Сертифікація засобів захисту. Сертифікація програмного забезпечення ФСТЕК Продукти сертифіковані ФСТЕК

  • IT-інфраструктура,
  • Мережеві технології

    • Нещодавно пройшов атестацію на відповідність вимогам ФСТЕК Росії. ЦОД Rucloud спроектований відповідно до категорії надійності TIER III згідно зі стандартом TIA-942 (резервування N+1 з рівнем відмовостійкості 99,98%). Отримання атестату ФСТЕК стало логічним кроком, який відповідає політиці RUVDS: забезпечення захисту даних клієнтів залишається одним із найважливіших напрямів нашого розвитку. Що таке ФСТЕК і навіщо потрібна сертифікація? Що це означає для нас та наших клієнтів? Про це – нижче.


    Інформаційній безпеці нині приділяється особлива увага. Питання ІБ – важлива частина завдань, вирішуваних державними установами та організаціями, комерційними компаніями розробки та експлуатації інформаційних систем, баз персональних даних. У зв'язку з цим необхідно враховувати вимоги міжнародного та російського законодавства до інформаційних систем, призначені для роботи з подібною інформацією.

    З кожним роком посилюються вимоги вітчизняних регуляторів: Федеральної служби з технічного та експортного контролю, Федеральної служби безпеки, Міністерства оборони, Служби зовнішньої розвідки, Федеральної служби охорони, Міністерства зв'язку та масових комунікацій, Банку Росії. Кожен з них діє у сфері компетенції, описаної законодавством.

    Якщо, наприклад, ФСБ «відповідає» за криптографію, а ФСТЕК – «за все інше» (міжмережеві екрани, антивіруси, системи запобігання вторгненням тощо).

    Сертифікація ФСТЕК

    Чому сертифікація ФСТЕК? Саме ФСТЕК Росії, крім іншої діяльності, здійснює такі повноваження: «організує відповідно до законодавства Російської Федерації проведення робіт з оцінки відповідності (включаючи роботи з сертифікації) засобів протидії технічним розвідкам, технічного захисту інформації, забезпечення безпеки інформаційних технологій, що застосовуються для формування державних інформаційних ресурсів, а також об'єктів інформатизації та ключових систем інформаційної інфраструктури».


    Сертифікація - форма здійснюваного органом із сертифікації підтвердження відповідності об'єктів вимогам технічних регламентів, положенням стандартів, склепінь правил чи умов договорів. У даному випадку йдеться про РОСС RU.0001.01БІОО – «Систему сертифікації засобів захисту інформації з вимог безпеки інформації».

    Існують різні вимоги ФСТЕК щодо захисту тих чи інших видів конфіденційної інформації. За підсумками процедури підтвердження відповідності того чи іншого програмного чи програмно-апаратного засобу вимогам безпеки видається сертифікат. Або не видається – залежить від результату.

    Оцінка відповідності застосовується у багатьох областях, та ІБ – не виняток. У зарубіжній практиці існує стандарт ISO IEC 15408:2009, призначений для опису критеріїв оцінки ІТ з точки зору інформаційної безпеки. У Росії діють свої засоби захисту.

    Безпека ЦОД

    До програмного забезпечення, що використовується для побудови ключових систем інформаційної інфраструктури, і до цих систем пред'являються особливі вимоги. Крім того, в ЦОД розміщуються цінні інформаційні активи компаній та організацій, захист яких повинен забезпечуватися на належному рівні та з урахуванням загроз інформаційній безпеці, вимог законодавства Росії та регуляторів.

    До ЦОДу пред'являються вимоги, 21-го, 17-го, 31-го наказів ФСТЕК Росії, вимоги ФСБ Росії щодо криптографічного захисту інформації, вимоги Банку Росії, ФЗ-256 «Про безпеку об'єктів паливно-енергетичного комплексу». І це лише основні вимоги.

    Наприклад, згідно з 152-ФЗ «Про персональні дані», системи обробки та зберігання персональної інформації росіян повинні не тільки розташовуватися на території нашої держави, а й відповідати вимогам у сфері безпеки, що висуваються законодавством. Особливо це стосується операторів комерційних ЦОД, для яких безпека та безпека інформації клієнтів є одним із ключових критеріїв оцінки якості.

    З моменту набрання чинності 152-ФЗ обробка персональних даних, включених до інформаційних систем, здійснюється відповідно до цього закону, що передбачає виконання операторами всіх вимог до програмного забезпечення, що використовується.

    Відповідно до федерального закону 149-ФЗ, все програмне забезпечення у державних, правоохоронних, фінансових та інших структурах, що обробляють службову інформацію, підлягає сертифікації ФСТЕК. Закон дозволяє таким організаціям використовувати лише сертифіковане програмне забезпечення.

    Якщо у комерційному, корпоративному чи державному ЦОД зберігаються персональні дані, з вимог законодавства серед іншого випливають також необхідні заходи щодо їх фізичного захисту. Конкретний набір заходів залежить від рівня конфіденційності, встановленого для оброблюваних даних. Виходячи з цього, вибирається клас захищеності ЦОД за нормами ФЗ та ФСТЕК і забезпечується, у тому числі і фізична. Найбільш збалансований спосіб забезпечити фізичну безпеку ЦОД – реалізувати багаторівневий захист (з кількома периметрами безпеки). Як і при ешелонованій обороні, прорив одного рівня не означатиме прориву системи безпеки.

    Поряд з організаційними заходами та документування комплекс заходів щодо захисту персональних даних передбачає впровадження технічних засобів захисту. За практикою, що склалася, це цілодобова присутність у ЦОД та на його території спеціально навченої збройної охорони, а також засоби відеоспостереження, що охоплюють зовнішній периметр ЦОД та внутрішні приміщення.
    На організації, які мають персональними даними громадян, накладається відповідальність і за збереження цих даних. Необхідні заходи фізичного захисту прямо чи опосередковано випливають також з інших стандартів та нормативів – міжнародних та національних, таких як TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 та ін.

    Щодо фізичної безпеки виділяють такі вимоги: організація режиму забезпечення безпеки приміщень, контроль фізичного доступу до інфраструктури, у тому числі до приміщень та споруд, контроль внесення та винесення обладнання, включаючи машинні носії. Важлива увага приділяється несанкціонованому доступу до інформації. Правильне побудова та документування процедур контролю доступу дозволяють дотримуватися необхідних вимог щодо забезпечення фізичної безпеки.

    Які саме системи та засоби атестовані в нашому дата-центрі?

    Що атестовано?

    У ЦОД RUVDS атестовано автоматизовані робочі місця співробітників (антивірусний захист, захист від злому інформаційної системи), засоби виведення (принтер), контроль доступу до приміщення, засоби захисту від прослуховування. Зокрема, атестат системи контролю та управління доступом (СКУД) гарантує надійність фізичної безпеки серверів ЦОД.

    Усі дії постійно протоколюються, активність за робочим місцем перевіряється на підозрілу та за необхідності, може бути заблокована з оповіщенням відповідальних осіб. Використовується сертифіковане програмне забезпечення, починаючи з сертифікованої ФСТЕК ОС Windows та спеціалізованого програмного забезпечення для контролю доступу та фільтрації трафіку до антивірусного захисту та гіпервізора.

    Таким чином, захищається робочий простір, який має пряме відношення до даних клієнтів. Це робиться засобами ОС на робочих станціях, баз даних, спеціалізованими захисними та антивірусними продуктами, міжмережевими екранами, засобами контролю доступу (СКУД), резервного копіювання та відновлення, знищення даних та контролю видалення інформації.

    Якщо клієнт попросить винести свою інфраструктуру на окрему машину, можна повністю захистити її, наприклад, встановити туди VipNet, SecretNet, якісь спеціальні антивіруси. І при цьому послуги, які ми надаємо, будуть сертифіковані, а нашого висновку про проведену роботу із захисту інфраструктури клієнта буде достатньо, щоб той міг звітувати перед регулюючими органами.

    Виключається етап атестації ІТ-інфраструктури замовника, тим самим до 50% знижується обсяг необхідних трудовитрат та часу, значно скорочується необхідний розмір інвестицій, суттєво полегшується процес атестації інформаційних систем.

    Щодо персональних даних, то наші сервери фізично знаходяться в Російській Федерації, RUVDS має також ліцензії Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій №137295 від 30.10.2015 («Телематичні послуги зв'язку») та №137296 від 30.10. 2015 («Послуги зв'язку з передачі даних, за винятком послуг зв'язку з передачі даних для цілей передачі голосової інформації»), тому з приводу виконання цього федерального закону ви можете бути спокійні.

    Навіщо сертифікують ЦОД

    Отримання підтверджуючих документів свідчить і пропоновані їм послуги. Сертифікація насамперед підтверджує відповідальність компанії перед усіма клієнтами (не тільки тими, хто працює з конфіденційною інформацією). Сам процес ліцензування за нормативами ФСТЕК є тривалим та досить витратним. Його просто не можуть собі дозволити невеликі учасники ринку або учасники, зацікавлені в вигоді від проекту.

    Отримання ліцензії ФСТЕК - це інвестиції у стратегічний розвиток компанії. Ліцензія ФСТЕК не тільки підтверджує компетентність компанії для роботи з персональними даними, але й дає можливість пропонувати послуги компаніям, у тому числі з державного сектора, які зобов'язані дотримуватись вимог щодо захисту конфіденційної інформації, наприклад, самі мають ліцензію ФСТЕК і передають нам як провайдеру послуг дані , що підлягають захисту за нормативами ФСТЕК
    Крім резервування на рівні дата-центру та сертифікації ФСТЕК, RUVDS персональних даних та корпоративної інформації третіх осіб. Крім загального страхування, RUVDS спільно з AIG планує запропонувати своїм клієнтам унікальні умови індивідуального страхування їхньої діяльності та даних на компанії.

    І, звичайно, у нашому дата-центрі ваші ресурси будуть: аналіз мережевого трафіку проводиться в режимі 24/7, а захист дозволяє стабільно витримувати атаки потужністю до 1500 Гбіт/сек. Аналітична система фільтрує трафік, що входить на вашу адресу, видаляє шкідливу інформацію, передаючи на ваш бік тільки легітимний безпечний трафік.

    Теги:

    • RuVDS
    • ФСТЕК
    • сертифікація
    Додати теги

    Зверніть увагу, що зараз наш центр сертифікації оформляє лише ідентифікаційний висновок щодо ФСТЕК у рамках експортного контролю. Стаття має інформаційний характер!

    Сертифікат відповідності ФСТЕК- Це дослівно документ, виданий федеральною структурою ФСТЕК, що підтверджує відповідність об'єкта, що сертифікується вимогам нормативних російських актів. Спробуємо це розшифрувати на понятійному рівні, і визначитися з чим це пов'язано і про що йдеться.

    ФСТЕК Росії - Федеральна служба з технічного та експортного контролю, у функції якої включено спеціальний контроль у деяких областях. ФСТЕК нині підпорядкована Міністерству оборони РФ. До серпня 2004 року ця служба мала іншу назву та підпорядкування. Це була Державна технічна комісія за Президента РФ. Однією з функцій, визначених ФСТЕК державою, є технічний захист інформації.

    До сфери діяльності сертифіката відповідності ФСТЕК належать засоби захисту інформації (СЗІ) без використання засобів криптографії та не становлять державної таємниці. Тобто забезпечення захисту інформаційної безпеки некриптографічними методами.

    Наш центр сертифікації зараз не оформляє цей дозвільний документ щодо програмного забезпечення. Зверніться до нас для отримання додаткової інформації.

    Продукція, що підлягає сертифікації ФСТЕК

    До об'єктів, для яких оформляється сертифікат відповідності ФСТЕК, належать такі:

    • антивірусні програми масового використання для реалізації на російському ринку (центр "РеГОСТ" сертифікат ФСТЕК на програмне забезпечення не оформлює);
    • міжмережеві екрани;
    • засоби захисту системного та мережевого рівня (сканери безпеки, засоби моніторингу безпеки, засоби захисту від несанкціонованого доступу);
    • Операційні системи;
    • системи керування базами даних;
    • прикладні інформаційні системи;
    • системи генерації паролів для доступу до інформаційних ресурсів;
    • електронні системи документообігу та інші.

    В органах державної влади, а також у державних корпораціях можуть застосовуватися лише програмні засоби, які мають необхідні ліцензії та сертифікати безпеки інформації, включаючи сертифікати відповідності ФСТЕК.

    Основним законом, який регулює сертифікацію у сфері СЗІ Постанова Уряду РФ № 608 «Про сертифікацію СЗІ», Введена в дію в 1995 році. Цей закон наказує: обов'язкова сертифікація та оформлення сертифіката відповідності ФСТЕК передбачено лише для продукції, що відноситься до засобів захисту інформації для запобігання відомостям, що є державною таємницею.

    Для захисту від несанкціонованого доступу до конфіденційних даних не потрібний обов'язковий сертифікат відповідності ФСТЕК або Декларація відповідності на ЗЗІ. І тут оцінка відповідності СЗИ є добровільною.

    Система сертифікації ФСТЕК

    ФСТЕК (раніше Урядова комісія) створила Систему сертифікації засобів захисту інформації з вимог безпеки інформації, яка має Свідоцтво № Р0СС UA.0001.01БИ00та зареєстрована в Державний реєстр 1995 року.

    Органи сертифікації даної системи оцінюють відповідність СЗІ на основі Керівних документів (РД) «Захист від несанкціонованого доступу до інформації». Дані документи розроблені різні групи товарів, які стосуються програмного, технічного забезпечення, до автоматизованим системам загалом.

    У всіх документах є показник. Оціночний рівень довіри (ОУД). Він введений у дію Наказом Держтехкомісії України від 19.06.02 р. № 187.ОУД характеризує рівень довіри до практичного виконання вимог щодо захисту інформації.

    Класи захищеності виробів

    Для захисту інформації, значимість якої визначається градацією «секретність/конфіденційність», встановлено такі класи захищеності виробів Інформаційних Технологій (ІТ):

    • четвертий класзахищеності виробів ІТ є достатнім для захисту конфіденційної інформації;
    • третій класзахищеності використовується захисту інформації з грифом «Секретно»;
    • другий клас- з грифом «Цілком таємно»;
    • перший класвикористовується для захисту інформації з грифом «Особливе значення».

    Сертифікат відповідності ФСТЕК містить відомості: на основі яких нормативних документів відбувалося виготовлення продукції, що містить СЗІ і чи кінцевий товар відповідає вимогам, викладеним у зазначеному нормативному акті. Тут же вказується клас захищеності товару за класифікацією рівня контролю відсутності недекларованих повноважень.

    Сертифікат відповідності ФСТЕК також містить відомості про сертифікаційні випробування, експертне висновки та лабораторію, де проходили лабораторні дослідження із зазначенням, коли і ким був виконаний інспекційний контроль даної сертифікаційної лабораторії.

    Процедура отримання сертифіката відповідності ФСТЕК

    Сертифікаційні лабораторії для оформлення сертифіката відповідності ФСТЕК можуть проводити низку різних випробувань:

    • на відповідність вимогам, пов'язаним із захистом від недозволеного доступу до інформації;
    • на відповідність вимогам Технічних умов;
    • відповідність функціональних можливостей, які реально є у досліджуваного продукту описам, зазначеним у документації на експлуатацію;
    • на відповідність декларованої безпеки досліджуваного товару;
    • на відсутність можливостей, які не вказані в документації, та пов'язані з безпекою інформації майбутнього користувача;
    • на відповідність вимогам стандартів підприємств, міжнародним стандартам у сфері СЗІ;
    • дослідження датчиків випадкових чисел на відповідність криптографічним вимогам та інші дослідження.

    Федеральний Закон «Про персональні дані»

    Наказ ФСТЕК N 58 набрав чинності 5 лютого 2010 року Положення, що визначає способи та методи захисту інформації про персональні дані в різних інформаційних системах. У ньому зазначено, що СЗІ має пройти сертифікацію в установленому порядку. Але такого документа, встановленого Президентом чи Урядом РФ, поки що не видано.

    Проте постачальники інформаційних систем, які можуть потрапити під дію ФЗ № 152 «Про персональні дані», прагнуть отримати Сертифікат відповідності ФСТЕК, який підтверджує, що замовники інформаційної системи, що має цей документ, захищають інформацію про персональні дані від несанкціонованого доступу до вимог закону .

    Добровільний сертифікат ФСТЕК

    Добровільний сертифікат на СЗІ можна оформити не лише як сертифікат відповідності ФСТЕК, а й звернутися до інших систем сертифікації. До них відносяться:

    • Система добровільної сертифікації "Газпромсерт". Ця система створена ВАТ «Газпром» для потреб своєї корпорації. У деяких випадках під час проведення тендерів на постачання потрібно від учасника отримати сертифікат відповідності цієї системи.
    • Система добровільної сертифікації "АйТіСертифіка" створена асоціацією "ЄВРААС".

    Продукти Microsoft, сертифіковані ФСТЕК, З точки зору програмного коду нічим не відрізняються від звичайних ліцензійних легальних продуктів Microsoft, оскільки програмна реалізація продуктів Microsoft дозволяє отримувати відповідні сертифікати ФСТЕК без змін програмного коду. Однак відповідно до законодавства Росії сертифіковані продукти ФСТЕК мають низку інших важливих відмінностей від несертифікованих продуктів, а саме:

    • кожен примірник сертифікованого продукту, що знаходиться у замовника, повинен пройти процедуру перевірки відповідності цього примірника тому примірнику, який пройшов сертифікацію;
    • кожен екземпляр сертифікованого продукту, що знаходиться у замовника, у разі позитивної перевірки його відповідності екземпляру, що пройшов сертифікацію, отримує пакет сертифікаційних документів державного зразка, включаючи голографічний знак відповідності ФСТЕК з унікальним номером на кожну копію (якщо у замовника видається 1000 голограм), який ідентифікує даний екземпляр у системі державного обліку сертифікованих продуктів;
    • кожна організація, яка купила сертифікований продукт, отримує захищений доступ до персональної сторінки для отримання сертифікованих оновлень.

    Продукти Microsoft сертифіковані іншими уповноваженими органами, містять додаткове програмне забезпечення, саме сервісні пакети, розроблені російськими організаціями, які дозволяють цим продуктам Microsoft задовольняти вимогам. Ці сервісні пакети 'Secure Pack Rus' містять передусім російську сертифіковану криптографію, яку Microsoft не виробляє.

    Використання сертифікованих продуктів

    Якщо організація хоче використовувати програмний продукт, який ще не сертифікований, то з цим продуктом вона повинна використовувати «накладений» (сторонній) засіб захисту інформації, що пройшов сертифікацію, і призначений для роботи з цим продуктом. Використання накладених засобів захисту значно подорожчає продукт і часто різко знижує можливість взаємодії цього продукту з іншими програмними та апаратними засобами. Тому Microsoft сертифікує свої програмні продукти із вбудованими засобами захисту інформації – так зручніше та дешевше для замовників.

    У Росії організовано масове виробництво всіх сертифікованих версій продуктів Microsoft. Це дозволяє замовникам купувати будь-які кількості сертифікованих продуктів. Безперервна сертифікація оновлень, що щомісяця виходять до продуктів, дозволяє покупцям мати сертифіковану версію не тільки з останніми оновленнями системи безпеки, але і відповідну при цьому вимогам регулятора.

    ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКОВАНІ ФСТЕК

    В даний час ФСТЕК сертифіковано такі продукти Microsoft:

    • клієнтська операційна система Microsoft Windows XP Professional, російська версія (включаючи ОЕМ-виробництво);
    • клієнтська операційна система Microsoft Windows Vista (Business, Enterprise, Ultimate), російська версія (включаючи виробництво ОЕМ);
    • серверна операційна система Microsoft Windows Server 2003 (Standard Edition та Enterprise Edition), російські версії;
    • серверна операційна система Microsoft Windows Server 2003 R2 (Standard Edition та Enterprise Edition), російські версії;
    • система управління базами даних Microsoft SQL Server 2005 (Standard Edition та Enterprise Edition), російські версії;
    • платформа офісних програм Microsoft Office 2003 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює з серверною технологією RMS, вбудовану в Microsoft Windows Server 2003;
    • платформа офісних програм Microsoft Office 2007 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює з серверною технологією RMS, вбудовану в Windows Server 2003;
    • міжмережевий екран Microsoft ISA Server 2006 (Standard Edition), російська версія - на відповідність як загальним критеріям, і керівним документам «СВТ. Міжмережеві екрани…» за третім класом захищеності;
    • антивірусні продукти Microsoft Forefront для серверів та робочих станцій (Forefront для Exchange Server, Forefront для SharePoint Server та Forefront Client);
    • сервер керування поштовими повідомленнями Microsoft Exchange Server 2007;
    • сервер для керування бізнес-процесами Microsoft BizTalk Server 2006 R2;
    • серверна операційна система Microsoft Windows Server 2008 (всі видання), включаючи сервер віртуалізації Hyper-V; російські версії;
    • система управління базами даних Microsoft SQL Server 2008 (всі видання), російські версії;
    • платформа офісних програм Microsoft Office Professional Plus 2007, російська версія;
    • система керування операціями в інформаційних системах Microsoft System Center Operations Manager 2007;
    • система керування конфігураціями в інформаційних системах Microsoft System Center Configuration Manager 2007;
    • система керування захистом даних в інформаційних системах Microsoft System Center Data Protection Manager 2007;
    • система керування віртуальними машинами в інформаційних системах Microsoft System Center Virtual Machine Manager 2008;
    • система управління відносинами із клієнтами Microsoft Dynamics CRM 4.0;
    • система керування підприємством Microsoft Dynamics AX 2009;
    • система керування підприємством Microsoft Dynamics AX 4.0;
    • система керування підприємством Microsoft Dynamics NAV 5.0;
    • клієнтська операційна система Windows 7 (всі видання), російська та англійська версії;
    • серверна операційна система Windows Server 2008 R2 (всі видання), російська та англійська версії;
    • сервер для управління бізнес-процесами Microsoft BizTalk Server 2009 (всі видання), російська версія;
    • сервер управління ідентифікацією у гетерогенних системах Microsoft Forefront Identity Manager 2010, російська та англійська версії;
    • сервер керування поштовими повідомленнями Microsoft Exchange Server 2010 (всі видання), російська та англійська версії;
    • система управління сервісами в інформаційних системах Microsoft System Center Service Manager 2010, російська та англійська версії;
    • система управління відносинами із клієнтами Microsoft Dynamics CRM 2011, російська версія;
    • система керування підприємством Microsoft Dynamics NAV 2009 R2, російська версія;
    • платформа офісних програм Microsoft Office Professional Plus 2010, російська та англійська версії;
    • система антивірусного захисту Microsoft Forefront Endpoint Protection 2010, російська та англійська версії;
    • сервер документообігу Microsoft SharePoint Server 2010 (всі видання), російська та англійська версії;
    • сервер комунікацій Microsoft Lync Server 2010 Enterprise, російська та англійська версії;
    • система керування підприємством Microsoft Dynamics AX 2012 R2;
    • клієнтська операційна система Microsoft Windows 8 (версія Windows 8, Windows 8 Професійна, Windows 8 Корпоративна);
    • серверна операційна система Microsoft Windows Server 2012 (Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows Server Essentials 2012, Windows Server Foundation 2012);
    • система управління інформаційною структурою Microsoft System Center 2012 (версії Standard та Datacenter);
    • система управління базами даних Microsoft SQL Server 2012 (версії Standard, Enterprise, Business Intelligence, Web);
    • платформа офісних програм Office Professional Plus 2013;
    • сервер керування віртуальними структурами Microsoft Hyper-V Server 2012;
    • система управління інформаційною структурою Microsoft System Center 2012 R2 (версії Standard та Datacenter);
    • система управління відносинами із клієнтами Microsoft Dynamics CRM 2013;
    • сервер керування поштовими повідомленнями Microsoft Exchange Server 2013 (версії Standard та Enterprise);
    • сервер документообігу Microsoft SharePoint Server 2013;
    • системи управління базами даних Microsoft SQL Server 2014 у редакціях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
    • система керування відносинами з клієнтами Microsoft Dynamics CRM Server 2015

    Відповідно до отриманих сертифікатів ФСТЕК, зазначені сертифіковані продукти дозволяють будувати автоматизовані системи до класу захищеності 1Г включно. Крім того, ті з них, що вийшли після прийняття ФЗ-152 «Про персональні дані», сертифіковані і на відповідність законодавству про персональні дані.

    В даний час у ФСТЕК закінчено сертифікацію наступних продуктів, всі звітні документи знаходяться в органах сертифікації:

    • Lync Server 2013;
    • Windows 8.1;
    • Windows Server 2012 R2.

    ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКУВАНІ іншими уповноваженими органами

    ФСБ сертифіковано наступними продуктами Microsoft:

    • клієнтська операційна система Microsoft Windows XP Professional, російська версія;
    • серверна операційна система Microsoft Windows Server 2003 Enterprise Edition, російська версія;
    • сервер документообігу Microsoft SharePoint Server 2007;
    • система керування базами даних Microsoft SQL Server 2008;
    • Microsoft Windows 7 Professional, Enterprise та Максимальна все з SP1;
    • Microsoft Windows 8 Professional та Enterprise;
    • Microsoft Windows 8.1 Professional та Enterprise;
    • Microsoft Windows Server 2008 Standard R2 і Enterprise R2 обидві c SP1;
    • Microsoft Windows Server 2012 Standard c SP1;
    • Microsoft Windows Server 2012 R2 з SP1.

    Сертифікати засвідчують, що ці продукти відповідають вимогам уповноважених органів Росії до

    • захист інформації, що не містить відомостей, що становлять державну таємницю,
    • захист від несанкціонованого доступу в автоматизованих інформаційних системах класу АК2 (деякі продукти сертифіковані і на рівень АК3).

    Крім того, уповноважені органи зробили позитивний висновок за результатами сертифікаційних випробувань центру, що входить до складу Windows Server 2003, на відповідність його рівню КС2 відповідно до національних вимог.

    Нещодавно одержано позитивні висновки за результатами проведених сертифікаційних випробувань наступних продуктів:

    • Microsoft Exchange Server 2010

    Як зазначено у документах, ці продукти можуть використовуватись для захисту конфіденційної інформації та персональних даних.

    Отримані результати сертифікації дозволяють створювати системи захищеного документообігу для органів державної влади та системи електронного уряду, побудовані на платформі Microsoft.

    Сертифіковані програмні продукти, процедура сертифікації програмного забезпечення, вимоги безпеки, завдання ФСТЕК та ФСБ.

    Відповідно до вимоги Федерального закону (Ф3) №781 та Постанови уряду РФ 17.11.07г., всі питання у сфері захисту персональних даних покладено на ФСТЕК Росіїі ФСБ Росії. Також є ряд уповноважених представників * , які можуть сертифікувати програмне забезпечення (ПЗ). Відповідно до вимог нормативних документів, використання сертифікованих засобів захисту інформації обов'язково у всіх інформаційних системах обробки персональних даних з 1-го до 3-го класу включно(Всі робочі станції та сервери з обробки персональних даних).

    Процедура сертифікації програмного забезпечення

    Процедура сертифікації необхідна у двох випадках:
    1. сертифікація розробниками за власним бажанням(мети сертифікації можуть бути різними);
    2. обов'язкова сертифікація програмного забезпечення(якщо ПЗ обробляє дані, втрата/витік яких може завдати шкоди/шкоди приватним особам, компаніям, державним та іншим структурам).
    Повідомлення про обробку персональних даних та, відповідно, використання сертифікованих засобів захисту не обов'язково у разі:
    • захисту персональних даних суб'єктів, з якими оператор має трудові відносини (наприклад, кадровий відділ у рамках однієї юридичної особи);
    • дані використовуються для виконання договору із Суб'єктом персональних даних (наприклад, Договору надання послуг та ін.);
    • персональні дані є знеособленими (тобто відсутня можливість точно ідентифікувати суб'єкта персональних даних, наприклад вага, зростання, дата народження та ін. параметри, які не прив'язані до будь-яких унікальних ідентифікаторів (паспорт, ІПН та ін.));
    • персональні дані є загальнодоступними (тобто дані, визначені загальнодоступними даними чи іншими законами, наприклад, дані про кандидатів на виборні посади та ін.).

    Сертифіковане ПЗ (вимоги щодо безпеки)

    • ПЗ, що пройшло перевірку відповідності в Системі сертифікації засобів захисту інформації за вимогами державних стандартів та нормативних документів щодо захисту інформації ФСТЕК Росії та ФСБ Росії, що підтверджується Сертифікатом відповідності.
    • Копія сертифіката відповідності (завірена печаткою заявника) повинна входити до комплекту поставки сертифікованого ПЗ;
    ПЗ, дистрибутив, якого відповідає еталонному екземпляру, що піддавався сертифікаційним випробуванням, що підтверджується відповідними записами в супровідній документації на сертифіковане ПЗ (формулярі), і спеціальним голографічним знаком відповідності з унікальним номером, який ідентифікує.
    • Верифікований дистрибутив ПЗ, формуляр із зазначенням контрольної суми дистрибутива та спеціальний голографічний знак відповідності повинні входити до комплекту поставки сертифікованого ПЗ;
    ПЗ, механізми захисту розгорнутої версії якого налаштовані відповідно до сертифікованих параметрів. ПЗ сертифікується на відповідність технічним документам (РД, ТУ або ЗБ) та з параметрами, зазначеними в цій документації.
    • Комплект поставки сертифікованого ПЗ повинен включати документацію та матеріали для налаштування ПЗ відповідно до сертифікованих параметрів, наведених у технічній документації;
    ПЗ, всі доробки (оновлення) якого, критичні для безпеки, піддаються сертифікаційним випробуванням, і доводяться до кінцевого користувача. При випуску оновлень та виправлень у системі безпеки сертифікованого продукту виробник зобов'язаний надати оновлення на сертифікацію та довести інформацію до споживача.
    • Комплект поставки сертифікованого ПЗ повинен включати всі необхідні інструменти для отримання споживачем оновлень безпеки;
    ПЗ, що контролюється в процесі експлуатації. ПЗ повинно мати засоби контролю цілісності, обліку подій впровадження у ПЗ оновлень безпеки, контролю захищеності у процесі експлуатації. У споживача мають бути механізми перевірки цілісності оновлень засобів захисту із використанням контрольних сум.
    • Комплект поставки сертифікованого ПЗ повинен включати необхідні програмні засоби (вбудовані або накладені), призначені для виконання даних вимог;
    ПЗ, кожен сертифікований екземпляр , якого враховано у реєстрі сертифікованих продуктів. Виробник зобов'язаний маркувати засоби захисту та забезпечувати безперешкодний доступ посадових осіб органів, які здійснюють контроль за сертифікованими засобами захисту до облікової інформації.
    • Кожен екземпляр сертифікованого ПЗ супроводжується унікальними номерами, що ідентифікують засіб захисту відповідно до порядків, встановлених для цієї системи сертифікації. ** .

    Завдання ФСТЕК та ФСБ

    Основними завданнями ФСТЕК у сфері сертифікації ПЗ є:
    • реалізація в межах своєї компетенції державної політики у сфері забезпечення безпеки інформації у ключових системах інформаційної інфраструктури, протидії технічним розвідкам та технічному захисту інформації;
    • здійснення самостійного нормативно-правового регулювання питань:
    1. забезпечення безпеки інформації у ключових системах інформаційної інфраструктури;
    2. протидії технічним розвідкам;
    3. технічного захисту інформації.
    • здійснення в межах своєї компетенції контролю діяльності щодо забезпечення безпеки інформації в ключових системах інформаційної інфраструктури, щодо протидії технічним розвідкам та з технічного захисту інформації в апаратах федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації, у федеральних органах виконавчої влади, органах виконавчої влади суб'єктів Російської Федерації, органах місцевого самоврядування та організаціях ***;

    Ліцензування ПЗ ФСБ Росії

    Ліцензування, яке здійснюється центром ФСБ Росії, підлягають:
    • діяльність, пов'язана з використанням відомостей, що становлять державну таємницю;
    • діяльність щодо здійснення заходів та (або) надання послуг у галузі захисту державної таємниці;
    • діяльність, пов'язана із створенням засобів захисту інформації ****;

    Відомості про систему сертифікації програмного забезпечення

    Усі дані про систему сертифікації засобів захисту інформації з вимог безпеки можна знайти на офіційному сайті ФСТЕК ***** .

    Сертифіковані продукти

    На даний момент кількість сертифікованих продуктів налічує 3154 позиції ******. Практично всі ці продукти можна знайти на нашому сайті в розділі «

    Операційні системи Microsoft Windows 8.1, Microsoft Windows 8.1 Професійна, Microsoft Windows 8.1 Корпоративна

    Сертифікат №3263

    07.11.2014 07.11.2020 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" (Держкомісія Росії, 1992) ¦ по 5 класу захищеності за умови встановлення всіх актуальних обов'язкових сертифікованих наведених у формулярах 501110-001-82487552-2014 03 ФО та 501110-001-82487552-2014 02 ФО.

    Обмеження щодо застосування

    1. Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування системи".
    2. Програмний комплекс має пройти процедуру контролю відповідності (верифікації) сертифікованого стандарту.

    Операційна система Microsoft Windows 7 (SP1) у редакціях "Професійна", "Корпоративна" та "Максимальна"

    Сертифікат №2180/1

    04.10.2011 04.10.2020 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" (Держкомісія Росії, 1992) - по 5 класу захищеності і можуть використовуватися при створенні автоматизованих систем до класу захисту інформаційних систем персональних даних до 2 класу включно.

    Обмеження щодо застосування:


    Серверні операційні системи

    Програмний комплекс "Microsoft Windows Server 2012 Standard"

    Сертифікат №2949

    06.09.2013 05.09.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого за 5 класом захищеності за умови встановлення всіх актуальних обов'язкових сертифікованих оновлень безпеки та виконання вказівок з експлуатації, наведених у формулярах 501110-002-82487552-2013 01 St ФО та 501110-002-82487552-20.

    Обмеження щодо застосування

    1. Програмний комплекс Microsoft Windows Server 2012 Standard повинен пройти процедуру контролю відповідності (верифікації) сертифікованому еталону.
    2. На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    серія ЗАТ "Документальні системи"

    Програмний комплекс "Microsoft Windows Server 2012 Datacenter"

    Сертифікат №2950

    06.09.2013 06.09.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" по 5 класу захищеності та можуть використовуватись при створенні автоматизованих систем до класу захищеності 1Г включно та при створенні інформаційних систем персональних даних до 3 класу включно.

    Обмеження щодо застосування

    1. Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування програмного комплексу".
    2. Програмний комплекс Microsoft Windows Server 2012 Datacenter має пройти процедуру контролю відповідності (верифікації) сертифікованому еталону.
    3. На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    серія ЗАТ "Документальні системи"

    Програмний комплекс "Microsoft Windows Server 2008 Standard Edition"

    Сертифікат №1928

    Обмеження щодо застосування

    1. Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування програмного комплексу".
    2. Програмний комплекс Microsoft Windows Server 2008 Standard Edition повинен пройти процедуру контролю відповідності (верифікації) сертифікованому еталону.
    3. На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    серія ЗАТ "Документальні системи"

    Програмний комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

    Сертифікат №1928/1

    Програмний комплекс "Microsoft Windows Server 2008 Enterprise Edition"

    Сертифікат №1929

    27.10.2009 26.10.2018 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" по 5 класу захищеності та можуть використовуватись при створенні автоматизованих систем до класу захищеності 1Г включно та при створенні інформаційних систем персональних даних до 3 класу включно.

    Обмеження щодо застосування

    1. Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування програмного комплексу".
    2. Програмний комплекс Microsoft Windows Server 2008 Enterprise Edition повинен пройти процедуру контролю відповідності (верифікації) сертифікованому стандарту.
    3. На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    серія ЗАТ "Документальні системи"

    Програмний комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

    Сертифікат №1929/1

    14.05.2010 14.05.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" по 5 класу захищеності та можуть використовуватися при створенні автоматизованих систем до класу захищеності 1Г включно та при створенні інформаційних систем персональних даних до 2 класу включно. серія ЗАТ "Документальні системи"

    Операційна система Microsoft Windows Server 2008 R2 (SP1) у редакціях Standard, Enterprise та Datacenter

    Сертифікат №2181/1

    13.10.2011 13.10.2020 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації" (Держкомісія Росії, 1992) - по 5 класу захищеності і можуть використовуватися при створенні автоматизованих систем до класу захисту інформаційних систем персональних даних до 2 класу включно.

    Обмеження щодо застосування:
    1.Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування системи".
    2. Програмний комплекс має пройти процедуру контролю відповідності (верифікації) сертифікованому стандарту.
    3.На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки. серія ЗАТ "Документальні системи"

    Програмний комплекс "Microsoft Windows Server 2008 Datacenter Edition"

    Сертифікат №1930

    29.10.2009 28.10.2018 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації Відповідають вимогам керівного документа "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого по 5 класу захищеності та можуть використовуватись при створенні автоматизованих систем до класу захищеності 1Г включно та при створенні інформаційних систем персональних даних до 3 класу включно.

    Обмеження щодо застосування

    1. Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з налаштування програмного комплексу".
    2. Програмний комплекс Microsoft Windows Server 2008 Datacenter Edition повинен пройти процедуру контролю відповідності (верифікації) сертифікованому стандарту.
    3. На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    Серія ЗАТ "Документальні системи"

    СУБД

    Система управління базами даних Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

    Сертифікат №3518

    15.02.2016 15.02.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомості, що становлять державну таємницю, що реалізує функції контролю доступу, ідентифікації та аутентифікації, реєстрації подій безпеки та відповідає вимогам ТУ серія ТОВ "Науково об'єднання обчислювальних систем"

    Система керування базами даних Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

    Сертифікат №2967

    18.09.2013 18.09.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю, що реалізує функції контролю доступу, ідентифікації та аутентифікації, реєстрації подій безпеки та відповідає вимогам ТУ серія ЗАТ "Документальні

    Офісні програмні комплекси

    Програмний комплекс Microsoft Office. Professional Plus 2016

    Сертифікат №3161

    23.06.2014 23.06.2020 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. серія ЗАТ "КЛІО"

    Програмний комплекс Microsoft Office. Professional Plus 2013

    Сертифікат №3161

    23.06.2014 23.06.2020 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. Відповідає вимогам ТУ 5029-007-82487522-2013 серія ЗАТ "Королівська лабораторія інформаційних об'єктів"

    Програмний комплекс Microsoft Office. Standard 2007

    Сертифікат №1923

    13.10.2009 13.10.2018 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації

    Відповідає ЗБ "Microsoft Office Standard 2007. Завдання з безпеки. MS.Office_ST_2007.ЗБ. Версія 1.0", має оцінний рівень довіри ОУД 1 (посилений) відповідно до керівного документа "Безпека інформаційних технологій. Критерії оцінки безпеки інформаційних технологій" (Гостех , 2002) і може використовуватися для створення автоматизованих систем до класу захищеності 1Г включно при виконанні обмежень.

    Обмеження щодо застосування:

    • При використанні програмного комплексу повинні дотримуватись умов, визначених для середовища функціонування в MS.Office 2007.ЗБ.
    • Налаштування та контроль механізмів захисту безпеки повинні виконуватись відповідно до "Посібника з безпечного налаштування програмного комплексу".
    • Програмний комплекс "Microsoft® Office. Standard 2007" має пройти процедуру контролю відповідності (верифікації) сертифікованому стандарту.
    • На програмний комплекс мають бути встановлені всі актуальні обов'язкові сертифіковані оновлення безпеки.
    Серія ТОВ "ЦБІ"

    Міжмережеві екрани та шлюзи

    Програмний комплекс UserGate UTM

    Сертифікат №3905

    23.03.2018 23.03.2021 Програмно-технічний засіб захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю Відповідає:
    Вимоги до міжмережевих екранів” (ФСТЕК Росії, 2016);
    Профіль захисту міжмережевого екрану типу А четвертого класу захисту. ІТ.МЕ.А4.П3”. (ФСТЕК Росії, 2016);
    Профіль захисту міжмережевого екрану типу Б четвертого класу захисту. ІТ.МЕ.Б4.ПЗ”. (ФСТЕК Росії, 2016);
    Вимоги до систем виявлення вторгнень" (ФСТЕК Росії, 2011);
    Профіль захисту систем виявлення вторгнень рівня мережі четвертого класу захисту. ІТ.СОВ.С4.П3” (ФСТЕК Росії, 2012).
    Може використовуватися у складі автоматизованих систем (АС) до класу захищеності 1Г та інформаційних системах персональних даних (ІСПДн) та державних інформаційних системах (ГІС) до 1 класу (рівня) захищеності включно. На виконання вимог ФСТЕК при сертифікації пройдено контроль за відсутністю недекларованих можливостей за 4 рівнем контролю. Серія АТ "НВО "Ешелон"

    Засоби контролю доступу

    Програмний комплекс DeviceLock 8 DLP Suite

    Сертифікат №3465

    05.11.2015 05.11.2023 Програмний комплекс, призначений для захисту інформації від витоків, що здійснює контроль та протоколювання доступу користувачів до пристроїв, портів введення-виведення та мережевих протоколів. Програмний комплекс відповідає вимогам документів "Вимоги до засобів контролю знімних машинних носіїв інформації, ФСТЕК Росії", затверджених Наказом ФСТЕК Росії від 28 липня 2014 р. N 87 по 4 класу захисту та "Профіль захисту засобів контролю підключення знімних машинних носіїв інформації четвертого класу захисту (ІТ.СКН.П4.ПЗ)" (ФСТЕК Росії, 2014), керівного документа "Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю відсутності недекларованих можливостей" (Держкомісія Росії, 1999) . Серія ТОВ "ЦБІ"

    Засоби резервного копіювання та відновлення

    Програмний комплекс Acronis Backup & Recovery 11. Advanced Workstation

    Сертифікат №2678

    Програмний комплекс Acronis Backup & Recovery 11. Advanced Server

    Сертифікат №2677

    16.07.2012 16.07.2021 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомості, що становить державну таємницю Відповідає вимогам керівного документа "Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення. рівню контролю відсутності недекларованих можливостей" (Гостехкомісія Росії, 1999) - по 4 рівню контролю та технічних умов, а також може використовуватися при створенні автоматизованих систем до класу захищеності 1Г включно та для захисту інформації в інформаційних системах персональних даних до 1 класу включно. Серія ТОВ "ЦБІ"

    Антивірусні засоби

    Засоби знищення даних та контролю видалення інформації

    Засоби аналізу захищеності

    Програмний комплекс Засіб аналізу захищеності RedCheck

    Сертифікат №3172

    23.06.2014 23.06.2020 Сучасний засіб аналізу захищеності, що надає детальні відомості про ефективність заходів щодо захисту інформації в корпоративній мережі та її окремих елементах. Відповідає вимогам керівного документа "Захист від несанкціонованого доступу до інформації. Частина I. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю відсутності недекларованих можливостей" (Гостехкомісія Росії, 1999) за 4 рівнем контролю та технічних умов. серія ТОВ "ЦБІ"

    Засоби віртуалізації

    21.11.2016 21.11.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю Відповідає вимогам технічних умов при виконанні вказівок з експлуатації, наведеної у формулярі АЛМЮ.5000. серія ТОВ "ЦБІ"

    Програмний комплекс VMware Horizon 6 (у редакціях Standard, Advanced та Enterprise)

    Сертифікат №3660

    21.11.2016 21.11.2019 Програмний засіб загального призначення із вбудованими засобами захисту від несанкціонованого доступу до інформації, що не містить відомостей, що становлять державну таємницю. Відповідає вимогам ТУ під час виконання вказівок з експлуатації, наведених у формулярі АЛМЮ.501000.ВМХ06-01.30. серія ТОВ "ЦБІ"