15 мая 2017 года

Данное разъяснение появилось в связи с тем, что в последнее время клиентам компании «Доктор Веб» стали поступать не соответствующие действительности так называемые «Обоснования выбора предлагаемых сертифицированных средств защиты информации», провоцирующие клиентов прекратить использование продуктов Dr.Web Enterprise Security Suite и перейти на другой российский антивирус.

1. В соответствии с п. 3 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) Правительство РФ в Постановлении от 01.11.2012 № 1119 утвердило «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление об утверждении Требований). Данные требования различаются в зависимости от уровня защищенности персональных данных (далее — ПДн) в информационной системе персональных данных (далее — ИСПДн).
2. Согласно подп. в) п. 12 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», — для обеспечения в ИСПДн 4 уровня защищенности ПДн применяются средства антивирусной защиты не ниже 5 класса.
3. Одним из требований для ИСПДн 4 уровня защищенности является использование средств защиты информации (далее — СЗИ), прошедших процедуру оценки соответствия (сертификация).
4. Средство антивирусной защиты (далее — САВЗ) подлежит обязательной сертификации в системе сертификации ФСТЭК России (п. 1.6 «Положения о сертификации СЗИ по требованиям безопасности информации», утв. Приказом председателя Гостехкомиссии при Президенте РФ от 27.10.1995 г. № 199), поскольку предназначено для защиты информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством РФ, в том числе сведений, составляющих государственную тайну, и присутствующее в Перечне средств защиты информации, подлежащей обязательной сертификации (Приложение № 1 к указанному Положению). В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.
5. Для САВЗ предусмотрена также обязательная сертификация в системе сертификации ФСБ России и системе сертификации Минобороны России — в том числе для антивирусной защиты в информационных системах, принадлежащих данным государственным органам или подведомственным им органам и организациям.

В связи с вышеизложенным утверждение из так называемых «Обоснований» о том, что САВЗ для использования в ИСПДн обязательно должно иметь как сертификат ФСТЭК России, так и сертификат ФСБ России, не основано на нормах законодательства РФ.

Правила о проведении оценки соответствия (сертификации) СЗИ для использования, в том числе в ИСПДн, содержатся исключительно в нормативных правовых актах, например ст. 19 Закона, Постановлении об утверждении Требований, Постановлении Правительства от 26.06.1995 № 608 «О сертификации средств защиты информации» и т. д.

Таким образом, Dr.Web Enterprise Security Suite соответствует требованиям, предъявляемым к САВЗ для защиты ИСПДн.

Реестр сертификатов и лицензий компании «Доктор Веб»