный класс для вашего типа СЗИ)».

Два замечания. «Не ниже» защищает вас, если вендор предложит средство с более высоким (то есть меньшим по номеру) уровнем. А вот класс защиты нельзя писать универсально: он зависит от типа средства (межсетевой экран, СЗИ от НСД, антивирус) и применимого профиля защиты. Требуемый класс берите из своих документов, а не из шаблона.

Модель угроз. Здесь уровень доверия применяемого СЗИ фиксируется как характеристика выбранного средства. Проверяющий сверяет не «потенциал нарушителя против уровня доверия» — такого правила в приказе нет, — а согласованность цепочки: категория значимости КИИ (класс ГИС, УЗ ИСПДн) → требуемый уровень доверия по пункту 4 → уровень доверия в сертификате фактически применённого средства.

Модель угроз и акт классификации / категорирования. Класс ГИС, категория значимости КИИ или уровень защищённости ИСПДн — именно из этого документа вытекает требуемый уровень доверия. Если организационно-распорядительные документы по ИБ ведутся вручную, эта цепочка рассыпается первой. Цепочка такая: категорирование → требуемый уровень доверия → выбор конкретного СЗИ → сертификат, где этот уровень подтверждён.

Разрыв в этой цепочке — типичная находка на проверке. Система отнесена к первой категории, а в эксплуатации стоит средство с сертификатом на шестой уровень доверия. Формально документы есть, фактически требование не выполнено.

Как это автоматизировать

В Excel всё это превращается в ручную рутину: следить за сроками сертификатов, сверять версии, мониторить БДУ по каждому продукту, раздавать задачи и держать сроки по приказу № 117.

SGRC-платформа КиберОснова связывает три реестра в один процесс:

Банк данных угроз импортируется автоматически, уязвимости связываются с конкретными активами и версиями, а по ним заводятся задачи ИБ с исполнителем и плановой датой — и система контролирует статус устранения. Ко времени проверки у вас не «папка с сертификатами», а реестр с историей: что нашли, что закрыли, когда и кто.

Что дальше

Три практических шага, которые стоит сделать после прочтения:

  1. Соберите список СЗИ, которые реально работают в вашей инфраструктуре, с версиями.
  2. Проверьте сертификатыв реестре: действуют ли, тот ли уровень доверия, та ли версия.
  3. Посмотрите уязвимости этих продуктов в банке данных угроз — и оцените, сколько из них у вас не закрыто.

Третий шаг обычно и оказывается неприятным сюрпризом.

Хотите пройти эти три шага за один вечер, а не за квартал? Покажем на вашей инфраструктуре, как связать реестр ИТ-активов, сертификаты СЗИ и уязвимости из БДУ в один управляемый процесс. Запросить демонстрацию КиберОснова →

Если вы отвечаете за выполнение требований ФСТЭК целиком, а не только за выбор СЗИ — посмотрите, как устроено выполнение приказов ФСТЭК и аудит ИБ на платформе.

Василий Сеничев
Василий Сеничев

Основатель и CEO КиберОснова

Основатель платформы КиберОснова SGRC. Более 12 лет в информационной безопасности: от технического эксперта до продуктового руководителя. Строил процессы ИБ в крупных государственных и коммерческих организациях до основания КиберОснова.

SGRCавтоматизация ИБуправление ИБКИИпродуктовое управление
Все статьи автора →
FAQ

Часто задаваемые вопросы

Не нашли ответ? Напишите нам

Связанные материалы

Автоматизируйте ИБ с КиберОснова

Запросите демо-доступ — покажем, как платформа решает ваши задачи.