Сертификаты фстэк. О сертификации Порядок сертификации программного обеспечения фстэк

IT-инфраструктура ,

Сетевые технологии

Недавно прошёл аттестацию на соответствие требованиям ФСТЭК России . ЦОД Rucloud спроектирован в соответствии с категорией надёжности TIER III согласно стандарту TIA-942 (резервирование N+1 с уровнем отказоустойчивости 99,98%). Получение аттестата ФСТЭК стало логичным шагом, соответствующим политике RUVDS: обеспечение защиты данных клиентов остается одним из важнейших направлений нашего развития. Что такое ФСТЭК и зачем нужна сертификация? Что это означает для нас и наших клиентов? Об этом – ниже.

Информационной безопасности в нынешнее неспокойное время уделяется особое внимание. Вопросы ИБ – важная часть задач, решаемых государственными учреждениями и организациями, коммерческими компаниями при разработке и эксплуатации информационных систем, баз персональных данных. В связи с этим, необходимо учитывать требования международного и российского законодательства к информационным системам, предназначенные для работы с подобной информацией.

С каждым годом ужесточаются требования отечественных регуляторов: Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Министерства обороны, Службы внешней разведки, Федеральной службы охраны, Министерства связи и массовых коммуникаций, Банка России. Каждый из них действует в своей сфере компетенции, описанной законодательством.

Если, например, ФСБ «отвечает» за криптографию, а ФСТЭК – «за всё остальное» (межсетевые экраны, антивирусы, системы предотвращения вторжений и т. п.).

Сертификация ФСТЭК

Почему сертификация ФСТЭК? Именно ФСТЭК России, помимо прочей деятельности, осуществляет следующие полномочия: «организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры».

Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. В данном случае речь идет о РОСС RU.0001.01БИОО – «Системе сертификации средств защиты информации по требованиям безопасности информации».

Существуют различные требования ФСТЭК по защите тех или иных видов конфиденциальной информации. По итогам процедуры подтверждения соответствия того или иного программного или программно-аппаратного средства требованиям по безопасности выдается сертификат. Или не выдается – зависит от результата.

Оценка соответствия применяется во многих областях, и ИБ - не исключение. В зарубежной практике существует стандарт ISO IEC 15408:2009, специально предназначенный для описания критериев оценки ИТ с точки зрения информационной безопасности. В России действуют свои средств защиты.

Безопасность ЦОД

К программному обеспечению, которое используется для построения ключевых систем информационной инфраструктуры, и к самим этим системам предъявляются особые требования. Кроме того, в ЦОД размещаются ценные информационные активы компаний и организаций, защита которых должна обеспечиваться на должном уровне и с учетом угроз информационной безопасности, требований законодательства России и регуляторов.

К ЦОД предъявляются требования , 21-го, 17-го, 31-го приказов ФСТЭК России, требования ФСБ России по криптографической защите информации, требования Банка России, ФЗ-256 «О безопасности объектов топливно-энергетического комплекса». И это только основные требования.

Например, согласно 152-ФЗ «О персональных данных», системы обработки и хранения персональной информации россиян должны не только располагаться на территории нашего государства, но и соответствовать предъявляемым законодательством требованиям в области безопасности. Особенно это касается операторов коммерческих ЦОД, для которых сохранность и безопасность информации клиентов является одним из ключевых критериев оценки качества.

С момента вступления в силу 152-ФЗ обработка персональных данных, включенных в информационные системы, осуществляется в соответствии с данным законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению.

Согласно федеральному закону 149-ФЗ, все программное обеспечение в государственных, правоохранительных, финансовых и других структурах, обрабатывающих служебную информацию, подлежит сертификации ФСТЭК. Закон разрешает таким организациям использовать только сертифицированное ПО.

Если в коммерческом, корпоративном или государственном ЦОД хранятся персональные данные, из требований законодательства в числе прочего вытекают также необходимые меры по их физической защите. Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных. Исходя из этого, выбирается класс защищенности ЦОД по нормам ФЗ и ФСТЭК и обеспечивается , в том числе и физическая. Наиболее сбалансированный способ обеспечить физическую безопасность ЦОД - реализовать многоуровневую защиту (с несколькими периметрами безопасности). Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности.

Наряду с организационными мерами и документирование комплекс мер по защите персональных данных предполагает внедрение технических средств защиты. По сложившейся практике это круглосуточное присутствие в ЦОД и на его территории специально обученной вооруженной охраны, а также средства видеонаблюдения, охватывающие внешний периметр ЦОД и внутренние помещения.
На организации, владеющие персональными данными граждан, накладывается ответственность и за сохранность этих данных. Необходимые меры физической защиты прямо или косвенно следуют также из других стандартов и нормативов – международных и национальных, таких как TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 и др.

В отношении физической безопасности выделяют следующие требования: организация режима обеспечения безопасности помещений, контроль физического доступа к инфраструктуре, в том числе к помещениям и сооружениям, контроль вноса и выноса оборудования, включая машинные носители. Важное внимание уделяется несанкционированному доступу к информации. Правильное построение и документирование процедур контроля доступа позволяют соблюсти необходимые требования по обеспечению физической безопасности.

Какие же именно системы и средства аттестованы в нашем дата-центре?

Что аттестовано?

В ЦОД RUVDS аттестованы автоматизированные рабочие места сотрудников (антивирусная защита, защита от взлома информационной системы), средства вывода (принтер), контроль доступа в помещение, средства защиты от прослушивания. В частности, аттестат системы контроля и управления доступом (СКУД) гарантирует надёжность физической безопасности серверов ЦОД.

Все действия постоянно протоколируются, активность за рабочим местом проверяется на подозрительную и при необходимости, может быть заблокирована с оповещением ответственных лиц. Используется сертифицированное программное обеспечение, начиная с сертифицированной ФСТЭК ОС Windows и специализированного ПО для контроля доступа и фильтрации трафика до антивирусной защиты и гипервизора.

Таким образом, защищается рабочее пространство, которое имеет прямое отношение к данным клиентов. Это делается средствами ОС на рабочих станциях, баз данных, специализированными защитными и антивирусными продуктами, межсетевыми экранами, средствами контроля доступа (СКУД), резервного копирования и восстановления, уничтожения данных и контроля удаления информации.

Если клиент попросит вынести свою инфраструктуру на отдельную машину, можно полностью защитить и ее, к примеру, установить туда VipNet, SecretNet, какие-то специальные антивирусы. И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.

Исключается этап аттестации ИТ-инфраструктуры заказчика, тем самым до 50% снижается объем требуемых трудозатрат и времени, значительно сокращается требуемый размер инвестиций, существенно облегчается процесс аттестации информационных систем.

Что касается персональных данных, то наши серверы физически находятся в Российской Федерации, RUVDS имеет также лицензии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №137295 от 30.10.2015 («Телематические услуги связи») и №137296 от 30.10.2015 («Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации»), так что по поводу исполнения данного федерального закона вы можете быть спокойны.

Для чего сертифицируют ЦОД

Получение подтверждающих документов говорит о и предлагаемых им услуг. Сертификация, в первую очередь, подтверждает ответственность компании перед всеми клиентами (не только теми, кто работает с конфиденциальной информацией). Сам процесс лицензирования по нормативам ФСТЭК является длительным и довольно затратным. Его просто не могут себе позволить небольшие участники рынка или участники, заинтересованные в сиюминутной выгоде от проекта.

Получение лицензии ФСТЭК - это инвестиции в стратегическое развитие компании. Лицензия ФСТЭК не только подтверждает компетентность компании для работы с персональными данными, но и дает возможность предлагать услуги компаниям, в том числе из государственного сектора, которые обязаны соблюдать требования по защите конфиденциальной информации, например, сами обладают лицензией ФСТЭК и передают нам как провайдеру услуг данные, которые подлежат защите по нормативам ФСТЭК.
Помимо и резервирования на уровне дата-центра и сертификации ФСТЭК, RUVDS персональных данных и корпоративной информации третьих лиц. Кроме общего страхования, RUVDS совместно с AIG планирует предложить своим клиентам уникальные условия индивидуального страхования их деятельности и данных на компании.

И, конечно, в нашем дата-центре ваши ресурсы будут : анализ сетевого трафика производится в режиме 24/7, а защита позволяет стабильно выдерживать атаки мощностью до 1500 Гбит/сек. Аналитическая система фильтрует входящий на ваш адрес трафик, удаляет вредоносную информацию, передавая на вашу сторону только легитимный безопасный трафик.

Теги:

• RuVDS
• ФСТЭК
• сертификация

Добавить метки

Операционные системы "Microsoft Windows 8.1", "Microsoft Windows 8.1 Профессиональная", "Microsoft Windows 8.1 Корпоративная"

Сертификат № 3263

07.11.2014 07.11.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.

Операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная"

Сертификат № 2180/1

04.10.2011 04.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:

Серверные операционные системы

Программный комплекс "Microsoft Windows Server 2012 Standard"

Сертификат № 2949

06.09.2013 05.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-002-82487552-2013 01 St ФО и 501110-002-82487552-2013 02 St ФО.

Ограничения по применению

1. Программный комплекс "Microsoft Windows Server 2012 Standard" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
2. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2012 Datacenter"

Сертификат № 2950

06.09.2013 06.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2012 Datacenter" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition"

Сертификат № 1928

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Standard Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Сертификат № 1928/1

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition"

Сертификат № 1929

27.10.2009 26.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Сертификат № 1929/1

14.05.2010 14.05.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно. серия ЗАО "Документальные системы"

Операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter

Сертификат № 2181/1

13.10.2011 13.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:
1.Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2.Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3.На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition"

Сертификат № 1930

29.10.2009 28.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ЗАО "Документальные системы"

СУБД

Система управления базами данных Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

Сертификат № 3518

15.02.2016 15.02.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ООО "Научно-производственное объединение вычислительных систем"

Система управления базами данных Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Сертификат № 2967

18.09.2013 18.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ЗАО "Документальные системы"

Офисные программные комплексы

Программный комплекс Microsoft Office. Professional Plus 2016

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. серия ЗАО "КЛИО"

Программный комплекс Microsoft Office. Professional Plus 2013

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ 5029-007-82487522-2013 серия ЗАО "Королевская лаборатория информационных объектов"

Программный комплекс Microsoft Office. Standard 2007

Сертификат № 1923

13.10.2009 13.10.2018 Программное средство общего назначения со встроенными стредствами защиты от несанкционированного доступа к информации

Соответствует ЗБ "Microsoft Office Standard 2007. Задание по безопасности. MS.Office_ST_2007.ЗБ. Версия 1.0", имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при выполнении ограничений.

Ограничения по применению:

• При использовании программного комплекса должны соблюдаться условия, определенные для среды функционирования в задании по безопасности MS.Office 2007.ЗБ.
• Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководством по безопасной настройке программного комплекса".
• Программный комплекс "Microsoft®Office. Standard 2007" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
• На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ООО "ЦБИ"

Межсетевые экраны и шлюзы

Программный комплекс UserGate UTM

Сертификат № 3905

23.03.2018 23.03.2021 Программно-техническое средство защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну Соответствует:
Требования к межсетевым экранам” (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.П3”. (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ”. (ФСТЭК России, 2016);
Требования к системам обнаружения вторжений" (ФСТЭК России, 2011);
Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.П3” (ФСТЭК России, 2012).
Может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г и информационных системах персональных данных (ИСПДн) и государственных информационных системах (ГИС) до 1 класса (уровня) защищенности включительно. Во исполнение требований ФСТЭК при сертификации пройден контроль отсутствия недекларированных возможностей по 4 уровню контроля. Серия АО "НПО "Эшелон"

Средства контроля доступа

Программный комплекс DeviceLock 8 DLP Suite

Сертификат № 3465

05.11.2015 05.11.2023 Программный комплекс, предназначенный для защиты информации от утечек, осуществляющий контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. Программный комплекс соответствует требованиям документов "Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России", утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 – по 4 классу защиты и "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)" (ФСТЭК России, 2014), руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999). Серия ООО "ЦБИ"

Средства резервного копирования и восстановления

Программный комплекс Acronis Backup & Recovery 11. Advanced Workstation

Сертификат № 2678

Программный комплекс Acronis Backup & Recovery 11. Advanced Server

Сертификат № 2677

16.07.2012 16.07.2021 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющее государственную тайну Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий, а также может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 1 класса включительно. Серия ООО "ЦБИ"

Антивирусные средства

Средства уничтожения данных и контроля удаления информации

Средства анализа защищенности

Програмнный комплекс Средство анализа защищенности RedCheck

Сертификат № 3172

23.06.2014 23.06.2020 Современное средство анализа защищенности, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий. серия ООО "ЦБИ"

Средства виртуализации

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну Соответствует требованиям технических условий при выполнении указаний по эксплуатации, приведенной в формуляре АЛМЮ.501000.ВМС06-01.30. серия ООО "ЦБИ"

Программный комплекс VMware Horizon 6 (в редакциях Standard, Advanced и Enterprise)

Сертификат № 3660

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ при выполнении указаний по эксплуатации, приведенных в формуляре АЛМЮ.501000.ВМХ06-01.30. серия ООО "ЦБИ"

Сертифицированные программные продукты, процедура сертификации программного обеспечения, требования безопасности, задачи ФСТЭК и ФСБ.

Согласно требования Федерального закона (Ф3) №781 и Постановления правительства РФ 17.11.07г., все вопросы в сфере защиты персональных данных возложены на ФСТЭК России и ФСБ России . Так же есть ряд уполномоченных представителей * , которые могут сертифицировать программное обеспечение (ПО). Согласно требованиям нормативных документов, использование сертифицированных средств защиты информации обязательно во всех информационных системах обработки персональных данных с 1-го по 3-й класс включительно (все рабочие станции и серверы по обработке персональных данных).

Процедура сертификациии программного обеспечения

Процедура сертификации ПО необходима в двух случаях:

1. сертификация разработчиками по собственному желанию (цели сертификации могут быть различными);
2. обязательная сертификация программного обеспечения (если ПО обрабатывает данные, потеря/утечка которых может причинить вред/ущерб частным лицам, компаниям, государственным и иным структурам).

Уведомление об обработке персональных данных и, соответственно, использование сертифицированных средств защиты информации не обязательно в случае :

• защиты персональных данных субъектов, с которыми у оператора имеются трудовые отношения (например, кадровый отдел в рамках одного юридического лица);
• данные используются для выполнения договора с Субъектом персональных данных (например, Договора оказания услуг и др.);
• персональные данные являются обезличенными (то есть отсутствует возможность точно идентифицировать субъекта персональных данных, например вес, рост, дата рождения и др. параметры, не привязанные к каким-либо уникальным идентификаторам (паспорт, ИНН и др.));
• персональные данные являются общедоступными (то есть данные, которые определены общедоступными данным или другими законами, например данные о кандидатах на выборные должности и др.).

Сертифицированное ПО (требования по безопасности)

• ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации по требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России и ФСБ России, что подтверждается Сертификатом соответствия.

• Копия сертификата соответствия(заверенная печатью заявителя) должна входить в комплект поставки сертифицированного ПО ;

ПО, дистрибутив, которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

• Верифицированный дистрибутив ПО, формуляр с указанием контрольной суммы дистрибутива и специальный голографический знак соответствия должны входить в комплект поставки сертифицированного ПО ;

ПО, механизмы защиты развернутой версии которого настроены в соответствии с сертифицированными параметрами. ПО сертифицируется на соответствие техническим документам (РД, ТУ или ЗБ) и с параметрами, указанными в этой документации.

• Комплект поставки сертифицированного ПО должен включать в себя документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации ;

ПО, все доработки (обновления) которого, критичные для безопасности, подвергаются сертификационным испытаниям, и доводятся до конечного пользователя. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.

• Комплект поставки сертифицированного ПО должен включать в себя всё необходимые инструменты для получение потребителем обновлений безопасности ;

ПО, контролируемое в процессе эксплуатации. ПО должно иметь средства контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.

• Комплект поставки сертифицированного ПО должен включать в себя необходимые программные средства (встроенные или наложенные), предназначенные для выполнения данных требований ;

ПО, каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.

• Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации ** .

Задачи ФСТЭК и ФСБ

Основными задачами ФСТЭК в сфере сертификации ПО являются:

• реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
• осуществление самостоятельного нормативно-правового регулирования вопросов:

1. обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
2. противодействия техническим разведкам;
3. технической защиты информации.

• осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях *** ;

Лицензирование ПО ФСБ России

Лицензированию, осуществляемому центром ФСБ России, подлежат:

• деятельность, связанная с использованием сведений, составляющих государственную тайну;
• деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
• деятельность, связанная с созданием средств защиты информации **** ;

Сведения о системе сертификации программного обеспечения

Все данные о системе сертификации средств защиты информации по требованиям безопасности можно найти на официальном сайте ФСТЭК ***** .

Сертифицированные продукты

На данный момент количество сертифицированных продуктов насчитывает 3154 позиции ****** . Практически все эти продукты вы можете найти на нашем сайте в разделе «

Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

Испытательная лаборатория ЗАО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям руководящих документов Гостехкомиссии России и включает в себя проверки продукции и документации на нее.

На железнодорожном транспорте, как правило, проводятся проверки программного обеспечения по требованиям руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Готовность Заявителя

Готовность программной документации по ГОСТ ЕСПД (ЕСКД)
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения

Сбор информации

Определение наименования и обозначения программного изделия
Определение объема исходного кода, подлежащего анализу на отсутствие НДВ
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
*НДВ – недекларированная возможность

Передача информации

Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.

Коммерческое предложение

Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.

Подготовка Заявки

Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее во ФСТЭК России.
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
Скачать бланк заявки на проведение сертификации можно ЗДЕСЬ.
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации

Получение Решения

Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний

Заключение договора

Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.

Анализ документации

Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
Формуляр (ГОСТ 19.501-78)
Спецификация (ГОСТ 19.202-78)
Описание программы (ГОСТ 19.402-78)
Описание применения (ГОСТ 19.502-78)
Текст программы (ГОСТ 19.401-78)

Разработка программы испытаний

По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.

Проведение испытаний

После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
анализ программной документации,
фиксация исходного состояния ПО,
испытания программного продукта (статические испытания исходного кода, динамический анализ)
Осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)

Результаты испытаний

Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
протоколы испытаний продукции,
техническое заключение,
акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.

Продукты Microsoft, сертифицированные ФСТЭК , с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

• каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
• каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Продукты Microsoft, сертифицированные другими уполномоченными органами , содержат дополнительное программное обеспечение, а именно сервисные пакеты, разработанные российскими организациями, которые позволяют этим продуктам Microsoft удовлетворять требованиям. Эти сервисные пакеты ‘Secure Pack Rus’ содержат в себе прежде всего российскую сертифицированную криптографию, которую Microsoft не производит.

Использование сертифицированных продуктов

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами. Поэтому Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков.

В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСТЭК

В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:

• клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
• клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
• серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
• серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
• система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
• платформа офисных приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
• платформа офисных приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
• межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия - на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
• антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
• сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
• серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
• система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
• платформа офисных приложений Microsoft Office Professional Plus 2007, русская версия;
• система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
• система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
• система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
• система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
• система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
• система управления предприятием Microsoft Dynamics AX 2009;
• система управления предприятием Microsoft Dynamics AX 4.0;
• система управления предприятием Microsoft Dynamics NAV 5.0;
• клиентская операционная система Windows 7 (все издания), русская и английская версии;
• серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии;
• сервер для управления бизнес процессами Microsoft BizTalk Server 2009 (все издания), русская версия;
• сервер управления идентификацией в гетерогенных системах Microsoft Forefront Identity Manager 2010, русская и английская версии;
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2010 (все издания), русская и английская версии;
• система управления сервисами в информационных системах Microsoft System Center Service Manager 2010, русская и английская версии;
• система управления отношениями с клиентами Microsoft Dynamics CRM 2011, русская версия;
• система управления предприятием Microsoft Dynamics NAV 2009 R2, русская версия;
• платформа офисных приложений Microsoft Office Professional Plus 2010, русская и английская версии;
• система антивирусной защиты Microsoft Forefront Endpoint Protection 2010, русская и английская версии;
• сервер документооборота Microsoft SharePoint Server 2010 (все издания), русская и английская версии;
• сервер коммуникаций Microsoft Lync Server 2010 Enterprise, русская и английская версии;
• система управления предприятием Microsoft Dynamics AX 2012 R2;
• клиентская операционная система Microsoft Windows 8 (версии Windows 8, Windows 8 Профессиональная, Windows 8 Корпоративная);
• серверная операционная система Microsoft Windows Server 2012 (версии Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
• система управления информационной структурой Microsoft System Center 2012 (версии Standard и Datacenter);
• система управления базами данных Microsoft SQL Server 2012 (версии Standard, Enterprise, Business Intelligence, Web);
• платформа офисных приложений Office Professional Plus 2013;
• сервер управления виртуальными структурами Microsoft Hyper-V Server 2012;
• система управления информационной структурой Microsoft System Center 2012 R2 (версии Standard и Datacenter);
• система управления отношениями с клиентами Microsoft Dynamics CRM 2013;
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 (версии Standard и Enterprise);
• сервер документооборота Microsoft SharePoint Server 2013;
• системы управления базами данных Microsoft SQL Server 2014 в редакциях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
• система управления отношениями с клиентами Microsoft Dynamics CRM Server 2015.

В соответствии с полученными сертификатами ФСТЭК, указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, те из них которые вышли поcле принятия ФЗ-152 «О персональных данных», сертифицированы и на соответствие законодательству о персональных данных.

В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:

• Lync Server 2013;
• Windows 8.1;
• Windows Server 2012 R2.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ другими уполномоченными органами

Следующие продукты Microsoft сертифицированы ФСБ:

• клиентская операционная система Microsoft Windows XP Professional, русская версия;
• серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
• сервер документооборота Microsoft SharePoint Server 2007;
• система управления базами данных Microsoft SQL Server 2008;
• Microsoft Windows 7 Professional, Enterprise и Максимальная все с SP1;
• Microsoft Windows 8 Professional и Enterprise;
• Microsoft Windows 8.1 Professional и Enterprise;
• Microsoft Windows Server 2008 Standard R2 и Enterprise R2 обе c SP1;
• Microsoft Windows Server 2012 Standard c SP1;
• Microsoft Windows Server 2012 R2 c SP1.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

• защите информации, не содержащей сведений, составляющих государственную тайну,
• защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Кроме того, уполномоченные органы сделали положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с национальными требованиями.

Недавно получены положительные заключения по результатам проведенных сертификационных испытаний следующих продуктов:

• Microsoft Exchange Server 2010.

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.