Фстэк реестр сертифицированных

Исключение из реестра ФСТЭК сертифицированных решений с уязвимостями

В апреле этого года, выступая с докладом на Форуме АЗИ, Виталий Сергеевич Лютиков (начальник управления ФСТЭК России), говоря про Базу уязвимостей, рассказал, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. В июне он же привёл пример с Heartbleed:

Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде.

Сильно подозреваю, что множества нерадивых разработчиков из апрельского и июньского примеров полностью совпадают.

Но бывают и иные парадоксальные ситуации. Вот, например, ФСТЭК 23 июня опубликовал уязвимость 2015-10509 (Уязвимость операционной системы Cisco IOS, позволяющая нарушителю вызвать отказ в обслуживании). Уровень опасности у данной уязвимости средний, производителем она подтверждена и ещё 22 июня была устранена. Версии IOS, в которых присутствовала данная уязвимость — 12.2 12.2(33).

Навскидку в реестре ФСТЭК я насчитал пять действующих сертификатов, в которых заявлена IOS именно 12.2(33):

Действующие сертификаты на IOS 12.2(33)

Получается, что где-то в России есть аттестованные автоматизированные системы, в которых используются эти сертифицированные экземпляры оборудования Cisco с уязвимой прошивкой?

Парадоксальность тут заключается в том, что перед владельцем стоит выбор: установить обновление, нарушив тем самым контрольную сумму и, фактически, самому лишить себя сертификата ФСТЭК и аттестата на автоматизированную систему (за которые, между прочим, он заплатил) или продолжать использовать уязвимый продукт.

Налицо классический конфликт бумажной и реальной безопасности. Кстати, заявителем по двум из приведённых сертификатов выступает Банк России и лично мне, как гражданину РФ, больше хотелось бы, чтобы сотрудник Банка России, ответственный за эксплуатацию (теперь) уязвимого оборудования выбрал бы всё-таки безопасность реальную.

В общем, конечно, каждый владелец делает свой выбор самостоятельно, оценивая риски обоих вариантов, но вот со стороны ФСТЭК России было бы логично не просто вести отдельно Базу уязвимостей и отдельно Реестр сертифицированных средств защиты информации, а объединить эти два процесса в одно целое.

Например, при публикации уязвимости можно было бы сразу указывать конкретные номера сертификатов на изделия, к которым эта уязвимость относится. Особенно это актуально, если схема сертификации — серия, что предполагает широкий круг пользователей.

В случае с сертификатами на отдельные экземпляры логично было бы уведомлять заявителей и давать им какие-то рекомендации о том, что можно предпринять — не всегда ведь установка патча является единственным вариантом, часто бывают доступны варианты обхода уязвимости (Workarounds) путём правильной конфигурации или отключения каких-либо функций.

Наконец, в случае отсутствия реакции со стороны производителя как в примерах с Shellshock и Heartbleed или со стороны заявителя вполне разумно вообще приостанавливать действие сертификата, особенно если речь идёт о критических уязвимостях. По сути своей уязвимый продукт ведь действительно не выполняет защитных функций в полном объёме и сертификат на него, строго говоря, бессмысленен.

Самым же правильным вариантом, конечно, является организация доверенной системы обновлений для средств защиты таким образом, чтобы установка патча не нарушала условия эксплуатации изделия и сертификат на него оставался действующим. Ждём нужных и давно назревших документов от ФСТЭК России по этому вопросу. Активность и здравомыслие в действиях её сотрудников в последнее время позволяет надеятся на благополучное разрешение данного вопроса.

Кстати, пример с Cisco приведён не из злого умысла — проблема общая и никак с конкретной компанией не связана. К Cisco тут вопросов нет, не то что к той ватаге смельчаков, незакрывающих уязвимость Shellshock с сентября прошлого года, а Heartbleed и вовсе с апреля 2014 года. Быть может, пора уже ФСТЭК их публично назвать?

Ещё материалы по теме сертификации и ФСТЭК:

zlonov.ru

Следим за реестрами ФСТЭК

Есть на сайте ФСТЭК помимо прочей информации, которую, к слову, порой найти довольно сложно, такой полезный документ какP Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 . Хочу поделиться небольшим советом, как отслеживать изменения в нём иначе, чем вручную.

Собственно, сама дата последней актуализации указана в явном виде на странице с реестром («1.Дата обновления» — см. рис. ниже), но меня интересовало автоматическое уведомление о произошедших изменениях. Сначала пытался отслеживать обновления страницы с помощью сервиса page2rss, о котором писал ранее , но в силу специфики самой страницы работал метод, честно говоря, не очень.

Глядя на картинку, вы уже наверняка догадались (а может, в отличие от меня, и раньше знали) о гораздо более простом способе. Реестр выложен не только в виде .ods файла, доступного для скачивания, но и на Google Диск, поэтому нужно лишь авторизоваться под своей учётной записью («2.Вход в Google«) и в Инструментах выбрать пункт Уведомления («3.Настройка уведомлений«).

Дальше просто добавляем правило по автоматическому уведомлению об изменениях по электронной почте. Например, так:

На сайте, конечно, есть некое подобие новостной ленты с обновлениями, правда устроена она как-то странно:P http://fstec.ru/novosti/2013/10 , а RSS-подписка и вовсе не работает:P http://fstec.ru/rss-lenta?format=feed&type=rss , но даже если её и починят, то всё равно будет не удобно, так как придётся просматривать все изменения всех документов, даже если интересует только один реестр.

Аналогично можно следить и за другими реестрами на сайте ФСТЭК:

К сожалению, для отслеживанияP Перечня средств защиты информации, сертифицированных ФСБ России такого же простого способа мне пока найти не удалось.

www.securitylab.ru

Сертифицированная ОС и ИСПДн

nick,
с понятием «сертифицированный» можно очень легко попасть впросак. Дело в том, что требования по защите ИСПД и требования, по которым проводится сертификация, — это РАЗНЫЕ требования.

Есть дистрибутивы Windows, сертифицированные по ГОСТ 15408 (на соответствие заданию по безопасности). Сами задания по безопасности вы можете найти на сайте Microsoft. При сравнении (если не сломаете мозг об формулировки из ГОСТ 15408), увидите, что требования из ЗБ покрывают очень небольшую часть требований из методических документов ФСТЭК по ПД.

Вы имеете полное право подтверждать выполнение части требований сертифицированной ОС (при условии, что купите именно сертифицированный дистрибутив у авторизованного поставка — см. реестр сертифицированных средств), но оставшиеся требования методических документов все равно придется закрывать наложенными средствами защиты.

Упоминание «и может применяться для . » — исключительно маркетинговый ход, в принципе, на эту приписку можно и не обращать внимания.

То же самое касается сертификации по ТУ и по РД Гостехкомиссии.

Использование сертифицированных СЗИ необходимо как вода. Например Страж NT или Secret Net, если кто в «Страшилке не разобрался». Сертифицированныая ОС — Звучит смешно, но по бумажкам. Для того, чтобы обеспечить безопасность ИСПДн встроенных средств явно не хватит, не говоря уж о том, что в лимардах строчек Мелкосовтовского кода Windows где то да присутствуют дырочки. Например закрытая отправка данных. Тут проблема в другом. Какую СЗИ выбрать =) Для конфи пойдет Секретнет, а для ГТ по моему все же Страж NT.

Интересно, есть ли какая нибудь сертифицированная *nix ОС?

www.itsec.ru

Сертификационное производство

Производство программно-технических средств защиты информации, сертифицированных в соответствии с требованиями ФСТЭК России.

Начиная с 2007 года компания АМТ-ГРУП осуществляет производство программно-технических средств защиты информации (ПТСЗИ), соответствующих требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Средства защиты информации созданы на базе оборудования компаний Cisco. Выпускаемые АМТ-ГРУП ПТСЗИ входят в Государственный реестр сертифицированных средств защиты информации ФСТЭК России. АМТ-ГРУП стала первой на российском рынке компанией, получившей право на серийный выпуск отвечающих требованиям ФСТЭК России ПТСЗИ на основе продуктов компании Cisco.

Выполнение требований законодательства

Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системах обработки конфиденциальной информации и информационных системах персональных данных (ИСПДн), подлежат обязательной сертификации. Сертификация ПТСЗИ подтверждает, что данное оборудование соответствует требованиям российского законодательства и ФСТЭК России.

Наличие у АМТ-ГРУП сертификатов соответствия продуктов Cisco требованиям ФСТЭК России по защите конфиденциальной информации позволяет заказчикам приобретать уже сертифицированные изделия, что значительно сокращает время поставки оборудования и ввода автоматизированных систем в эксплуатацию.

Услуги АМТ-ГРУП

Специалисты АМТ-ГРУП проводят испытания ПТСЗИ на соответствие требованиям ФСТЭК России и предоставляют заказчикам сертифицированные ПТСЗИ c необходимым комплектом документов, в состав которого входят:

  • специальный защитный знак соответствия сертификату (голографический знак ФСТЭК России, маркирующий сертифицированное оборудование);
  • заверенная копия сертификата соответствия в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.
  • www.amt.ru

    Фстэк реестр сертифицированных

    Как это ни грустно, и что бы мы ни думали о возможности неиспользования сертифицированных средств защиты, но ситуация практически полностью совпадает с известным подходом: «Вы не согласны с результатами проверки? Ваше право! А пока мы заблокируем ваши счета». Поэтому рано или поздно (а для государственных органов и компаний, которым требуется обеспечить защиту гостайны — всегда) приходится обращаться к вендорам за соответствующим ПО. И тут начинается самое интересное.

    Как вы думаете, что у нас просят? Для тех, кто сталкивался, ответ загадкой не является: «Нам нужен сертифицированный продукт». Для тех, кто не в курсе, такой запрос фактически соответствует знаменитому анекдоту: «Петька, прибор! 45! Что 45? А что прибор?»

    Но не будем жаловаться! Вашему вниманию предлагается список типичных граблей, на которые наступают заказчики, желающие использовать сертифицированные антивирусные средства.

    Внимание! Несмотря на то, что правила сертификации, поставки и обслуживания одинаковы для всех компаний, действующих на рынке, возможны мелкие вариации в составе сертифицированных версий, уровне сертификации и т. д. В связи с этим везде, где упоминаются конкретные случаи, указывается наименование компании. Дело в том, что поставка сертифицированных продуктов возможна только в коробке и соответственно автор пощупать руками все коробки всех поставщиков был не в состоянии. Если Хабражители обнаружат ошибку или укажут на иной подход для какой-то компании, соответствующие исправления будут с благодарностью приняты и внесены в статью.

    Нам нужен сертифицированный продукт!

    К сожалению, поставщику это ничего не говорит. У «Доктор Веб» сертифицирована вся линейка (http://company.drweb.ru/licenses_and_certificates/?lng=ru), у «Лаборатории Касперского» – отдельные продукты (http://www.kaspersky.ru/about/why/certificates/certificates-government), у остальных вендоров, как правило, сертифицируется один, наиболее продаваемый, продукт. «Доктор Веб» сертифицирует все продукты по максимальному уровню, у Лаборатории Касперского для разных продуктов сертификация происходит на различные уровни, остальные вендоры сертифицируют продукты по минимально требуемому уровню. И так далее.

    Какую информацию в результате должен предоставить поставщику клиент, чтобы не промахнуться (поставщик-то поставить может все, что угодно, но вряд ли клиент обрадуется, когда в ходе развертывания поймет, что купленный им продукт не работает)?

    1. Тип сертификата. По каким требованиям должен быть сертифицирован продукт — ФСТЭК, ФСБ, МО, 1С, Газпром и т. д. Достаточно часто заказчики сами не определились, какие сертификаты им нужны. А разница весьма существенна. Скажем, сертифицированные для МО и по требованиям ФСТЭК продукты вполне могут не совпасть по системным требованиям и по требованиям систем сертификации. В системе сертификации МО сертификация осуществляется в том числе и на соответствие реальных и декларируемых в документации функциональных возможностей.
    2. Уровень защиты. Для разных сертификатов уровни разные. Если требуется продукт, сертифицированный по ФСТЭК, то в большинстве случаев достаточно назвать уровень секретности: совершенно секретно, ДСП и т. д. Достаточно часто заказчики не следят за изменением законодательства и называют отмененные уровни – скажем, для персональных данных просят сертифицированные продукты для первого класса.
    3. Что нужно защитить. Рабочие станции, файловые серверы, почтовые серверы, шлюзы – мы не шаманы и не можем угадать состав сети заказчика. Достаточно часто нам говорят: вы нам предложите, а мы сами разберемся. Почему-то заказчики считают, что все варианты защиты можно изложить в презентации на 20 минут максимум. Не получится. В результате после долгих мучений вдруг выясняется, что у заказчика (например) используется достаточно редкий почтовый сервер или операционная система – и как мы об этом можем догадаться?
    4. Операционная система, название почтового сервера, шлюза (с битностью, сервиспаками и т. д.). О проблемах, которые в этом отношении вызвали Профили защиты, мы еще поговорим, пока лишь скажем, что зачастую используются устаревшие операционные системы, которые уже никто не поддерживает. DOS, NT4, старые версии Линукс и т. д.
      Так, ОС МСВС 3.0 имеет ряд сборок, сильно отличающихся по используемым компонентам (в том числе ядром, библиотекой glibc и версией Squid), но версия ОС – одна и та же. Поэтому перед покупкой или поставкой продукта необходимо убедиться в совместимости решений компании «Доктор Веб» с ОС МСВС 3.0. Список поддерживаемых версий ОС МСВС 3.0 находится в документации по продуктам.
    5. Использование сертифицированных версий операционных систем, шлюзов почтовых серверов и т. д. К сожалению, не все компании, которые разрабатывают и сертифицируют ПО, работают с производителями софта, который потом будет устанавливаться на это сертифицированное ПО. Нет какого-то компонента – и все, до ближайшего инспекционного контроля ничего поделать нельзя. А инспекционный контроль недешев и небыстр.
    6. Использование средств, ограничивающих работу ПО. Доверенная загрузка, мандатный доступ, запрет на запуск кода из области данных – если что-либо из этого списка используется, обязательно указывайте! Скажем, сейчас достаточно часто используют доверенную загрузку. Но МО не определило в своих требованиях ее использование. В результате в сертификате о возможности работы при ее использовании – ни слова. И что делать заказчику?

    А у вас есть продукт, сертифицированный под требования 152-ФЗ?

    Наипопулярнейший вопрос, которым в свое время начинался, продолжался и заканчивался рабочий день.

    Федеральный закон 152-ФЗ не содержит требований к продуктам и поэтому продукт сертифицировать на соответствие этому закону нельзя! Миф запустила компания Eset. Компания «Лаборатория Касперского» мгновенно выпустила опровержение. Аналогично поступил и «Доктор Веб». Но миф уже зажил своей жизнью. В результате всем компаниям прошлось получать письма от ФСТЭК, что такой-то продукт может использоваться… вплоть до К1.

    Сейчас поток таких запросов сошел на нет, но я включил вопрос в список в качестве примера того, как просто создаются мифы.

    Как узнать о наличии сертифицированных решений?

    Полный список сертифицированных решений размещается на сайте сертифицирующей организации. Так, для Федеральной службы по техническому и экспортному контролю (ФСТЭК России) список находится в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации» (http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii).

    Почему вашего продукта нет в реестре?

    В реестр ФСТЭК о сертифицированных СЗИ информацию вносят раз в три месяца. Скажем, следующее обновление информации о сертифицированных СЗИ будет в декабре. Таким образом, если компания получает сертификат или продлевает его – информация об этом событии может официально отсутствовать до трех месяцев.

    Хочу сертифицированную версию!/Почему у вас в релизе продукт версии ххх, а сертифицирован yyy?

    Сертификация – вещь не только весьма дорогая, но и весьма длительная. Для получения основных сертификатов — ФСТЭК и ФСБ – требуется никак не менее полугода. А то и восемь месяцев. При этом завершение сертификации еще не означает, что сам сертификат появится в компании, – на это тоже требуется время. Бюрократия-с.

    Зачастую сертификация продукта заканчивается тогда, когда подходит к концу разработка следующей, гораздо более функциональной и эффективной версии. В итоге вполне возможна ситуация, когда пользователи сертифицированной версии получают меньшую защищенность, чем с несертифицированной версией.

    Почему у вас на сайте нет сертификата для МО?

    Сертификаты МО РФ не размещаются на сайте в связи с тем, что имеют статус документов ДСП. Заверенные копии этих сертификатов предоставляются по официальному запросу.

    А мы нашли уязвимость! Хотим обновленную версию!

    Выпуск обновленной сертифицированной версии возможен только через процедуру Инспекционного контроля. По срокам это примерно месяца три и тоже стоит немалых денег. Поэтому Инспекционный контроль в жизни сертифицированного продукта – вещь нечастая.

    В свое время ФСТЭК разработала проект приказа по процедуре обновления сертифицированных продуктов, теоретически позволявших упростить эту процедуру. Но уровень проблем, привносимых документом, видимо, удивил даже привычных к нашей нормативке специалистов.

    Хочу одновременно сертификат ФСТЭК и ФСБ!

    Естественно, на сертификацию уходят одни и те же продукты, но есть нюансы. Скажем, продукты, сертифицированные по требованиям ФСТЭК, может поставлять практически любая компания, а обновляются они с обычных зон обновления, контролируемых вендором. А в случае ФСБ по всем вопросам, касающимся получения и обслуживания сертифицированных версий продуктов, необходимо обращаться в в/ч 43753. Правда, не так давно поставщики и в частности компания «Доктор Веб» смогли договориться о поставке через вендоров. Так, обновление сертифицированных по требованиям ФСБ продуктов, если клиент стал абонентом их портала, идет через специальные зоны, контролируемые ФСБ (если клиент купил сертифицированное ПО и не прошел процедуру согласования по обслуживанию ПО, то обновления идут с зоны вендора).

    Как купить сертифицированную версию?

    В случае «Доктор Веб» сертифицированные по требованиям ФСТЭК России продукты можно приобрести через авторизованных партнеров ( partners.drweb.ru/?lng=ru) компании-разработчика или через интернет-магазин ( estore.drweb.ru/home/?lng=ru). В случае «Лаборатории Касперского» приобретение возможно через партнеров ( www.kaspersky.ru/products/business/certified-version).

    Сертифицированные по требованиям ФСБ России/МО РФ продукты могут поставляться вендором напрямую в рамках централизованных поставок.

    Я купил сертифицированную версию, где скачать дистрибутив?

    Нигде. Сертифицированные версии в интернет не выкладываются. В случае «Доктор Веб» (у иных вендоров могут быть иные правила) сама лицензия не отличается для сертифицированных и несертифицированных версий продуктов. Но, поскольку распространение в электронном виде невозможно (в случае версий под ФСТЭК – из-за того, что в комплект должна входить голографическая наклейка), в дополнение к лицензии нужно еще купить коробку с дистрибутивом и входящими в комплект документами.

    Я хочу попробовать сертифицированный продукт!

    Увы. В связи с проблемами, описанными в предыдущем вопросе, – официально попробовать продукт можно только купив коробку. Сама демолицензия, естественно, бесплатна. Коробку бесплатно поставить нельзя, так как это материальный носитель и бухгалтерия не поймет.

    А что входит в коробку?

    Комплект поставки сертифицированного по требованиям ФСТЭК или ФСБ ПО (в случае компании «Доктор Веб») включает:

  • заверенную печатью заявителя копию Сертификата соответствия ФСТЭК или ФСБ на поставляемое ПО;
  • компакт-диск, содержащий верифицированный дистрибутив сертифицированного продукта;
  • в случае поставки ПО, сертифицированного по требованиям ФСТЭК, – формуляр с указанием контрольной суммы дистрибутива, промаркированный специальным голографическим знаком соответствия ФСТЭК России;
  • документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации, включая:
    • руководство пользователя/администратора;
    • технические условия.
    • Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации.

      Поскольку качество клеящего слоя голографической наклейки не дает гарантии, что она удержится на диске в процессе его эксплуатации в CD/DVD-приводе, а отслоение наклейки может привести к различным негативным последствиям, вплоть до отказа оборудования, то она наклеивается на формуляр, что согласовано со ФСТЭК России.

      Эталонные значения контрольных сумм сертифицированных версий Dr.Web заявлены в формулярах на соответствующие продукты и в открытом доступе не публикуются. Подсчет контрольных сумм осуществляется с помощью программы фиксации и контроля исходного состояния программного комплекса «Фикс» (версия 2.0.1), алгоритм «Уровень-1».

      Для «Лаборатории Касперского» описание состава поставки более краткое, но в целом отличаться от аналогичной поставки «Доктор Веб» не может в силу единства правил игры ( www.kaspersky.ru/products/business/certified-version)

      В случае поставки ПО, сертифицированного для МО РФ в состав поставки входят:

      • лицензионный сертификат с серийным номером ко всем продуктам Dr.Web;
      • DVD-диск, на котором записаны дистрибутивы сертифицированных МО России продуктов Dr.Web и полная версия документации к ним в формате PDF;
      • формуляр, в котором содержатся эталонные значения контрольных сумм сертифицированных МО России продуктов Dr.Web.
      • Может ли сертифицированное ПО обновляться?

        • Обновление компонентов: изменение компонентов защиты не допускается. Оно происходит только после проведения инспекционного контроля испытательной лабораторией по линии сертифицирующего ведомства. После этого проверенные компоненты попадают на области обновления, а также в формуляры (с новыми контрольными суммами).
        • Обновление вирусных баз: вирусные базы не подвергаются контрольному суммированию при сертификации, т. к. контрольные суммы создаются только на исполняемые файлы и библиотеки, а вирусные базы не содержат исполняемых модулей. Таким образом, обновление вирусных баз является сертифицированной функцией продуктов.
        • Сами обновления производятся со специально созданных областей.

          Внимание! На сертифицированное ПО нельзя устанавливать несертифицированные обновления.

          Пользователь сертифицированных версий может получать обновления безопасности как автоматически, так и на CD-дисках, содержащих сертифицированные обновления (гусары, знающие примеры такого обновления в очень крупных структурах — молчать!).

          Наш антивирус установлен внутри сети и не имеет выхода в интернет. Как получать обновления?

          Официально – только установив снаружи сети антивирусный продукт и перенеся внутрь обновления вручную. На практике возможны варианты – вплоть до отправки баз по почте и с помощью фельдъегерской службы.

          Сертифицирован ли входящий в состав вашего антивируса файрвол на соответствие соответствующим Профилям?

          Профили для межсетевых экранов, разработанные ФСТЭК России ( fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty), описывают функционал только межсетевых экранов корпоративного уровня, устанавливаемых на границе сети. Персональные файрволы, входящие в антивирусные продукты, под действие этих профилей не попадают и сертифицируются в составе антивирусных решений – и таким образом могут использоваться в качестве сертифицированных.

          Могу ли я купить и использовать продукт, срок действия сертификата которого истек?

          Вы можете купить любую версию продукта, в случае наличия коробок на складе. А вот официально использовать согласно правилам – нет.

          В связи с тем, что на данный момент действуют так называемые «Профили антивирусной защиты», можно ли использовать продукты, ранее сертифицированные по ТУ и НДВ?

          Согласно приказу ФСТЭК №240/24/3095 от 30 июля 2012 г., с 1 августа 2012 г. для антивирусного ПО устанавливается необходимость соответствия «Требованиям к средствам антивирусной защиты» (приказ ФСТЭК №28 от 20 марта 2012 г.) и утвержденным 14 июля 2012 г. «Профилям антивирусной защиты». Размещены Профили для четвертого, пятого и шестого классов на странице fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/470-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2012-g-2. Профили первого, второго и третьего классов в открытый доступ нес выкладываются.

          Вместе с этим вводится новая классификация сертифицированных антивирусных программных продуктов: по назначению (А-Г) и уровню защищенности (6-1).

          До этого момента никаких требований к антивирусам не существовало, и они сертифицировались на ТУ (технические условия) и НДВ (отсутствие недекларированных возможностей).

          Согласно письму ФСТЭК, продукты, созданные ранее выхода профилей и имеющие сертификаты ФСТЭК (а тем более ФСБ и МО, которых приказ не касается), сохраняют свою легитимность.

          Что такое сертифицированное ПО?

          Сертифицированным программным обеспечением является:

        • ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации, что подтверждается Сертификатом соответствия.
          ПО сертифицируется на соответствие техническим документам (РД, ТУ и т. д.) и в соответствии с параметрами, указанными в этой документации. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России, МО России и ФСБ России.
        • ПО, дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре) и (для ФСТЭК) специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
        • ПО, установленное и настроенное в соответствии с сертифицированными параметрами.
        • ПО, все доработки (обновления) которого, критичные для безопасности, также подвергаются сертификационным испытаниям, до предоставления их пользователю. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
          Честно скажем, что для антивируса это фантастика – естественно, обновления баз (которые, кстати, и сами по себе не сертифицируются) никто сертификационным испытаниям не подвергает. Ибо делать такую процедуру для выходящих до трех раз в час обновлений нереально.
        • ПО, контролируемое в процессе эксплуатации.
          Сертифицированное ПО должно иметь встроенные или наложенные средства, предназначенные для выполнения требований в области контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.
        • ПО, каждый сертифицированный экземпляр которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ представителей органов, осуществляющих контроль за сертифицированными средствами защиты, к учетной информации.
        • Таким образом, сертифицированным программным обеспечением является ПО, ранее прошедшее сертификацию, установленное, настроенное и сопровождаемое в соответствии с требованиями, также прошедшими сертификацию.

          Применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований по безопасности конфиденциальных данных, необходимо также:

        • чтобы параметры системы безопасности соответствовали требованиям Руководящих документов к системе безопасности автоматизированных систем в целом;
        • данные параметры безопасности могли быть подтверждены уполномоченными органами при аттестации объекта информатизации.

        Можно ли самостоятельно сертифицировать ПО?

        Можно самостоятельно сертифицировать любое выбранное СЗИ, удовлетворяющее требованиям РД. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, (Приказом Председателя Гостехкомиссии России № 199 от 27.10.1995), необходимо в роли Заявителя согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом Заявитель должен быть лицензиатом ФСТЭК и (или) ФСБ России на деятельность по разработке и производству СЗИ.

        Естественно, данный список вопросов не является полным. Достаточно много вопросов связано, например, с использованием ОС Astra Linux. Но наиболее часто спрашивают именно это.

        Традиционного итога подводить не буду. Единственное, что хочу сказать:

      • подготавливая запрос вендору или поставщику по сертифицированным продуктам, предоставляйте как можно более полную информацию о том, где и как вы собираетесь их применять. Нюансов тут очень много;
      • помните, что поставщик осуществит поставку в соответствии с вашими требованиями. И если окажется, что вы запросили не то, то проблемы будут на вашей стороне;
      • заранее планируйте процедуру обновления сертифицированных продуктов. Случаи, когда к поставщику приходят за антивирусным решением в момент, когда уже все спроектировано – нередки. И не единичны случаи, когда на стороне заказчика до этого момента вопросы развертывания, обновления и управления ПО не рассматривались вовсе;
      • помните, что сертифицированное ПО — по умолчанию устаревшее. Возможно, имеющее известные уязвимости.
      • m.habr.com

  • Смотрите так же:

    • Нотариусы на луначарского Нотариальная контора нотариусов Санкт-Петербурга Коркуновой Людмилы Николаевны и Девятияровой Марии Александровны Нотариальная контора Нотариальная контора нотариусов Санкт-Петербурга Коркуновой Людмилы Николаевны (Лицензия № 200 выдана […]
    • Закон о возврате сотового телефона Самозащита потребителя Возврат телефона Вернуть некачественный телефон в магазин не сложно, достаточно знать следующее: 1. Потребитель имеет право вернуть некачественный телефон продавцу и потребовать возврата уплаченных за бракованный […]
    • Закон алтайского края от 07122009 99-зс Закон алтайского края от 07122009 99-зс Разъяснения Закона Алтайского края от 07.12.2009 № 99-ЗС «Об ограничении пребывания несовершеннолетних в общественных местах на территории Алтайского края». В соответствии со ст. 2 Закона […]
    • Зернобанк арбитражный суд Арбитражная практика МОСКВА, 23 окт - РАПСИ. Центробанк РФ направил в арбитражный суд Алтайского края заявление о признании банкротом барнаульского АО «Зернобанк», говорится в материалах суда. Дата рассмотрения заявления о банкротстве не […]
    • Медико-социальная экспертиза краснодар садовая 151 Медико-социальная экспертиза краснодар садовая 151 Спасибо за ваше обращение. Ваш запрос будет обработан операторами в ближайшее время. Руководитель: Яремчук Геннадий Петрович (врач по медико-социальной экспертизе высшей категории, […]
    • Правонарушение несовершеннолетних примеры Примеры административной ответственности и правонарушений у несовершеннолетних Ответственность взрослых за правонарушение несовершеннолетних уголовное и административное правонарушение. Администр ответств с 16 лет наступает, уголовная с […]