Уровень доверия — это то, насколько глубоко ФСТЭК проверила средство защиты информации перед выдачей сертификата. Всего уровней шесть: первый самый высокий, шестой самый низкий. Чем выше категория вашей системы, тем строже требуемый уровень доверия к СЗИ, которое вы в неё ставите.
Требования утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76 и действуют с 1 января 2021 года. С этой же даты утратил силу прежний документ — Требования, утверждённые приказом ФСТЭК России от 30 июля 2018 г. № 131.
В статье разберём: что такое уровень доверия, чем он отличается от класса защиты (их постоянно путают), какой уровень требуется именно вашей системе — таблица из пункта 4 приказа — и как за пять минут проверить сертификат конкретного СЗИ.
А в конце — неприятная правда, о которой редко говорят вслух: сертификат ФСТЭК не означает, что в средстве защиты нет уязвимостей. У сертифицированных продуктов есть записи в банке данных угроз — и мы покажем, как это увидеть.
Что такое уровень доверия ФСТЭК
Когда вендор приносит своё СЗИ на сертификацию, испытательная лаборатория проверяет не только «работают ли заявленные функции». Она проверяет, как продукт сделан: как разрабатывался, как тестировался, что с исходным кодом, есть ли скрытые каналы утечки, как вендор поддерживает продукт после выпуска.
Глубина этой проверки и есть уровень доверия.
Требования приказа № 76 разбиты на пять групп:
- Общие требования по безопасности информации;
- Требования к разработке и производству средства — то, как устроен процесс у вендора;
- Требования к проведению испытаний — что и как проверяет лаборатория;
- Требования к поддержке безопасности средства — что вендор обязан делать после сертификации;
- Требования к самому средству.
Чем выше уровень доверия (то есть чем меньше его номер), тем жёстче каждая группа.
Зачем это ввели
Предыдущая редакция Требований (приказ ФСТЭК России от 30 июля 2018 г. № 131) утратила силу с 1 января 2021 года. А до неё десятилетиями действовали руководящие документы 1990-х годов с классами защищённости и уровнями контроля недекларированных возможностей. Они описывали продукт как «чёрный ящик»: проверяли, что он делает, но почти не смотрели, как он собран.
Приказ № 76 сместил фокус: теперь проверяют процесс разработки — управление конфигурацией, среду сборки, работу с уязвимостями, поддержку после выпуска. Логика прямая: продукт, собранный в неконтролируемой среде из непроверенных компонентов, небезопасен — даже если все функции формально работают.
Тот же сдвиг виден и в других документах регулятора. Например, приказ ФСТЭК № 117 требует от организаций, разрабатывающих собственное ПО, применять ГОСТ Р 56939 по безопасной разработке. Логика везде одна: регулятор смотрит не на бинарник, а на то, как его получили.
Шесть уровней доверия: чем отличаются
Пункт 4 Требований формулирует это дословно: «Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень — шестой, самый высокий — первый».
| Уровень | Что известно из открытого текста |
|---|---|
| 1–3 | В открытой выписке не раскрыты. Приказ № 76 опубликован в виде выписки; полный текст относится к документам ограниченного распространения |
| 4 | КИИ 1 категории, ГИС и АСУ ТП 1 класса, ИСПДн УЗ1, ИС общего пользования II класса |
| 5 | КИИ 2 категории, ГИС и АСУ ТП 2 класса, ИСПДн УЗ2 |
| 6 | КИИ 3 категории, ГИС и АСУ ТП 3 класса, ИСПДн УЗ3 и УЗ4 |
Важная деталь, которая сбивает с толку. Сами Требования охватывают и защиту государственной тайны, и защиту иной информации ограниченного доступа. Но опубликована только выписка — и в ней раскрыты применение и требования лишь для уровней 6, 5 и 4. Уровни 1–3 в открытом доступе не описаны.
Практический вывод для большинства организаций: если вы не работаете с гостайной, ваш потолок — четвёртый уровень доверия. Именно он требуется для самых критичных из «обычных» систем: КИИ первой категории, ГИС первого класса, ИСПДн первого уровня защищённости.
Требования вводились поэтапно
Приказ № 76 действует с 1 января 2021 года, но часть требований включалась постепенно (письмо ФСТЭК от 15 октября 2020 г. № 240/24/4268):
- пункты 12.2 и 12.4 — с 1 января 2022 года;
- пункт 12.5 — с 1 января 2024 года;
- пункт 12.3 — с 1 января 2028 года.
Практический вывод: сертификаты, выданные в разные годы, проверялись по разному объёму требований. Сертификат 2021 года и сертификат 2026 года на один и тот же уровень доверия — это не совсем одно и то же.
Какой уровень доверия нужен вашей системе
Правило общее: чем критичнее система — тем выше требуемый уровень доверия к СЗИ, которое в ней применяется. Соответствие задано прямо в пункте 4 Требований (приказ ФСТЭК № 76).
| Уровень доверия | Значимые объекты КИИ | ГИС | АСУ ТП | ИСПДн | ИС общего пользования |
|---|---|---|---|---|---|
| 4 уровень | 1 категория значимости | 1 класс защищённости | 1 класс защищённости | УЗ1 | II класса |
| 5 уровень | 2 категория значимости | 2 класс защищённости | 2 класс защищённости | УЗ2 | — |
| 6 уровень | 3 категория значимости | 3 класс защищённости | 3 класс защищённости | УЗ3 и УЗ4 | — |
Формулировка приказа дословная: «Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, в информационных системах общего пользования II класса».
Про информационные системы общего пользования: их классы установлены приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489.
Логика простая и симметричная: чем меньше номер категории (класса, уровня защищённости) вашей системы — тем меньше должен быть номер требуемого уровня доверия. КИИ первой категории требует 4 уровень доверия ФСТЭК, вторая категория — 5 уровень доверия ФСТЭК, третья — 6 уровень доверия ФСТЭК.
🔍 Проверьте своё СЗИ прямо сейчас Узнали нужный уровень? Найдите ваше средство защиты в реестре сертифицированных СЗИ ФСТЭК — 1900+ сертификатов с поиском по названию, вендору и номеру. Посмотрите, какой уровень доверия там указан на самом деле.
⚠️ Не берите таблицу как единственный источник при закупке. Категория, класс или уровень защищённости вашей системы определяется по результатам категорирования КИИ, классификации ГИС или определения уровня защищённости ИСПДн. Сначала — ваши документы, потом эта таблица.
4 уровень доверия ФСТЭК: разбираем отдельно
Это самый частый запрос по теме — и понятно почему. Для большинства организаций, не работающих с гостайной, 4 уровень доверия ФСТЭК и есть максимальная планка.
Кому нужен (п. 4 приказа № 76): значимые объекты КИИ 1 категории значимости, ГИС 1 класса защищённости, АСУ ТП 1 класса защищённости, ИСПДн при необходимости обеспечения 1 уровня защищённости (УЗ1), а также информационные системы общего пользования II класса.
Что дополнительно проверяют на четвёртом уровне (по сравнению с пятым и шестым):
- Скрытые каналы. На четвёртом уровне требуется выявить и проанализировать скрытые каналы утечки информации через память.
- Более глубокий анализ исходного кода и среды разработки у вендора.
- Строже требования к поддержке средства после сертификации: вендор обязан отслеживать и устранять выявленные уязвимости в течение срока действия сертификата.
Что это значит на практике. Если у вас значимый объект КИИ первой категории, а поставщик предлагает СЗИ с сертификатом на 5 или 6 уровень доверия — это средство вам не подходит, даже если по функциям оно идеально. Проверяющий это увидит. Категория, к слову, определяется не на глаз, а по процедуре категорирования КИИ.
Уровень доверия и класс защиты — это не одно и то же
Самая частая путаница в теме. Разберём просто.
| Уровень доверия | Класс защиты (класс СЗИ) | |
|---|---|---|
| Что описывает | Как глубоко проверили продукт и процесс его разработки | Какие функции защиты реализованы в продукте |
| О чём говорит | О доверии к вендору и процессу | О возможностях самого средства |
| Основание | Приказ ФСТЭК № 76 | Профили защиты, требования к классам СЗИ |
| Шкала | 1–6 (1 — высший) | Зависит от типа СЗИ (например, 1–6 для СВТ) |
Проще говоря: класс защиты СЗИ отвечает на вопрос «что средство умеет», а уровень доверия — «насколько тщательно это проверили».
Аналогия. Класс защиты — это что у автомобиля есть подушки безопасности и ABS. Уровень доверия — насколько строго завод проверил, что они действительно сработают, и на каком производстве их собрали.
В сертификате ФСТЭК обычно указаны оба параметра. Например: «соответствует требованиям к средствам защиты информации 4 класса и 4 уровню доверия». И смотреть нужно на оба — оба видны в карточке продукта в реестре сертифицированных СЗИ.
Как проверить сертификат СЗИ: практика
Вот что делать, когда вам приносят коммерческое предложение с фразой «сертифицировано ФСТЭК».
Сертификация СЗИ ведётся по Положению о системе сертификации средств защиты информации, утверждённому приказом ФСТЭК России от 3 апреля 2018 г. № 55 — на него прямо ссылается приказ № 76.
Шаг 1. Найдите сертификат в реестре
«Сертифицировано ФСТЭК» без номера сертификата — не аргумент. Просите номер и проверяйте его в государственном реестре сертифицированных средств защиты информации.
Мы собрали реестр в удобном виде — проверить сертификат СЗИ можно по номеру, названию продукта или вендору.
Шаг 2. Проверьте четыре вещи
В сертификате ФСТЭК уровень доверия указан прямо — ищите формулировку вида «соответствует требованиям к уровням доверия ФСТЭК, 4 уровень доверия».
- Действует ли сертификат. У сертификатов есть срок. Истечение срока не аннулирует автоматически каждый экземпляр: по Положению о сертификации (приказ № 55) серийное средство, произведённое в период действия сертификата, может сохранять статус сертифицированного при условии соответствия требованиям и наличия технической поддержки. Но новые поставки по истёкшему сертификату уже не пройдут, а для единичных образцов и партий действует своя логика — уточняйте статус у вендора и в реестре.
- Уровень доверия. Соответствует ли он категории вашей системы (таблица выше).
- Версия продукта. Сертификат выдан на конкретную версию. Если вендор с тех пор выпустил три мажорных релиза, а вы ставите последний — сертификат на него может не распространяться. Это одна из самых частых ошибок при проверках.
- Схема сертификации. Серийное производство или единичный образец — от этого зависит, покрывает ли сертификат ваш экземпляр.
Шаг 3. Посмотрите уязвимости продукта
И вот здесь начинается самое интересное.
Сертификат ФСТЭК ≠ отсутствие уязвимостей
Это ключевая мысль всей статьи, и её стоит проговорить прямо.
Сертификат — это фотография на момент испытаний. Лаборатория проверила версию 3.2 в 2023 году и подтвердила: требования выполнены. Но уязвимости в программном обеспечении находят постоянно — и после сертификации тоже.
Откройте карточку любого популярного сертифицированного СЗИ в реестре — мы связали её с банком данных угроз ФСТЭК. Вы увидите, что у сертифицированных продуктов есть записи в БДУ. У некоторых — десятки. У отдельных — с подтверждённым эксплойтом.
Это не значит, что продукт плохой или сертификат «липовый». Это значит ровно то, что написано: сертификат подтверждает соответствие требованиям на момент проверки, а не отсутствие уязвимостей навсегда.
Что из этого следует практически
Для службы информационной безопасности это три обязанности, которые сертификат не снимает:
- Знать, какие СЗИ и какие версии реально установлены в инфраструктуре. Не по бумагам, а по факту. Это инвентаризация ИТ-активов и учёт СЗИ.
- Отслеживать уязвимости этих продуктов в БДУ ФСТЭК и CVE — непрерывно, а не раз в год перед проверкой.
- Устранять их в установленные сроки. Если ваша система подпадает под приказ ФСТЭК № 117 (он распространяется на ГИС и иные информационные системы государственных органов, ГУП и государственных учреждений), сроки заданы через уровни опасности: уязвимости критического уровня опасности устраняются в срок не более 24 часов, высокого уровня опасности — не более 7 календарных дней. Для среднего и низкого уровней сроки организация устанавливает во внутреннем регламенте сама. Для систем вне области действия № 117 сроки определяются собственным регламентом и требованиями профильных приказов (№ 21 для ИСПДн, № 239 для КИИ). Сам уровень опасности рассчитывается по «Методике оценки уровня критичности уязвимостей программных, программно-аппаратных средств» (утверждена ФСТЭК России 30 июня 2025 года, заменила методику от 28 октября 2022 года) — она опирается на CVSS с учётом контекстных факторов: наличия эксплойта и признаков реальных атак. Цепочка такая: оценка по методике → уровень опасности → срок устранения по приказу № 117.
Если сертифицированное СЗИ стоит у вас три года без обновлений, а в БДУ на него накопилось полтора десятка записей — формально у вас есть сертификат, а фактически есть незакрытые уязвимости на средстве защиты. Инспектор ФСТЭК спросит именно про второе.
⚡ Проверьте, сколько уязвимостей у вашего сертифицированного СЗИ Откройте карточку вашего средства в реестре СЗИ — там же показаны связанные с ним записи из банка данных угроз ФСТЭК. Часто это неприятный сюрприз: сертификат есть, а уязвимости с эксплойтами — тоже.
Типичные ошибки при закупке СЗИ
Ошибка 1. Смотрят только на наличие сертификата. Есть сертификат — значит, подходит. Не проверяют ни уровень доверия, ни версию.
Ошибка 2. Путают уровень доверия и класс защиты. Берут СЗИ 4 класса, думая, что это и есть 4 уровень доверия. Это разные параметры.
Ошибка 3. Ставят версию, на которую сертификат не распространяется. Сертификат на 3.2, в проде 5.1. Формально — незащищённая система. Лечится учётом СЗИ с версиями: если вы не знаете, какая версия реально стоит, вы не знаете и покрыта ли она сертификатом.
Ошибка 4. Не следят за сроком. Сертификат истёк в прошлом квартале, никто не заметил.
Ошибка 5. Считают, что сертификат заменяет управление уязвимостями. Самая дорогая ошибка — см. раздел выше. Управление уязвимостями — отдельный процесс: мониторинг БДУ ФСТЭК, привязка находок к активам и контроль устранения.
Что писать в документах: формулировки для ТЗ и модели угроз
Уровень доверия СЗИ — это не абстракция для галочки. Он попадает минимум в три документа, и в каждом звучит по-своему.
Техническое задание на закупку. Требование к средству формулируется через приказ 76 ФСТЭК напрямую:
«Средство защиты информации должно иметь действующий сертификат соответствия ФСТЭК России, подтверждающий соответствие требованиям по безопасности информации, устанавливающим не ниже 4 уровня доверия (приказ ФСТЭК России от 2 июня 2020 г. № 76), а также требованиям к средствам защиты информации класса (указывается конкретный класс для вашего типа СЗИ)».
Два замечания. «Не ниже» защищает вас, если вендор предложит средство с более высоким (то есть меньшим по номеру) уровнем. А вот класс защиты нельзя писать универсально: он зависит от типа средства (межсетевой экран, СЗИ от НСД, антивирус) и применимого профиля защиты. Требуемый класс берите из своих документов, а не из шаблона.
Модель угроз. Здесь уровень доверия применяемого СЗИ фиксируется как характеристика выбранного средства. Проверяющий сверяет не «потенциал нарушителя против уровня доверия» — такого правила в приказе нет, — а согласованность цепочки: категория значимости КИИ (класс ГИС, УЗ ИСПДн) → требуемый уровень доверия по пункту 4 → уровень доверия в сертификате фактически применённого средства.
Модель угроз и акт классификации / категорирования. Класс ГИС, категория значимости КИИ или уровень защищённости ИСПДн — именно из этого документа вытекает требуемый уровень доверия. Если организационно-распорядительные документы по ИБ ведутся вручную, эта цепочка рассыпается первой. Цепочка такая: категорирование → требуемый уровень доверия → выбор конкретного СЗИ → сертификат, где этот уровень подтверждён.
Разрыв в этой цепочке — типичная находка на проверке. Система отнесена к первой категории, а в эксплуатации стоит средство с сертификатом на шестой уровень доверия. Формально документы есть, фактически требование не выполнено.
Как это автоматизировать
В Excel всё это превращается в ручную рутину: следить за сроками сертификатов, сверять версии, мониторить БДУ по каждому продукту, раздавать задачи и держать сроки по приказу № 117.
SGRC-платформа КиберОснова связывает три реестра в один процесс:
- реестр ИТ-активов — что и где реально установлено, включая версии ПО;
- реестр сертифицированных СЗИ — какие сертификаты, уровни доверия и сроки;
- банк данных угроз ФСТЭК — какие уязвимости есть у ваших продуктов прямо сейчас.
Банк данных угроз импортируется автоматически, уязвимости связываются с конкретными активами и версиями, а по ним заводятся задачи ИБ с исполнителем и плановой датой — и система контролирует статус устранения. Ко времени проверки у вас не «папка с сертификатами», а реестр с историей: что нашли, что закрыли, когда и кто.
Что дальше
Три практических шага, которые стоит сделать после прочтения:
- Соберите список СЗИ, которые реально работают в вашей инфраструктуре, с версиями.
- Проверьте сертификаты — в реестре: действуют ли, тот ли уровень доверия, та ли версия.
- Посмотрите уязвимости этих продуктов в банке данных угроз — и оцените, сколько из них у вас не закрыто.
Третий шаг обычно и оказывается неприятным сюрпризом.
Хотите пройти эти три шага за один вечер, а не за квартал? Покажем на вашей инфраструктуре, как связать реестр ИТ-активов, сертификаты СЗИ и уязвимости из БДУ в один управляемый процесс. Запросить демонстрацию КиберОснова →
Если вы отвечаете за выполнение требований ФСТЭК целиком, а не только за выбор СЗИ — посмотрите, как устроено выполнение приказов ФСТЭК и аудит ИБ на платформе.