Головна  /  Телевізори  /  Ту технічні умови сертифікація програма фстек. Сертифікати фстек

Ту технічні умови сертифікація програма фстек. Сертифікати фстек

Телевізори
06.10.2021

Розглянемо приблизний перелік дій із сертифікації у ФСТЕК Росії.

  1. Подання заявки на сертифікацію до ФСТЕК Росії.

    У заявці зазначаються:

    • найменування заявника
    • адреса заявника
    • найменування продукції, яку Заявник хоче сертифікувати
    • перелік нормативних та методичних документів, на відповідність вимогам яких заявнику необхідно сертифікувати свою продукцію.
    • схема сертифікації (поодинокий зразок продукції чи серійне виробництво)
    • випробувальна лабораторія, в якій Заявник хотів би провести випробування
    • додаткові умови чи вимоги

    Заявник зазначає, що він зобов'язується:

    • виконувати всі умови сертифікації;
    • забезпечувати стабільність сертифікованих характеристик продукції, маркованої знаком відповідності;
    • сплатити всі витрати на проведення сертифікації.

    Важливо: заявник повинен мати ліцензію ФСТЕК на відповідний вид діяльності!

    Приклад заявки на сертифікацію програмного комплексу представлено малюнку 5.1.

  2. Рішення для проведення сертифікаційних випробувань

    ФСТЕК протягом місяця після отримання заявки надсилає Заявнику, призначеному органу із сертифікації та випробувальної лабораторії рішення на проведення сертифікаційних випробувань, яке містить таке:

    • найменування Заявника, адреса Заявника;
    • найменування продукції, що сертифікується, код ОКП, ТУ;
    • схема проведення сертифікації (випробування одиничного зразка продукції/партії з N зразків/зразка продукції для серійного виробництва);
    • призначена випробувальна лабораторія та її адреса;
    • перелік нормативних та методичних документів, на відповідність вимогам яких має проводитись сертифікація;
    • випробувальна лабораторія, призначена щодо подальшого інспекційного контролю;
    • орган із сертифікації, призначений для проведення експертизи результатів сертифікаційних випробувань;
    • метод оплати робіт.

    Орган із сертифікації та випробувальна лабораторія можуть бути змінені за погодженням із Замовником. Рішення є підставою для початку випробувань та "приводом" для укладення договору між Заявником та випробувальною лабораторією. Приклад рішення для проведення сертифікації представлений малюнку 5.2.

  3. Укладання договору з випробувальною лабораторією

    У договорі з випробувальною лабораторією проведення сертифікаційних випробувань встановлюються терміни, порядок проведення сертифікаційних випробувань, і навіть вартість робіт. Зазвичай випробувальна лабораторія спочатку готує комерційна пропозиціяз обґрунтуванням строків та вартості робіт, а також проект договору. Як правило, до комплекту договірних документів входять: договір, технічне завдання на проведення робіт, відомість виконання, протокол погодження ціни. Крім зазначених відомостей, у договорі рекомендується передбачити такі пункти, як відповідальність за псування випробувальних зразків або порядок зупинення випробувань у разі внесення якихось змін.

  4. Підготовка вихідних даних.

    Цей етап включає в себе розробку, погодження та затвердження програми та методики сертифікаційних випробувань.

    Випробувальна лабораторія розробляє програму та методику проведення випробувань, передає заявнику інформацію про те, які дані необхідні для випробувань. Також програма та методика відправляються до органу із сертифікації на затвердження.

    Заявник отримує від випробувальної лабораторії програму та методику випробувань, погоджує її та готує всі необхідні вихідні дані. Він надає випробувальній лабораторії засоби захисту інформації у комплектації, що відповідає технічним умовам або формуляру, а також комплект всієї необхідної документації відповідно до ЄСПД чи ЄСКД.

  5. Сертифікаційні випробування.

    Випробувальна лабораторія відбирає зразки продукції, що сертифікується, ідентифікує їх і проводить сертифікаційні випробування продукції за затвердженими програмою та методикою. При цьому Заявник готує та налаштовує стенд для проведення сертифікаційних випробувань. Важливо відзначити, що забороняється вносити зміни до складу або конструкції об'єкта сертифікації, а також до документації під час випробувань. Це може призвести до зупинення випробувань та їхнього повного "перезапуску", що вплине на вартість та строки проведення робіт.

  6. Оформлення результатів випробувань

    Результати випробувань оформлюються у вигляді протоколів сертифікаційних випробувань та технічних висновків. Ці документи надсилаються до органу сертифікації, а копії – Заявнику. У разі відсутності обґрунтованих зауважень до результатів, наданих випробувальною лабораторією, з боку Заявника чи органу із сертифікації, її робота за договором вважається виконаною.

  7. Укладання договору з органом із сертифікації

    Випробувальна лабораторія укладає договір з органом із сертифікації щодо проведення експертизи результатів сертифікаційних випробувань, в якому обумовлюються терміни (як правило, 1 місяць), порядок та вартість. Іноді орган із сертифікації вимагає укласти договір із Заявником, а не з випробувальною лабораторією. Цей пункт є спірним та не регламентованим. Це питання найкраще спочатку обговорити з випробувальною лабораторією.

  8. Експертиза результатів сертифікаційних випробувань

    Орган із сертифікації відповідно до договору проводить експертизу результатів сертифікаційних випробувань, а також технічних та експлуатаційних документів на продукцію, що сертифікується. Результатом стає оформлення експертного висновку, яке разом із технічним висновком, матеріалами сертифікаційних випробувань, комплектом необхідної технічної та експлуатаційної документації на об'єкт сертифікації представляє у ФСТЕК Росії для ухвалення рішення про випуск сертифікату.

  9. Рішення про видачу сертифіката.

    На підставі отриманих від органу сертифікації документів, а саме технічного висновку та експертного висновку ФСТЕК приймає рішення про видачу сертифіката. Як було зазначено вище, термін сертифіката 3 роки. Приклад сертифіката відповідності малюнку 5.3.

Якщо в результаті перевірки ФСТЕК виявить невідповідність результатів випробувань вимогам законодавства, буде ухвалено рішення про відмову у видачі сертифікату. При цьому заявнику буде направлено мотивований висновок. У разі незгоди з відмовою Заявник має право звернутися до апеляційної ради Федерального органу сертифікації для додаткового розгляду матеріалів сертифікації. Апеляція розглядається у місячний строк із залученням зацікавлених сторін та незалежних експертів. Подавець апеляції повідомляється про ухвалене рішення.

Федеральна служба з технічного та експортного контролю - це федеральний орган виконавчої влади, який здійснює перевірку та контроль в області державної безпеки. Сьогодні кожен власник ноутбука при покупці тієї чи іншої антивірусної програмиабо програмного забезпечення не раз чув такий вираз як сертифікація ФСТЕК. Але мало хто знає, що ж собою є сертифікат ФСТЕК.

Сьогодні питання захисту інформації тісно переплітається з інтересами суспільства, бізнесу та держави. Зазвичай, кожна держава прагне контролювати інформацію, пов'язану з національною безпекою. Тому рік у рік воно ставить основним завданням розробку, експлуатацію добре захищених інформаційних систем, баз персональних даних. У таких системах зберігається, переробляється величезна кількість інформації, пов'язаної практично з усіма видами діяльності держави. Саме тому виробники програмного забезпечення повинні враховувати законодавчі вимоги, що накладаються на інформаційні системи, які беруть участь у державній діяльності. Процедура сертифікації ФСТЕК здійснюється для перевірки відповідності основним показникам безпеки.

Сертифікат ФСТЕКвидається за підсумками проходження наступних етапів:

  • оформлення заяви на здійснення процедури перевірки;
  • отримання рішення щодо проведення сертифікації;
  • оформлення договору здійснення процесу сертифікації;
  • затвердження програми випробувань;
  • проведення випробувань;
  • оформлення протоколу випробувань;
  • укладання договору з експертною організацією;
  • експертиза лабораторних випробувань;
  • оформлення сертифіката.

Система російської сертифікації ПЗ докорінно відрізняється від сертифікації на заході. По-перше, кожна копія програмного забезпечення, яка претендує на сертифікат ФСТЕК, проходить ряд випробувань та експертиз, яким піддавався початковий продукт. По-друге, кожна компанія, яка придбала сертифікований продукт, має захищений доступ до інформаційної базиданого програмного забезпечення, звідки організація отримуватиме оновлення.

З 2004 року федеральний орган виконавчої влади має такі повноваження:

  1. Забезпечення захисту та безпеки в ключових системахінфраструктури;
  2. Здійснення технічної інформації;
  3. захист інформації від іноземних технічних розвідок;
  4. Забезпечення експортного контролю.

ФСТЕК не займається сертифікаційною діяльністю, він є основним організатором сертифікації. Левову частку дій виконують його ліцензіари – випробувальні лабораторії та експертні центри. Лабораторії досліджують програмне забезпечення, А експертні організації перевіряють якість проведених випробувань. Безперечно, заявник може оформити сертифікат ФСТЕКза результатами випробувань сторонніх організацій. Але в цьому випадку перед тим, як видати сертифікат, ФСТЕКзалишає за собою право призначити повторну перевірку результатів іншої експертної організації. З цієї причини в системі ФСТЕК працює інститут заявника. Вони проводять порівняння копій продуктів, що продаються з програмами, які раніше отримали сертифікат ФСТЕК.

Зверніть увагу, що в теперішній моментнаш центр сертифікації оформляє лише ідентифікаційний висновок щодо ФСТЕК у рамках експортного контролю. Стаття має інформаційний характер!

Сертифікат відповідності ФСТЕК- Це дослівно документ, виданий федеральною структурою ФСТЕК, що підтверджує відповідність об'єкта, що сертифікується вимогам нормативних російських актів. Спробуємо це розшифрувати на понятійному рівні, і визначитися з чим це пов'язано і про що йдеться.

ФСТЕК Росії - Федеральна служба з технічного та експортного контролю, у функції якої включено спеціальний контроль у деяких областях. ФСТЕК нині підпорядкована Міністерству оборони РФ. До серпня 2004 року дана службамала іншу назву та підпорядкування. Це була Державна технічна комісія за Президента РФ. Одна з функцій, визначених ФСТЕК державою, є технічний захистінформації.

До сфери діяльності сертифіката відповідності ФСТЕК належать засоби захисту інформації (СЗІ) без використання засобів криптографії та не становлять державної таємниці. Тобто забезпечення захисту інформаційної безпекинекриптографічними методами.

Наш центр сертифікації зараз не оформляє цей дозвільний документ щодо програмного забезпечення. Зверніться до нас для отримання додаткової інформації.

Продукція, що підлягає сертифікації ФСТЕК

До об'єктів, для яких оформляється сертифікат відповідності ФСТЕК, належать такі:

  • антивірусні програми масового використаннядля реалізації на російському ринку(Центр «РеГОСТ» сертифікат ФСТЕК на програмне забезпечення не оформлює);
  • міжмережеві екрани;
  • засоби захисту системного та мережевого рівня(Сканери безпеки, засоби моніторингу безпеки, засоби захисту від несанкціонованого доступу);
  • Операційні системи;
  • системи керування базами даних;
  • прикладні інформаційні системи;
  • системи генерації паролів для доступу до інформаційних ресурсів;
  • електронні системи документообігу та інші.

В органах державної влади, а також у державних корпораціях можуть застосовуватись лише програмні засоби, що мають необхідні ліцензії та сертифікати безпеки інформації, включаючи сертифікати відповідності ФСТЕК.

Основним законом, який регулює сертифікацію у сфері СЗІ Постанова Уряду РФ № 608 «Про сертифікацію СЗІ», Введена в дію в 1995 році. Цей закон наказує: обов'язкова сертифікація та оформлення сертифіката відповідності ФСТЕК передбачено лише для продукції, що відноситься до засобів захисту інформації для запобігання відомостям, що є державною таємницею.

Для захисту від несанкціонованого доступу до конфіденційних даних не потрібний обов'язковий сертифікат відповідності ФСТЕК або Декларація відповідності на ЗЗІ. І тут оцінка відповідності СЗИ є добровільною.

Система сертифікації ФСТЕК

ФСТЕК (раніше Урядова комісія) створила Систему сертифікації засобів захисту інформації з вимог безпеки інформації, яка має Свідоцтво № Р0СС UA.0001.01БИ00та зареєстрована в Державний реєстр 1995 року.

Органи сертифікації даної системи оцінюють відповідність СЗІ на основі Керівних документів (РД) «Захист від несанкціонованого доступу до інформації». Дані документи розроблені різні групи продуктів, які стосуються програмного, технічного забезпеченнядо автоматизованих систем в цілому.

У всіх документах є показник. Оціночний рівень довіри (ОУД). Він введений у дію Наказом Держтехкомісії Росії від 19.06.02 р. № 187.ОУД характеризує рівень довіри до практичного виконання вимог щодо захисту інформації.

Класи захищеності виробів

Для захисту інформації, значимість якої визначається градацією «секретність/конфіденційність», встановлено такі класи захищеності виробів Інформаційних Технологій (ІТ):

  • четвертий класзахищеності виробів ІТ є достатнім для захисту конфіденційної інформації;
  • третій класзахищеності використовується захисту інформації з грифом «Секретно»;
  • другий клас— з грифом «Цілком таємно»;
  • перший класвикористовується для захисту інформації з грифом «Особливе значення».

Сертифікат відповідності ФСТЕК містить відомості: на основі яких нормативних документів відбувалося виготовлення продукції, що містить СЗІ і чи кінцевий товар відповідає вимогам, викладеним у зазначеному нормативному акті. Тут же вказується клас захищеності товару за класифікацією рівня контролю відсутності недекларованих повноважень.

Сертифікат відповідності ФСТЕК також містить відомості про сертифікаційні випробування, про експертне висновки та про лабораторію, де проходили лабораторні дослідженняіз зазначенням, коли та ким було виконано інспекційний контроль цієї сертифікаційної лабораторії.

Процедура отримання сертифіката відповідності ФСТЕК

Сертифікаційні лабораторії для оформлення сертифіката відповідності ФСТЕК можуть проводити цілий рядрізних випробувань:

  • на відповідність вимогам, пов'язаним із захистом від недозволеного доступу до інформації;
  • на відповідність вимогам Технічних умов;
  • відповідність функціональних можливостей, які реально є у досліджуваного продукту описам, зазначеним у документації на експлуатацію;
  • на відповідність декларованої безпеки досліджуваного товару;
  • на відсутність можливостей, які не вказані в документації, та пов'язані з безпекою інформації майбутнього користувача;
  • на відповідність вимогам стандартів підприємств, міжнародним стандартам у сфері СЗІ;
  • дослідження датчиків випадкових чисел на відповідність криптографічним вимогам та інші дослідження.

Федеральний Закон «Про персональні дані»

Наказ ФСТЕК N 58 набрав чинності 5 лютого 2010 року Положення, що визначає способи та методи захисту інформації про персональні дані в різних інформаційних системах. У ньому зазначено, що СЗІ повинні пройти сертифікацію в установленому порядку. Але такого документа, встановленого Президентом чи Урядом РФ, поки що не видано.

Тим не менш, постачальники інформаційних систем, які можуть потрапити під дію ФЗ № 152 «Про персональні дані», прагнуть отримати Сертифікат відповідності ФСТЕК, який підтверджує, що замовники інформаційної системи, що має даний документ, захищають інформацію про персональні дані від несанкціонованого доступу за вимогами закону.

Добровільний сертифікат ФСТЕК

Добровільний сертифікат на СЗІ можна оформити не лише як сертифікат відповідності ФСТЕК, а й звернутися до інших систем сертифікації. До них відносяться:

  • Система добровільної сертифікації "Газпромсерт". Ця системастворено ВАТ «Газпром» для потреб своєї корпорації. У деяких випадках під час проведення тендерів на постачання потрібно від учасника отримати сертифікат відповідності цієї системи.
  • Система добровільної сертифікації "АйТіСертифіка" створена асоціацією "ЄВРААС".

Продукти Microsoft, сертифіковані ФСТЕК, З точки зору програмного коду нічим не відрізняються від звичайних ліцензійних легальних продуктів Microsoft, оскільки програмна реалізація продуктів Microsoft дозволяє отримувати відповідні сертифікати ФСТЕК без змін програмного коду. Однак відповідно до законодавства Росії сертифіковані продуктиФСТЕК мають низку інших важливих відмінностей від несертифікованих продуктів, а саме:

  • кожен примірник сертифікованого продукту, що знаходиться у замовника, повинен пройти процедуру перевірки відповідності цього примірника тому примірнику, який пройшов сертифікацію;
  • кожен екземпляр сертифікованого продукту, що знаходиться у замовника, у разі позитивної перевірки його відповідності екземпляру, що пройшов сертифікацію, отримує пакет сертифікаційних документів державного зразка, включаючи голографічний знак відповідності ФСТЕК з унікальним номеромна кожну копію (якщо замовник має 1000 комп'ютерів із сертифікованим продуктом, то йому видається 1000 голограм), який ідентифікує даний екземпляр у системі державного обліку сертифікованих продуктів;
  • кожна організація, яка купила сертифікований продукт, отримує захищений доступ до персональній сторінцідля отримання сертифікованих оновлень.

Продукти Microsoft сертифіковані іншими уповноваженими органами, містять додаткове програмне забезпечення, саме сервісні пакети, розроблені російськими організаціями, які дозволяють цим продуктам Microsoft задовольняти вимогам. Ці сервісні пакети 'Secure Pack Rus' містять передусім російську сертифіковану криптографію, яку Microsoft не виробляє.

Використання сертифікованих продуктів

Якщо організація хоче використовувати програмний продукт, який ще не сертифікований, то з цим продуктом вона повинна використовувати «накладений» (сторонній) засіб захисту інформації, що пройшов сертифікацію, і призначений для роботи з цим продуктом. Використання накладених засобів захисту значно подорожчає продукт і часто різко знижує можливість взаємодії цього продукту з іншими програмними та апаратними засобами. Тому Microsoft сертифікує свої програмні продукти із вбудованими засобами захисту інформації – так зручніше та дешевше для замовників.

У Росії організовано масове виробництво всіх сертифікованих версій продуктів Microsoft. Це дозволяє замовникам купувати будь-які кількості сертифікованих продуктів. Безперервна сертифікація щомісячних оновлень до продуктів дозволяє покупцям мати сертифіковану версію не тільки з самими останніми оновленнями системи безпеки, а й відповідну при цьому вимогам регулятора.

ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКОВАНІ ФСТЕК

В даний час ФСТЕК сертифіковано такі продукти Microsoft:

  • клієнтська операційна система Microsoft Windows XP Professional, російська версія (включаючи ОЕМ-виробництво);
  • клієнтська операційна система Microsoft Windows Vista (Business, Enterprise, Ultimate), російська версія (включаючи виробництво ОЕМ);
  • серверна операційна система Microsoft Windows Server 2003 (Standard Editionта Enterprise Edition), російські версії;
  • серверна операційна система Microsoft Windows Server 2003 R2 (Standard Edition та Enterprise Edition), російські версії;
  • система управління базами даних Microsoft SQL Server 2005 (Standard Edition та Enterprise Edition), російські версії;
  • платформа офісних додатків Microsoft Office 2003 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює із серверною технологією RMS, вбудовану в Microsoft Windows Server 2003;
  • платформа офісних програм Microsoft Office 2007 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює із серверною технологією RMS, вбудовану у Windows Server 2003;
  • міжмережевий екран Microsoft ISA Server 2006 (Standard Edition), російська версія - на відповідність як загальним критеріям, і керівним документам «СВТ. Міжмережеві екрани…» за третім класом захищеності;
  • антивірусні продукти Microsoft Forefront для серверів та робочих станцій (Forefront для Exchange Server, Forefront для SharePoint Server та Forefront Client);
  • сервер управління поштовими повідомленнями Microsoft Exchange Server 2007;
  • сервер для керування бізнес-процесами Microsoft BizTalk Server 2006 R2;
  • серверна операційна система Microsoft Windows Server 2008 (всі видання), включаючи сервер віртуалізації Hyper-V; російські версії;
  • система управління базами даних Microsoft SQL Server 2008 (всі видання), російські версії;
  • платформа офісних програм Microsoft Office Professional Plus 2007, російська версія;
  • система керування операціями в інформаційних системах Microsoft System Center Operations Manager 2007;
  • система керування конфігураціями в інформаційних системах Microsoft System Center Configuration Manager 2007;
  • система керування захистом даних в інформаційних системах Microsoft System Center Data Protection Manager 2007;
  • система управління віртуальними машинамиу інформаційних системах Microsoft System Center Virtual Machine Manager 2008;
  • система управління відносинами з клієнтами Microsoft Dynamics CRM 4.0;
  • система керування підприємством Microsoft Dynamics AX 2009;
  • система керування підприємством Microsoft Dynamics AX 4.0;
  • система керування підприємством Microsoft Dynamics NAV 5.0;
  • клієнтська операційна система Windows 7 (всі видання), російська та англійська версії;
  • серверна операційна система Windows Server 2008 R2 (всі видання), російська та англійська версії;
  • сервер для управління бізнес-процесами Microsoft BizTalk Server 2009 (всі видання), російська версія;
  • сервер управління ідентифікацією у гетерогенних системах Microsoft Forefront Identity Manager 2010, російська та англійська версії;
  • сервер керування поштовими повідомленнями Microsoft Exchange Server 2010 (всі видання), російська та англійська версії;
  • система управління сервісами в інформаційних системах Microsoft System Center Service Manager 2010, російська та англійська версії;
  • система управління відносинами із клієнтами Microsoft Dynamics CRM 2011, російська версія;
  • система керування підприємством Microsoft Dynamics NAV 2009 R2, російська версія;
  • платформа офісних програм Microsoft Office Professional Plus 2010, російська та англійська версії;
  • система антивірусної захисту Microsoft Forefront Endpoint Protection 2010, російська та англійська версії;
  • сервер документообігу Microsoft SharePoint Server 2010 (всі видання), російська та англійська версії;
  • сервер комунікацій Microsoft Lync Server 2010 Enterprise, російська та англійська версії;
  • система керування підприємством Microsoft Dynamics AX 2012 R2;
  • клієнтська операційна система Microsoft Windows 8 ( версії Windows 8, Windows 8 (Професійна, Windows 8 Корпоративна);
  • серверна операційна система Microsoft Windows Server 2012 (Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows Server Essentials 2012, Windows Server Foundation 2012);
  • система управління інформаційною структурою Microsoft System Center 2012 (версії Standard та Datacenter);
  • система управління базами даних Microsoft SQL Server 2012 (версії Standard, Enterprise, Business Intelligence, Web);
  • платформа офісних програм Office Professional Plus 2013;
  • сервер керування віртуальними структурами Microsoft Hyper-V Server 2012;
  • система управління інформаційною структурою Microsoft System Center 2012 R2 (версії Standard та Datacenter);
  • система управління відносинами із клієнтами Microsoft Dynamics CRM 2013;
  • сервер керування поштовими повідомленнями Microsoft Exchange Server 2013 (версії Standard та Enterprise);
  • сервер документообігу Microsoft SharePoint Server 2013;
  • системи управління базами даних Microsoft SQL Server 2014 у редакціях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
  • система керування відносинами із клієнтами Microsoft Dynamics CRM Server 2015.

Відповідно до отриманих сертифікатів ФСТЕК, зазначені сертифіковані продукти дозволяють будувати автоматизовані системи до класу захищеності 1Г включно. Крім того, ті з них, що вийшли після прийняття ФЗ-152 «Про персональні дані», сертифіковані і на відповідність законодавству про персональні дані.

В даний час у ФСТЕК закінчено сертифікацію наступних продуктів, всі звітні документи знаходяться в органах сертифікації:

  • Lync Server 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКУВАНІ іншими уповноваженими органами

ФСБ сертифіковано наступними продуктами Microsoft:

  • клієнтська операційна система Microsoft Windows XP Professional, російська версія;
  • серверна операційна система Microsoft Windows Server 2003 Enterprise Edition, російська версія;
  • сервер документообігу Microsoft SharePoint Server 2007;
  • система керування базами даних Microsoft SQL Server 2008;
  • Microsoft Windows 7 Professional, Enterprise та Максимальна все з SP1;
  • Microsoft Windows 8 Professional та Enterprise;
  • Microsoft Windows 8.1 Professional та Enterprise;
  • Microsoft Windows Server 2008 Standard R2 і Enterprise R2 обидві c SP1;
  • Microsoft Windows Server 2012 Standard c SP1;
  • Microsoft Windows Server 2012 R2 з SP1.

Сертифікати засвідчують, що ці продукти відповідають вимогам уповноважених органів Росії до

  • захист інформації, що не містить відомостей, що становлять державну таємницю,
  • захист від несанкціонованого доступу в автоматизованих інформаційних системах класу АК2 (деякі продукти сертифіковані і на рівень АК3).

Крім того, уповноважені органи зробили позитивний висновок за результатами сертифікаційних випробувань центру, що посвідчує, що входить до складу Windows Server 2003, на відповідність його рівню КС2 відповідно до національних вимог.

Нещодавно одержано позитивні висновки за результатами проведених сертифікаційних випробувань наступних продуктів:

  • Microsoft Exchange Server 2010

Як зазначено у документах, ці продукти можуть використовуватись для захисту конфіденційної інформації та персональних даних.

Отримані результати сертифікації дозволяють створювати системи захищеного документообігу для органів державної влади та системи електронного уряду, побудовані на платформі Microsoft.

У всьому світі сьогодні практикується тестування коду інформаційних систем з вимог безпеки інформації, проте, незважаючи на розширення практики сертифікації, навколо неї склалася низка міфів і помилок.

02.08.2011 Олексій Марков, Валентин Цирлов

У всьому світі сьогодні практикується тестування коду інформаційних систем щодо вимог безпеки інформації. Наприклад, за кордоном обов'язкову перевірку проходять державні та платіжні програмні системи, а в Росії переважають директивні методи сертифікації щодо вимог безпеки інформації. Однак, незважаючи на розширення практики сертифікації, навколо неї склалася низка міфів та помилок.

На Заході обов'язкові перевірки передбачені для державних та платіжних програмних систем, А банки, брокерські, інвестиційні, страхові та сервісні компанії, що надають послуги в індустрії нерухомості та в Інтернеті, проходять добровільний аудит. У нашій країні традиційно переважають директивні методи оцінки відповідності, зокрема програмне забезпечення низки інформаційних систем підлягає обов'язковій сертифікації щодо вимог безпеки інформації.

Історично система сертифікації з вимог безпеки інформації в Росії виникла після розпаду СРСР, коли з'явилася потреба в контролі безпеки закордонного програмного забезпечення, а також якості російських програмних систем, пов'язаних з обробкою і захистом державної таємниці. Активними учасниками процесу сертифікації стали Міноборони, ФСБ та ФСТЕК.

Донедавна сертифікація головним чином стосувалася силових міністерств та підприємств промисловості, що виконують державні замовлення, а основна маса фахівців в області інформаційних технологіймало цікавилася цією проблемою. Ситуація значно змінилася з прийняттям ФЗ-152 «Про персональні дані» і нормативно-методичних документів, що послідували за ним. Виявилося, що сертифікація програмного забезпечення та атестація об'єктів інформатизації необхідна більшості комерційних компаній та всім державним організаціям, які працюють у галузі медицини, освіти, транспорту. Це негайно породило безліч питань і, як правило, негативних суджень, пов'язаних здебільшого з непорозумінням суті та процесів сертифікації.

У загальному випадкупід сертифікацією прийнято розуміти незалежне підтвердження відповідності тих чи інших характеристик товарів чи послуг певним вимогам. У нашому випадку йдеться про програмні засоби захисту або програм у захищеному виконанні – відповідно як вимоги виступають нормативні документи та документація, що стосується безпеки інформації.

Як проводиться сертифікація?

p align="justify"> Принципова особливість будь-яких сертифікаційних випробувань - це незалежність випробувальної лабораторії, що проводить випробування, і сертифікуючої організації, що здійснює незалежний контроль результатів випробувань, проведених лабораторією. У випадку схема проведення сертифікації виглядає так.

  1. Заявник (розробник або інша компанія, зацікавлена ​​у проведенні сертифікації) подає до федерального органу (ФСБ, ФСТЕК або Міноборони) по сертифікації заявку на проведення сертифікаційних випробувань певного продукту.
  2. Федеральний орган визначає акредитовану випробувальну лабораторію та орган із сертифікації.
  3. Випробувальна лабораторія разом із заявником проводить сертифікаційні випробування. Якщо в процесі випробувань виявляються ті чи інші невідповідності заявленим вимогам, то вони можуть бути усунуті заявником у робочому порядку, що відбувається в більшості випадків, або може бути прийняте рішення про зміну вимог до продукту, наприклад, про зниження класу захищеності. Можливий варіант, коли сертифікаційні випробування завершуються негативним результатом. Найбільш гучним прикладом можна назвати випадок, коли випробувальна лабораторія НДІ ВМФ після року перевірок видала негативний сертифікаційний висновок на програмні вироби спеціального призначення. Відомі як мінімум п'ять випадків, коли певні версії ОЗ та СУБД не змогли отримати сертифікат на відсутність недекларованих можливостей через втрату частини вихідного кодустарі модулі. Якщо подивитися реєстр ФСТЕК, то можна помітити, що ряд програмних систем захисту (наприклад, СУБД Oracle і система безпеки додатків IBM Guardium) отримали сертифікати лише на відповідність ТУ, а не на відповідність керівному документу Держтехкомісії - це означає, що орган з сертифікації вважав, що не всі вимоги керівного документа підтверджені під час випробувань.
  4. Матеріали випробувань передаються до органу сертифікації, який проводить їх незалежну експертизу. Як правило, в експертизі беруть участь не менше двох експертів, які незалежно один від одного підтверджують коректність та повноту проведення випробувань.
  5. Федеральний орган із сертифікації виходячи з висновку органу із сертифікації оформляє сертифікат відповідності. Треба сказати, що у разі виявлення будь-яких невідповідностей федеральний орган може провести додаткову експертизу із залученням експертів із різних акредитованих лабораторій та органів.

У системах обов'язкової сертифікації є практика відкликання та призупинення ліцензій та атестатів акредитацій у разі виявлення грубих порушень у процесі сертифікації. Були випадки, коли під сумнів на продовження діяльності підпали три лабораторії та орган із сертифікації, внаслідок чого дві організації припинили подальшу активність у сфері сертифікації. Крім того, у разі виникнення інцидентів на об'єктах інформатизації, пов'язаних із витоком інформації, регулюючі органи можуть проінспектувати лабораторію, яка проводила випробування.

Системи сертифікації та вимоги

Діяльність російських систем сертифікації до регламентується Федеральним законом № 184 «Про технічне регулювання». Сертифікація засобів захисту може бути добровільної чи обов'язкової - проведеної переважно у межах Міноборони, ФСБ і ФСТЭК. Для більшості комерційних компаній термін «сертифікація» є синонімом понять «сертифікація у системі ФСБ» для криптографічних засобівзахисту та «сертифікація у системі ФСТЭК» всім інших товарів. Однак необхідно мати на увазі, що, крім криптографії, до компетенції ФСБ належать засоби захисту інформації, які застосовуються у вищих органах державної влади. Система сертифікації засобів захисту інформації Міноборони, у свою чергу, орієнтована на програмні вироби, що застосовуються на об'єктах військового призначення.

Добровільні системи сертифікації засобів захисту інформації на сьогоднішній день поки що не набули широкого поширення. Єдиною будь-якої помітною з такого роду систем є «АйТі-Сертифіка». На жаль, незважаючи на те, що в добровільних системах можна отримати сертифікат на відповідність будь-якому нормативному документу захисту конфіденційної інформації, при атестації об'єктів інформатизації такі сертифікати ФСТЕК Росії не визнаються.

Щодо документів, на відповідність яким проводяться сертифікаційні випробування, то вони практично ідентичні у всіх системах сертифікації. Існують два основні підходи до сертифікації – і, відповідно, два типи нормативних документів.

  1. p align="justify"> Функціональне тестування засобів захисту інформації, що дозволяє переконатися в тому, що продукт дійсно реалізує заявлені функції. Це тестування найчастіше проводиться відповідність конкретному нормативному документу – наприклад, одному з керівних документів Держтехкомісії Росії. Такі документи встановлені, наприклад, для міжмережевих екранівта засобів захисту від несанкціонованого доступу. Якщо ж не існує документа, якому сертифікований продукт відповідав би повною мірою, то функціональні вимоги можуть бути сформульовані у явному вигляді – наприклад, у технічних умовах, або у вигляді завдання безпеки (відповідно до положень стандарту ГОСТ Р 15408).
  2. Структурне тестування програмного коду відсутність недекларованих можливостей. Класичним прикладом недекларованих можливостей є програмні закладки, які у разі певних умов ініціюють виконання не описаних у документації функцій, дозволяють здійснювати несанкціоновані на інформацію (за ГОСТ Р 51275-99). Виявлення недекларованих можливостей передбачає проведення серії тестів вихідних текстів програм, надання яких необхідною умовоюдля проведення сертифікаційних випробувань.

У більшості випадків засіб захисту інформації повинен бути сертифікований як у частині основного функціоналу, так і щодо відсутності недекларованих можливостей. Робиться виняток для систем обробки персональних даних другого та третього класу з метою зниження витрат на захист інформації для невеликих приватних організацій. Якщо програмний засібне має будь-яких механізмів захисту інформації, воно може бути сертифіковане лише щодо відсутності недекларованих можливостей.

Міфологія навколо сертифікації

Процес організації та проведення випробувань у будь-якій системі сертифікації жорстко формалізований, проте відсутність у більшості ІТ-фахівців досвіду участі у таких випробуваннях, а також взаємодії з регуляторами породжує низку міфів та оман, що стосуються питань сертифікації.

Міф №1: сертифікація – це торгівля.На жаль, частина споживачів щиро вважає будь-яку сертифікацію формальною процедурою отримання дозвільної документації, природно корумпованою і абсолютно марною. Тому для багатьох заявників стає шоком той факт, що засоби захисту, що пред'являються для сертифікації, дійсно серйозно перевіряються, причому результат перевірки може бути негативним. Незалежний контроль органів сертифікації над випробувальними лабораторіями гарантує відсутність змови між заявником та лабораторією.

Міф №2: сертифікацію проводять державні органи.Безумовно, федеральні органи всіх обов'язкових систем сертифікації є державними, однак випробувальні лабораторії та органи сертифікації можуть мати будь-яку форму власності, і на практиці більшість з них – комерційні організації.

Міф №3: сертифікація потрібна лише для засобів захисту держтаємниці.На сьогоднішній день більше 80% засобів захисту сертифікуються для використання виключно в автоматизованих системах, що не містять відомостей, що становлять державну таємницю.

Міф №4: сертифікація потрібна лише держструктурам.Насправді кінцевого замовника цікавить атестація об'єкта інформатизації – формальне підтвердження того, що автоматизована системає захищеною. У більшості випадків для успішного проходження атестації система має будуватися з використанням виключно сертифікованих засобів захисту – це справедливо не лише для систем, що належать до державного інформаційному ресурсу, а й у систем, що з обробкою персональних даних. Можна зустріти вимоги щодо обов'язкової сертифікації програмної продукції навіть незалежно від виду таємниць, що захищаються; наприклад, такі вимоги є для систем, що працюють з кредитними історіями громадян, ігрових систем у випадках надання доступу до ресурсів із мереж міжнародного обміну та ін.

Міф №5: зарубіжний продукт не можна сертифікувати.Насправді продукти таких розробників, як Microsoft, IBM, SAP, Symantec, Trend Micro і т. д. успішно проходять сертифікаційні випробування, в тому числі і на відсутність недекларованих можливостей.

Як правило, закордонні компанії не передають вихідні тексти до Росії, тому випробування проводяться з виїздом до розробника. Зрозуміло, програмні кодинадаються під абсолютним контролем служб безпеки розробників, які виключають будь-який витік. Проведення робіт у такому режимі є досить складним і потребує високої кваліфікації спеціалістів, тому не кожна випробувальна лабораторія готова запропонувати такі послуги. Однак кількість зарубіжних продуктів, що проходять сертифікацію в Росії, з кожним роком зростає. Сьогодні близько 20 зарубіжних компаній, у тому числі Microsoft, IBM, Oracle та SAP надали вихідні коди своїх продуктів для сертифікаційних випробувань. У цьому плані примітна ініціатива корпорації Microsoft - Government Security Program, за якою базовий код всіх продуктів компанії передано територію Росії на дослідження. Протягом останніх п'яти років майже 40 зарубіжних продуктів отримали сертифікати на відсутність недекларованих можливостей.

Міф №6: сертифікований – отже захищений.Це не зовсім так. Правильним було б формулювання: продукт сертифікований – отже відповідає тим чи іншим вимогам. При цьому споживач повинен чітко розуміти, на відповідність чому саме сертифіковано засіб захисту, щоб переконатися, чи дійсно під час проведення випробувань перевірялися характеристики продукту, які цікавлять замовника.

Якщо випробування продукту проводилися відповідність технічним умовам, то сертифікаті це відповідність буде зафіксовано, але у своїй споживач, не прочитавши технічні умови на продукт, у принципі неспроможна визначити, які характеристики перевірялися, що створює передумови для обману некваліфікованого споживача. Аналогічно наявність сертифіката на відсутність недекларованих можливостей нічого не говорить про функціональних можливостяхпродукту.

Дуже важливо ознайомитися з обмеженнями на використання продукту, які вказані в технічних умовах: конкретні операційні середовища та платформи, режими роботи, конфігурації, застосування додаткових коштівзахисту та ін. Наприклад, сертифікат на деякі версії операційних систем Windowsта МСВС дійсний лише з модулем довіреного завантаження. Майже всі сертифікати на зовнішні засоби захисту дійсні лише для конкретних версій ОС, а в обмеженнях на використання ряду засобів довіреного завантаження вказується, що має бути забезпечений фізичний захист комп'ютера. Відомий курйозний випадок, коли в обмеженнях одного застарілого засобу захисту було зазначено, що Windows має працювати лише у командному режимі.

Міф № 7: за сертифікації нічого не знаходять.Незалежно від вимог нормативних документів, сьогодні склалося негласне правило, за яким у рамках сертифікаційних випробувань експерти ретельно перевіряють вихідний код (у разі його надання), а також проводять різні варіанти тесту навантаження. Крім того, експерти вивчають різні бюлетені з безпеки продуктів та середовищ їхнього функціонування. Внаслідок цього дослідна лабораторія отримує список критичних уразливостей, які заявник повинен виправити чи описати у документації. Наприклад, при сертифікації виявляються такі вразливості, як вбудовані паролі та алгоритми їх генерації, архітектурні помилки (некоректна реалізація дискретного та мандатного принципів доступу тощо), некоректності програмування (уразливості до переповнення буфера, помилки операторів логіки та часу, перегони, можливість завантаження недовірених файлів та ін), а також помилки обробки даних додатків (SQL-ін'єкції, крос-сайтовий скриптинг), реалізація яких може суттєво знизити рівень безпеки системи. Згідно з нашою практикою, у 70% перевіреного комунікаційного обладнання виявлялися вбудовані майстер-паролі, а майже у 30% перевірених операційних систембуло виявлено помилки реалізації системи розмежування доступом. Зафіксовано також випадки, коли в продуктах були навіть логічні тимчасові бомби.

Міф № 8: продукт сертифікований на відсутність недекларованих можливостей – отже, в ньому немає вразливостей. На сьогоднішній день немає методів гарантованого виявлення всіх можливих уразливостей програмного забезпечення – успішне проходження сертифікації на відсутність недекларованих можливостей гарантує виявлення лише певного класу вразливостей, які виявляються з використанням конкретних методів. З іншого боку, проходження сертифікації на відсутність недекларованих можливостей гарантує наявність у розробника системи якості виробництва програм, тобто знайдено та зафіксовано всі реальні вихідні тексти та компіляційне середовище, компіляція та складання можуть бути гарантовано повторені, а також є російськомовна документація.

Міф № 9: вимоги щодо аналізу вихідного коду існують лише в нашій країні.Часто можна зіткнутися із критикою суворості вітчизняної сертифікації, пов'язаної з наданням вихідних текстів програм. Справді, в міжнародної системисертифікації Common Criteria допускається проведення випробувань продукції, що обробляє інформацію, не віднесену до держтаємниці, без надання вихідних кодів, однак у цьому випадку мають бути обґрунтовані перевірки на відсутність прихованих каналівта вразливостей. Для систем обробки держтаємниці та платіжних систем передбачено структурний аналіз безпеки вихідного коду. Вимоги щодо аудиту безпеки вихідного коду комерційних програмних продуктів можна знайти у міжнародних стандартах PCI DSS, PA DSS та NISTIR 4909.

Міф №10: сертифікація коштує дорого.Сертифікація програмного забезпечення з вимог безпеки інформації – це досить тривалий і трудомісткий процес, який не може бути безкоштовним. У той же час, наявність сертифіката відповідності значно розширює ринок збуту продукту заявника і збільшує кількість продажів, і тоді вартість сертифікації по відношенню до інших витрат виявляється невеликою.

Майбутнє сертифікації

Сертифікація не є універсальним способомвирішення всіх існуючих проблем у галузі інформаційної безпеки, проте сьогодні це єдиний реально функціонуючий механізм, який забезпечує незалежний контроль якості засобів захисту інформації, та користі від нього більше, ніж шкоди. При грамотному застосуванні механізм сертифікації дозволяє успішно вирішувати завдання досягнення гарантованого рівня захищеності автоматизованих систем.

Заглядаючи вперед, можна припустити, що сертифікація як інструмент регулятора буде змінюватися у напрямку вдосконалення нормативних документів, що відображають розумні вимоги щодо захисту від актуальних загроз, з одного боку, та в напрямку покращення методів перевірки критичних компонентів за критерієм «ефективність/час» - з іншого .

Олексій Марков([email protected]), Валентин Цирлов- Співробітники НВО «Ешелон» (Москва).