Некоторые основные требования к сертификации средств защиты информации в критической информационной инфраструктуре:

• Определение уровня защиты. 1 Перед началом сертификации устанавливают группу персональных данных, с которыми работает программное обеспечение, возможные угрозы и необходимый уровень защиты. 1 В зависимости от категории объекта критической информационной инфраструктуры устанавливают разные классы защиты: 2
• 1-я категория: средства защиты информации не ниже 4-го класса, а также средства вычислительной техники не ниже 5-го класса. 2
• 2-я категория: средства защиты информации не ниже 5-го класса, а также средства вычислительной техники не ниже 5-го класса. 2
• 3-я категория: средства защиты информации 6-го класса, а также средства вычислительной техники не ниже 5-го класса. 2
• Проверка отсутствия недекларированных возможностей. 2 В значимых объектах 1-й и 2-й категорий значимости применяют сертифицированные средства защиты информации, прошедшие проверку не ниже 4-го уровня контроля. 2
• Соответствие инструкциям по эксплуатации. 35 Средства защиты информации должны применяться в соответствии с инструкциями, разработанными разработчиками, и иной эксплуатационной документацией. 35
• Обеспечение гарантийной и технической поддержки. 35 При выборе средств защиты информации учитывают возможное наличие ограничений со стороны разработчиков или иных лиц на применение этих средств на любом из принадлежащих субъекту критической информационной инфраструктуры значимых объектов. 3
• Определение порядка применения. 3 Субъект критической информационной инфраструктуры определяет порядок применения средств защиты информации в организационно-распорядительных документах по безопасности значимых объектов с учётом особенностей своей деятельности. 3

Требования к сертификации средств защиты информации в критической информационной инфраструктуре содержатся, в частности, в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК). 1