Pensijilan FSTEC apa. Pensijilan alat keselamatan maklumat. Sistem infrastruktur maklumat utama

Mengapa anda memerlukan pensijilan?

Mengapa anda memerlukan pensijilan perisian?

Isu melindungi maklumat sulit berkait rapat dengan kepentingan masyarakat, individu, perniagaan dan negara. Pada masa kini, dalam keadaan pembentukan ruang maklumat bersatu, mereka adalah komponen terpenting dalam tugas yang diselesaikan oleh badan kerajaan, institusi dan organisasi dalam pembangunan, penciptaan, pengendalian sistem maklumat, pangkalan data dan bank data peribadi sistem maklumat. .

Mana-mana negeri berusaha untuk memastikan kawalan ke atas maklumat yang berkaitan dengan memastikan keselamatan negara. Dan seterusnya kepada perisian yang dipasarkan dan digunakan untuk membina sistem utama infrastruktur maklumat, terdapat keperluan khas.


Sistem infrastruktur maklumat utama

Sistem utama tersebut termasuk:

  • sistem maklumat badan kerajaan, badan pengurusan dan agensi penguatkuasaan undang-undang;
  • sistem maklumat untuk aktiviti kewangan, kredit dan perbankan;
  • sistem maklumat dan telekomunikasi untuk tujuan khas;
  • rangkaian komunikasi agensi penguatkuasaan undang-undang;
  • rangkaian komunikasi awam di kawasan yang tidak mempunyai sandaran atau jenis komunikasi alternatif;
  • sistem pengurusan bekalan tenaga automatik;
  • sistem kawalan automatik untuk pengangkutan darat dan udara;
  • sistem kawalan automatik untuk pengeluaran dan pengangkutan minyak dan gas;
  • sistem automatik untuk amaran dan tindak balas kepada situasi kecemasan;
  • sistem kawalan automatik untuk pengeluaran berbahaya alam sekitar;
  • sistem pengurusan bekalan air automatik;
  • sistem geografi dan navigasi.

Dan ini bukan senarai lengkap. Dalam sistem ini, maklumat yang berkaitan dengan aktiviti pengeluaran, organisasi, ekonomi, saintifik, teknikal, kredit, kewangan dan lain-lain negara dikumpul, diproses dan dihantar. Penghantaran operasi dan maklumat pengurusan teknologi beredar dalam beberapa sistem dan rangkaian, yang menentukan kebolehpercayaan dan keselamatan fungsi keseluruhan kompleks ekonomi Rusia dan mempunyai kesan yang besar dalam memastikan keselamatan negaranya dalam bidang maklumat. Itulah sebabnya sistem ini adalah kunci.

Dalam hal ini, pengeluar perisian mesti ambil kira keperluan yang dikenakan oleh undang-undang antarabangsa dan negara mengenai sistem maklumat yang direka bentuk untuk berfungsi dengan maklumat tersebut.

Prosedur pensijilan diperlukan untuk mengesahkan bahawa perisian memenuhi keperluan ini!

Siapa yang dikehendaki menggunakan perisian yang diperakui?

Semua organisasi kerajaan, pertubuhan bukan kerajaan yang bekerja dengan apa yang dipanggil "maklumat rasmi badan kerajaan", serta beberapa organisasi lain mengikut perundangan Rusia (contohnya, organisasi tertakluk kepada keperluan yang berkaitan "Undang-undang Data Peribadi").

Di bawah ialah petikan daripada dokumen perundangan dan kawal selia, yang bersama-sama menunjukkan keperluan untuk menggunakan alat keselamatan maklumat yang diperakui:

  • Dalam Undang-undang Persekutuan 149 (FZ) Perkara 14, Fasal 8 dikatakan bahawa "...cara teknikal yang dimaksudkan untuk memproses maklumat yang terkandung dalam sistem maklumat negeri, termasuk perisian dan perkakasan dan cara keselamatan maklumat, mesti mematuhi keperluan perundangan Persekutuan Rusia mengenai peraturan teknikal"
  • Dalam Undang-undang Persekutuan 184“Mengenai peraturan teknikal” dalam Perkara 4. "Pihak berkuasa eksekutif persekutuan diberi hak untuk mengeluarkan akta mandatori dalam bidang peraturan teknikal dalam kes-kes yang ditetapkan oleh Perkara 5"
  • Perkara 5 Undang-undang Persekutuan 184 terpakai, antara lain, untuk produk yang digunakan untuk melindungi maklumat yang diklasifikasikan sebagai maklumat terhad yang dilindungi mengikut perundangan Persekutuan Rusia (termasuk "maklumat rasmi agensi kerajaan")
  • Badan yang diberi kuasa diberi kuasa untuk menetapkan keperluan mandatori untuk perlindungan maklumat, acc. daripada Perkara 15 Undang-undang Persekutuan 149 ialah FSTEC Rusia
  • Khususnya, dalam dokumen pengawalseliaan STR-K(Keperluan khas untuk perlindungan maklumat sulit) FSTEC Rusia diluluskan
    • fasal 2.3.“Keperluan dan cadangan dokumen ini terpakai kepada perlindungan sumber maklumat negara dengan kaedah bukan kriptografi yang bertujuan untuk mencegah kebocoran maklumat yang dilindungi melalui saluran teknikal, daripada akses tanpa kebenaran kepadanya dan daripada pengaruh khas pada maklumat untuk tujuan pemusnahannya. , herotan dan penyekatan.”
    • fasal 2.16. “Untuk melindungi maklumat sulit, alat keselamatan maklumat yang diperakui mengikut keperluan keselamatan maklumat digunakan. Prosedur pensijilan ditentukan oleh undang-undang Persekutuan Rusia.
    • fasal 2.17. "Objek pemformatan mesti diperakui mengikut keperluan keselamatan maklumat mengikut dokumen kawal selia FSTEC Rusia dan keperluan dokumen ini."
  • Undang-undang Persekutuan Rusia N 5485-1 pada 21 Julai 1993. (“Akta Rahsia Rasmi”) mentakrifkan alat keselamatan maklumat sebagai “bahagian penting dalam sistem atau produk maklumat.”

Selaras dengan undang-undang ini, organisasi yang berkaitan (khususnya, organisasi kerajaan) dikehendaki menggunakan perisian dan perkakasan dengan cara keselamatan maklumat yang diperakui.

Badan pensijilan

Siapa yang menjalankan pensijilan perisian di Persekutuan Rusia?

Di negara kita, terdapat beberapa sistem pensijilan berbeza tertumpu pada jenis perisian yang berbeza (FSTEK, FSB, Kementerian Pertahanan, dll.).

Sistem pensijilan utama untuk kebanyakan perisian ialah sistem pensijilan FSB dan FSTEC.

  • Pensijilan FSB bertujuan untuk mengesahkan subsistem perisian yang menggunakan perlindungan kriptografi (di negara kita hanya algoritma kriptografi Rusia dibenarkan). Keperluan sistem pensijilan FSB tidak awam, membiasakan diri dengan mereka memerlukan pelepasan khas.
  • Pensijilan FSTEC bertujuan untuk mengesahkan perlindungan teknikal maklumat menggunakan kaedah bukan kriptografi. Keperluan sistem pensijilan FSTEC dibuka dan diterbitkan pada laman web rasmi .

Produk perisian 1C-Bitrix semasa tidak mengandungi alat perlindungan kriptografi terbina dalam, jadi pensijilan FSB tidak diperlukan untuk mereka. Selanjutnya dalam teks kita hanya akan bercakap tentang pensijilan FSTEC.

Apakah produk yang diperakui di Persekutuan Rusia?

Sistem pensijilan Rusia pada asasnya berbeza daripada sistem yang diterima pakai di negara lain, dan untuk yang lebih baik. Setiap salinan perisian yang memohon sijil disemak untuk pematuhan dengan yang telah diuji secara langsung semasa pensijilan, iaitu, pada peringkat binari, semua salinan yang diperakui adalah sama sepenuhnya. Perkhidmatan yang bertanggungjawab ke atas integriti produk ini boleh pada bila-bila masa mengesahkan bahawa pengguna mempunyai semua tampalan dan kemas kini yang diperakui yang diperlukan, serta menyemak produk untuk ketiadaan perubahan yang tidak diperakui.

Tetapi menurut syarat sistem pensijilan antarabangsa Kriteria Biasa, mana-mana salinan berlesen perisian yang telah lulus pensijilan dianggap disahkan - identiti setiap salinan yang dijual bagi satu salinan yang telah diperakui secara langsung tidak disahkan. Tetapi tampalan dan versi program baharu kerap dikeluarkan, dan versi perisian yang dibekalkan kepada pasaran hari ini mungkin berbeza daripada salinan yang diuji pada masa itu dan diserahkan untuk sijil.

Setiap salinan produk 1C-Bitrix yang diperakui mempunyai pakej dokumen yang dikeluarkan kerajaan yang mengesahkan bahawa produk ini diperakui. Selain itu, terdapat tanda pematuhan FSTEC holografik dengan nombor unik yang mengenal pasti kejadian ini dalam sistem pendaftaran negeri bagi produk yang diperakui.

Setiap organisasi yang telah membeli produk yang diperakui mempunyai akses selamat ke halaman peribadi untuk organisasi ini di tapak web khusus, dari mana organisasi ini akan menerima kemas kini yang diperakui dan maklumat lain.

Apakah FSTEC Rusia dan apakah fungsinya?

FSTEC Rusia (sehingga 2004 – Suruhanjaya Teknikal Negeri Rusia) ialah badan eksekutif persekutuan dengan kuasa berikut:

  • memastikan keselamatan maklumat dalam sistem infrastruktur maklumat dan telekomunikasi utama;
  • menentang perisikan teknikal asing;
  • memastikan keselamatan maklumat teknikal kaedah bukan kriptografi;
  • pelaksanaan kawalan eksport.

Selaras dengan peraturan mengenai FSTEC Rusia, salah satu tugas utamanya ialah mengatur aktiviti sistem negara untuk menentang perisikan teknikal dan perlindungan teknikal maklumat di peringkat persekutuan, antara wilayah, serantau, industri dan kemudahan, serta menguruskan sistem negeri yang ditentukan.

Semua tindakan undang-undang peraturan dan dokumen metodologi yang dikeluarkan mengenai aktiviti FSTEC Rusia, wajib perkakas badan kerajaan persekutuan dan badan kerajaan entiti konstituen Persekutuan Rusia, pihak berkuasa eksekutif persekutuan, pihak berkuasa eksekutif entiti konstituen Persekutuan Rusia, badan dan organisasi kerajaan tempatan.

Bagaimanakah pensijilan FSTEC dijalankan?

FSTEC hanyalah penganjur pensijilan dan perkhidmatan kawalan peringkat atasan. Tindakan langsung dilakukan Pemberi lesen FSTEC– makmal ujian dan organisasi pakar. Yang pertama secara langsung menjalankan penyelidikan perisian, manakala yang kedua menyemak kualiti ujian ini.

Pelanggan mempunyai hak untuk memilih makmal ujian (dengan persetujuan FSTEC), tetapi FSTEC secara bebas melantik organisasi pakar untuk menyemak keputusan.

Oleh itu, dalam satu pihak, terdapat persekitaran yang kompetitif apabila makmal ujian bersaing untuk pelanggan (dengan kos pemeriksaan, masa, dll.), Sebaliknya, kualiti ujian diperiksa dengan jelas oleh pakar bebas.

Sistem pensijilan FSB berfungsi sama.

Selain itu, dalam sistem pensijilan FSTEC juga ada institut pemohon. Syarikat-syarikat ini bekerja secara langsung dengan makmal ujian dan organisasi pakar; merekalah yang membandingkan salinan produk yang dijual untuk mematuhi sampel mereka yang diperakui. Mereka juga mengeluarkan dokumen standard untuk setiap salinan produk yang telah menjalani perbandingan sedemikian dan menyimpan rekod produk tersebut.

Pemohon menanggung kos menyemak produk, mengeluarkan dokumen yang berkaitan, mengekalkan rekod kekal produk yang diperakui (di mana dan dalam keadaan apa produk ini berada), dalam beberapa kes, dengan persetujuan dengan pemilik produk, mereka juga menjalankan pensijilan semua tampalan dengan perbelanjaan mereka sendiri.

Pensijilan produk 1C-Bitrix

Organisasi manakah yang 1C-Bitrix bekerjasama dalam proses pensijilan dan dalam format apa?

Pada masa ini, syarikat 1C-Bitrix sedang bekerjasama dengan syarikat itu. Syarikat ini memainkan peranan berikut:

Pemohon, yang

a. menjalankan semua aktiviti organisasi yang berkaitan dengan pensijilan;

b. menanggung kos untuk mengekalkan rekod kekal salinan produk yang diperakui;

c. secara langsung menjual produk perisian 1C-Bitrix yang disahkan.

Adakah cukup untuk menggunakan produk 1C-Bitrix yang diperakui untuk pensijilan akhir sistem maklumat?

Sudah tentu tidak. Penggunaan perisian yang diperakui adalah syarat yang perlu tetapi tidak mencukupi untuk pensijilan akhir sistem maklumat pelanggan.

Pertama, sebagai peraturan, produk yang diperakui berfungsi dalam infrastruktur IT. Untuk produk 1C-Bitrix, ini ialah sistem pengendalian pelayan web dan pelayan pangkalan data, pelayan DBMS, pelayan web, jurubahasa PHP, prapenyusun PHP, dsb. Sehubungan itu, keselamatan keseluruhan sistem hanya boleh dicapai jika semua komponennya selamat, yang juga ditentukan oleh kehadiran sijil yang sesuai padanya.

Kedua, semasa fasa pelaksanaan, perubahan mungkin dibuat pada produk yang juga boleh mengurangkan keselamatan sistem secara keseluruhan, dan perubahan ini juga mesti diuji dan diperakui.

Ketiga, pakej versi produk yang diperakui termasuk senarai cadangan untuk pemasangan dan penggunaannya. Pengesyoran ini disediakan dalam makmal ujian dan pematuhannya menjamin tahap perlindungan terbaik yang memenuhi keperluan pelanggan. Cadangan ini adalah wajib.

Oleh itu, dalam apa jua keadaan, pensijilan akhir sistem maklumat untuk pematuhan dengan keperluan FSTEC dan (atau) FSB adalah perlu.

Menggunakan versi yang diperakui membolehkan anda menjimatkan dengan ketara pada prosedur untuk pensijilan akhir sistem maklumat dan (atau) tempat kerja untuk pematuhan mereka dengan keperluan untuk melindungi maklumat kategori tertentu, walaupun tidak memerlukan pensijilan automatik. Jika perisian yang tidak diperakui digunakan, adalah perlu untuk membeli dan melaksanakan alat keselamatan diperakui tambahan, yang boleh meningkatkan kos pensijilan dengan banyak.

Bagaimana dan bila pelanggan menerima kemas kini kepada produk yang diperakui?

Apabila sebarang kemas kini produk dikeluarkan, pensijilannya diperlukan, jika tidak, dengan memasang kemas kini yang tidak diperakui, pengguna akhir melanggar integriti sistem keselamatan maklumat dan sistem keselamatan maklumat kehilangan status diperakuinya.

Semua kemas kini diuji dalam makmal ujian. Selanjutnya, semua kemas kini yang diperakui tersedia pada Portal Kemas Kini Diperakui Kumpulan SIS. Biasanya, prosedur ini mengambil masa dari beberapa hari hingga beberapa minggu.

Walau bagaimanapun, sebagai peraturan, memandangkan konservatisme pelanggan versi diperakui dan prosedur kelulusan dalaman mereka, kelewatan sedemikian tidak kritikal, dan pensijilan kemas kini adalah tepat pada masanya untuk keputusan dibuat.

Dalam versi produk 1C-Bitrix yang diperakui sistem kemas kini standard tidak digunakanSiteUpdate melalui Internet, kerana kemas kini ini tidak diperakui. Kemas kini yang diperakui boleh diperoleh daripada bahagian selamat laman web Kumpulan Sistem Maklumat Diperakui, di mana setiap pelanggan mempunyai akaun peribadi dengan kemas kini yang tersedia.

Apabila memuat turun kemas kini yang diperakui, pelanggan memuat naiknya sebagai fail dalam dialog khas sistem kemas kini

Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport ialah badan eksekutif persekutuan yang menjalankan pemeriksaan dan kawalan dalam bidang keselamatan negeri. Hari ini, setiap pemilik komputer riba, apabila membeli satu atau satu lagi program atau perisian antivirus, telah lebih daripada sekali mendengar ungkapan seperti pensijilan FSTEC. Tetapi hanya sedikit orang yang tahu apa itu sijil FSTEC.

Hari ini, isu perlindungan maklumat berkait rapat dengan kepentingan masyarakat, perniagaan dan negara. Lazimnya, setiap negeri berusaha untuk mengawal maklumat yang berkaitan dengan keselamatan negara. Oleh itu, dari tahun ke tahun ia menetapkan tugas utama untuk membangunkan dan mengendalikan sistem maklumat dan pangkalan data peribadi yang dilindungi dengan baik. Sistem sedemikian menyimpan dan memproses sejumlah besar maklumat yang berkaitan dengan hampir semua jenis aktiviti kerajaan. Atas sebab inilah pengeluar perisian mesti mengambil kira keperluan undang-undang yang dikenakan ke atas sistem maklumat yang terlibat dalam aktiviti kerajaan. Prosedur pensijilan FSTEC dijalankan untuk mengesahkan pematuhan dengan petunjuk keselamatan asas.

Sijil FSTEC dikeluarkan selepas melengkapkan peringkat berikut:

  • mengisi permohonan untuk prosedur pengesahan;
  • mendapatkan keputusan mengenai pensijilan;
  • pelaksanaan perjanjian untuk pelaksanaan proses pensijilan;
  • kelulusan program ujian;
  • ujian;
  • penyediaan laporan ujian;
  • membuat perjanjian dengan organisasi pakar;
  • pemeriksaan ujian makmal;
  • mengeluarkan sijil.

Sistem pensijilan perisian Rusia pada asasnya berbeza daripada pensijilan di Barat. Pertama, setiap salinan perisian yang mendakwa sijil FSTEC, menjalani satu siri ujian dan peperiksaan yang mana produk asal telah dikenakan. Kedua, setiap syarikat yang telah membeli produk yang diperakui mempunyai akses selamat kepada pangkalan maklumat perisian ini, dari mana organisasi akan menerima kemas kini.

Sejak 2004, badan eksekutif persekutuan mempunyai kuasa berikut:

  1. Memastikan perlindungan dan keselamatan dalam sistem infrastruktur utama;
  2. Pelaksanaan maklumat teknikal;
  3. Perlindungan maklumat daripada perisikan teknikal asing;
  4. Memastikan kawalan eksport.

FSTEC tidak terlibat dalam aktiviti pensijilan; ia adalah penganjur utama pensijilan. Bahagian terbesar tindakan dilakukan oleh pemberi lesennya - makmal ujian dan pusat pakar. Makmal memeriksa perisian, dan organisasi pakar menyemak kualiti ujian yang dilakukan. Sudah tentu, pemohon boleh mengeluarkan sijil FSTEC berdasarkan keputusan ujian pihak ketiga. Tetapi dalam kes ini, sebelum mengeluarkan sijil, FSTEC berhak untuk melantik semakan semula keputusan organisasi pakar lain. Atas sebab ini, institut pemohon beroperasi dalam sistem FSTEC. Mereka membandingkan salinan produk yang dijual dengan program yang telah diterima sebelum ini sijil FSTEC.

Di seluruh dunia hari ini, ujian kod sistem maklumat mengikut keperluan keselamatan maklumat diamalkan, namun, walaupun terdapat pengembangan amalan pensijilan, beberapa mitos dan salah tanggapan telah berkembang di sekelilingnya.

02.08.2011 Alexey Markov, Valentin Tsirlov

Di seluruh dunia hari ini ia diamalkan untuk menguji kod sistem maklumat mengikut keperluan keselamatan maklumat. Sebagai contoh, sistem perisian kerajaan dan pembayaran menjalani pengesahan mandatori di luar negara, manakala di Rusia kaedah pensijilan preskriptif untuk keperluan keselamatan maklumat mendominasi. Walau bagaimanapun, di sebalik pengembangan amalan pensijilan, beberapa mitos dan salah tanggapan telah berkembang di sekelilingnya.

Di Barat, audit mandatori disediakan untuk sistem perisian kerajaan dan pembayaran, dan bank, pembrokeran, pelaburan, insurans dan syarikat perkhidmatan yang menyediakan perkhidmatan dalam industri hartanah dan di Internet menjalani audit sukarela. Di negara kita, kaedah preskriptif penilaian pematuhan secara tradisinya diguna pakai; khususnya, perisian beberapa sistem maklumat tertakluk kepada pensijilan mandatori mengikut keperluan keselamatan maklumat.

Dari segi sejarah, sistem pensijilan untuk keperluan keselamatan maklumat di Rusia timbul selepas kejatuhan USSR, apabila terdapat keperluan untuk mengawal keselamatan perisian asing, serta kualiti sistem perisian Rusia yang berkaitan dengan pemprosesan dan perlindungan rahsia negara. . Kementerian Pertahanan, FSB dan FSTEC menjadi peserta aktif dalam proses pensijilan.

Sehingga baru-baru ini, pensijilan terutamanya berkaitan dengan kementerian kuasa dan perusahaan perindustrian yang menjalankan perintah kerajaan, dan majoriti pakar dalam bidang teknologi maklumat kurang berminat dalam masalah ini. Keadaan telah berubah dengan ketara dengan penggunaan Undang-undang Persekutuan-152 "Mengenai Data Peribadi" dan dokumen peraturan dan metodologi yang mengikutinya. Ternyata pensijilan perisian dan pensijilan objek pemformatan diperlukan untuk kebanyakan syarikat komersial dan semua organisasi kerajaan yang bekerja dalam bidang perubatan, pendidikan dan pengangkutan. Ini serta-merta menimbulkan banyak persoalan dan, sebagai peraturan, pertimbangan negatif, yang dikaitkan dalam kebanyakan kes dengan salah faham intipati dan proses pensijilan.

Secara umum, pensijilan biasanya difahami sebagai pengesahan bebas pematuhan ciri-ciri tertentu barangan atau perkhidmatan dengan keperluan tertentu. Dalam kes kami, kami bercakap tentang alat atau program perlindungan perisian dalam versi yang dilindungi - sewajarnya, keperluan adalah dokumen kawal selia dan dokumentasi yang berkaitan dengan keselamatan maklumat.

Bagaimanakah pensijilan dijalankan?

Ciri asas mana-mana ujian pensijilan ialah kebebasan makmal ujian yang menjalankan ujian dan organisasi pensijilan yang memantau secara bebas keputusan ujian yang dijalankan oleh makmal. Secara umumnya, skim pensijilan adalah seperti berikut.

  1. Pemohon (pemaju atau syarikat lain yang berminat dalam pensijilan) menyerahkan permohonan kepada badan pensijilan persekutuan (FSB, FSTEC atau Kementerian Pertahanan) untuk menjalankan ujian pensijilan produk tertentu.
  2. Badan persekutuan menentukan makmal ujian dan badan pensijilan bertauliah.
  3. Makmal ujian, bersama-sama dengan pemohon, menjalankan ujian pensijilan. Jika semasa ujian ketidakkonsistenan tertentu dengan keperluan yang dinyatakan didedahkan, maka ia boleh dihapuskan oleh pemohon dalam susunan kerja, yang berlaku dalam kebanyakan kes, atau keputusan boleh dibuat untuk menukar keperluan untuk produk, sebagai contoh, untuk menurunkan kelas keselamatan. Ada kemungkinan ujian pensijilan diselesaikan dengan keputusan negatif. Contoh paling sensasi dalam akhbar ialah kes apabila makmal ujian Institut Penyelidikan Tentera Laut, selepas setahun pemeriksaan, mengeluarkan kesimpulan pensijilan negatif untuk produk perisian tujuan khas. Terdapat sekurang-kurangnya lima kes yang diketahui di mana versi tertentu OS dan DBMS tidak dapat memperoleh sijil kerana ketiadaan keupayaan yang tidak diisytiharkan kerana kehilangan sebahagian kod sumber modul lama. Jika anda melihat daftar FSTEC, anda akan mendapati bahawa beberapa sistem keselamatan perisian (contohnya, Oracle DBMS dan sistem keselamatan aplikasi IBM Guardium) menerima sijil hanya untuk pematuhan dengan spesifikasi teknikal, dan bukan untuk pematuhan dengan dokumen yang mengawal. Suruhanjaya Teknikal Negeri - ini bermakna badan pensijilan menganggap bahawa tidak semua keperluan dokumen panduan telah disahkan semasa ujian.
  4. Bahan ujian dipindahkan ke badan pensijilan, yang menjalankan pemeriksaan bebas mereka. Sebagai peraturan, sekurang-kurangnya dua pakar mengambil bahagian dalam peperiksaan, yang secara bebas mengesahkan ketepatan dan kesempurnaan ujian.
  5. Badan pensijilan persekutuan, berdasarkan kesimpulan badan pensijilan, mengeluarkan sijil pematuhan. Perlu dikatakan bahawa jika terdapat sebarang ketidakkonsistenan yang dikenal pasti, badan persekutuan boleh menjalankan pemeriksaan tambahan dengan penglibatan pakar dari pelbagai makmal dan badan bertauliah.

Dalam sistem pensijilan wajib, terdapat amalan membatalkan dan menggantung lesen dan sijil akreditasi sekiranya berlaku pelanggaran berat dalam proses pensijilan. Terdapat kes apabila penerusan aktiviti tiga makmal dan badan pensijilan dipersoalkan, akibatnya dua organisasi menghentikan aktiviti selanjutnya dalam bidang pensijilan. Di samping itu, sekiranya berlaku insiden di kemudahan maklumat yang berkaitan dengan kebocoran maklumat, pihak berkuasa kawal selia boleh memeriksa makmal yang menjalankan ujian.

Sistem dan keperluan pensijilan

Aktiviti sistem pensijilan Rusia di Persekutuan Rusia dikawal oleh Undang-undang Persekutuan No. 184 "Mengenai Peraturan Teknikal". Pensijilan alat keselamatan maklumat boleh dilakukan secara sukarela atau mandatori - dijalankan terutamanya dalam rangka kerja Kementerian Pertahanan, FSB dan FSTEC. Bagi kebanyakan syarikat komersial, istilah "pensijilan" adalah sinonim dengan konsep "pensijilan dalam sistem FSB" untuk produk keselamatan kriptografi dan "pensijilan dalam sistem FSTEC" untuk semua produk lain. Walau bagaimanapun, perlu diingat bahawa, sebagai tambahan kepada kriptografi, kecekapan FSB termasuk langkah keselamatan maklumat yang digunakan dalam badan kerajaan tertinggi. Sistem pensijilan keselamatan maklumat Kementerian Pertahanan pula tertumpu pada produk perisian yang digunakan di kemudahan tentera.

Sistem pensijilan sukarela untuk alat keselamatan maklumat masih belum meluas. Satu-satunya sistem sebegini yang boleh dilihat ialah Pensijilan IT. Malangnya, walaupun pada hakikatnya dalam sistem sukarela adalah mungkin untuk mendapatkan sijil untuk pematuhan mana-mana dokumen pengawalseliaan mengenai perlindungan maklumat sulit, apabila mengesahkan objek maklumat, sijil tersebut tidak diiktiraf oleh FSTEC Rusia.

Bagi dokumen untuk pematuhan ujian pensijilan, ia hampir sama dalam semua sistem pensijilan. Terdapat dua pendekatan utama untuk pensijilan - dan, oleh itu, dua jenis dokumen pengawalseliaan.

  1. Ujian fungsi alat keselamatan maklumat untuk memastikan produk itu benar-benar melaksanakan fungsi yang diisytiharkan. Ujian ini paling kerap dijalankan untuk pematuhan dengan dokumen kawal selia tertentu - sebagai contoh, salah satu dokumen pentadbir Suruhanjaya Teknikal Negeri Rusia. Dokumen sedemikian ditubuhkan, sebagai contoh, untuk tembok api dan cara perlindungan terhadap akses yang tidak dibenarkan. Sekiranya tiada dokumen yang produk yang diperakui akan mematuhi sepenuhnya, maka keperluan fungsian boleh dirumuskan secara eksplisit - contohnya, dalam spesifikasi teknikal, atau dalam bentuk spesifikasi keselamatan (mengikut peruntukan standard GOST R 15408 ).
  2. Ujian struktur kod program untuk ketiadaan keupayaan yang tidak diisytiharkan. Contoh klasik keupayaan yang tidak diisytiharkan ialah penanda halaman perisian, yang, apabila keadaan tertentu timbul, memulakan pelaksanaan fungsi yang tidak diterangkan dalam dokumentasi yang membenarkan pengaruh yang tidak dibenarkan pada maklumat (menurut GOST R 51275-99). Pengenalpastian keupayaan yang tidak diisytiharkan melibatkan menjalankan satu siri ujian kod sumber program, yang peruntukannya merupakan syarat yang diperlukan untuk kemungkinan menjalankan ujian pensijilan.

Dalam kebanyakan kes, alat keselamatan maklumat mesti diperakui dari segi kefungsian asas dan untuk ketiadaan keupayaan yang tidak diisytiharkan. Pengecualian dibuat untuk sistem untuk memproses data peribadi kelas kedua dan ketiga untuk mengurangkan kos perlindungan maklumat untuk organisasi swasta kecil. Jika alat perisian tidak mempunyai sebarang mekanisme keselamatan maklumat, ia hanya boleh diperakui untuk ketiadaan keupayaan yang tidak diisytiharkan.

Mitologi sekitar pensijilan

Proses mengatur dan menjalankan ujian dalam mana-mana sistem pensijilan adalah diformalkan dengan ketat, tetapi kekurangan pengalaman kebanyakan pakar IT dalam mengambil bahagian dalam ujian tersebut, serta interaksi dengan pengawal selia, menimbulkan beberapa mitos dan salah tanggapan mengenai isu pensijilan.

Mitos #1: Pensijilan adalah perdagangan. Malangnya, sesetengah pengguna dengan ikhlas menganggap sebarang pensijilan sebagai prosedur rasmi untuk mendapatkan permit, secara semula jadi korup dan tidak berguna sama sekali. Oleh itu, ia mengejutkan ramai pemohon bahawa peralatan perlindungan yang dikemukakan untuk pensijilan sebenarnya diuji dengan serius, dan keputusan ujian mungkin negatif. Kawalan bebas makmal ujian oleh badan pensijilan memastikan tiada pakatan sulit antara pemohon dan makmal.

Mitos No. 2: pensijilan dijalankan oleh agensi kerajaan. Sudah tentu, badan persekutuan semua sistem pensijilan mandatori adalah milik kerajaan, tetapi makmal ujian dan badan pensijilan boleh mempunyai sebarang bentuk pemilikan, dan dalam praktiknya, kebanyakannya adalah organisasi komersial.

Mitos No. 3: pensijilan hanya diperlukan untuk cara melindungi rahsia negara. Hari ini, lebih daripada 80% alat keselamatan maklumat diperakui untuk digunakan secara eksklusif dalam sistem automatik yang tidak mengandungi maklumat yang merupakan rahsia negara.

Mitos No. 4: Hanya agensi kerajaan yang memerlukan pensijilan. Malah, pelanggan akhir berminat dengan pensijilan objek pemformatan - pengesahan rasmi bahawa sistem automatik adalah selamat. Dalam kebanyakan kes, untuk berjaya lulus pensijilan, sistem mesti dibina menggunakan alat keselamatan yang diperakui secara eksklusif - ini benar bukan sahaja untuk sistem yang berkaitan dengan sumber maklumat negeri, tetapi juga untuk sistem yang berkaitan dengan pemprosesan data peribadi. Anda mungkin menghadapi keperluan untuk pensijilan mandatori produk perisian walaupun tanpa mengira jenis rahsia yang dilindungi; contohnya, keperluan sedemikian wujud untuk sistem yang berfungsi dengan sejarah kredit warganegara, sistem permainan dalam kes menyediakan akses kepada sumber daripada rangkaian pertukaran antarabangsa, dsb.

Mitos No. 5: Produk asing tidak boleh disahkan. Malah, produk daripada pembangun seperti Microsoft, IBM, SAP, Symantec, Trend Micro, dll., berjaya lulus ujian pensijilan, termasuk ujian untuk ketiadaan keupayaan yang tidak diisytiharkan.

Sebagai peraturan, syarikat asing tidak memindahkan kod sumber ke Rusia, jadi ujian dijalankan di tapak kepada pemaju. Sudah tentu, kod program disediakan di bawah kawalan mutlak perkhidmatan keselamatan pembangun, tidak termasuk sebarang kebocoran. Menjalankan kerja dalam mod ini agak rumit dan memerlukan pakar yang berkelayakan tinggi, jadi tidak setiap makmal ujian bersedia untuk menawarkan perkhidmatan sedemikian. Walau bagaimanapun, bilangan produk asing yang menjalani pensijilan di Rusia semakin meningkat setiap tahun. Hari ini, kira-kira 20 syarikat asing, termasuk Microsoft, IBM, Oracle dan SAP, telah menyediakan kod sumber produk mereka untuk ujian pensijilan. Dalam hal ini, patut diberi perhatian ialah inisiatif Microsoft Corporation - Program Keselamatan Kerajaan, mengikut mana kod asas semua produk syarikat itu dipindahkan ke Rusia untuk penyelidikan. Sepanjang lima tahun lalu, hampir 40 produk asing telah menerima sijil ketiadaan keupayaan yang tidak diisytiharkan.

Mitos No. 6: Diperakui bermaksud dilindungi. Ini tidak sepenuhnya benar. Formulasi yang betul ialah: produk itu diperakui, yang bermaksud ia memenuhi keperluan tertentu. Pada masa yang sama, pengguna mesti memahami dengan jelas apa sebenarnya peralatan perlindungan yang diperakui untuk dipatuhi untuk memastikan bahawa ujian benar-benar mengesahkan ciri-ciri produk yang menarik minat pelanggan.

Jika produk telah diuji untuk pematuhan dengan spesifikasi teknikal, maka pematuhan ini akan direkodkan dalam sijil, tetapi pengguna, tanpa membaca spesifikasi teknikal untuk produk, pada dasarnya tidak dapat menentukan ciri-ciri yang diuji, yang mewujudkan prasyarat untuk menipu pengguna yang tidak layak. Begitu juga, kehadiran sijil ketiadaan keupayaan yang tidak diisytiharkan tidak menyatakan apa-apa tentang kefungsian produk.

Adalah sangat penting untuk membiasakan diri dengan sekatan ke atas penggunaan produk, yang dinyatakan dalam spesifikasi teknikal: persekitaran dan platform operasi tertentu, mod pengendalian, konfigurasi, penggunaan langkah keselamatan tambahan, dll. Contohnya, sijil untuk sesetengah versi sistem pengendalian Windows dan MSWS hanya sah dengan modul but yang dipercayai. Hampir semua sijil untuk langkah keselamatan luaran hanya sah untuk versi OS tertentu, dan sekatan ke atas penggunaan beberapa alat but dipercayai menunjukkan bahawa komputer mesti dilindungi secara fizikal. Terdapat satu kes yang ingin tahu di mana sekatan satu alat keselamatan lapuk menyatakan bahawa Windows hanya perlu dijalankan dalam mod arahan.

Mitos No. 7: tiada apa yang ditemui semasa pensijilan. Terlepas dari keperluan dokumen kawal selia, hari ini terdapat peraturan yang tidak dinyatakan mengikut mana, sebagai sebahagian daripada ujian pensijilan, pakar memeriksa dengan teliti kod sumber (jika ia disediakan), dan juga menjalankan pelbagai pilihan ujian beban. Di samping itu, pakar mengkaji pelbagai buletin keselamatan mengenai produk dan persekitaran operasinya. Akibatnya, makmal berpengalaman menerima senarai kelemahan kritikal yang pemohon mesti membetulkan atau menerangkan dalam dokumentasi. Sebagai contoh, pensijilan mengenal pasti kelemahan seperti kata laluan terbina dalam dan algoritma untuk penjanaannya, ralat seni bina (pelaksanaan prinsip akses diskret dan mandatori yang salah, dsb.), ralat pengaturcaraan (kelemahan terhadap limpahan penampan, ralat dalam logik dan operator masa, perlumbaan. , kemungkinan memuat turun fail yang tidak dipercayai, dsb.), serta ralat dalam memproses data aplikasi (suntikan SQL, skrip rentas tapak), yang pelaksanaannya dapat mengurangkan tahap keselamatan sistem dengan ketara. Menurut amalan kami, kata laluan induk terbina dalam ditemui dalam 70% peralatan komunikasi yang diuji, dan dalam hampir 30% sistem pengendalian yang diuji, ralat dalam pelaksanaan sistem kawalan akses telah dikenal pasti. Terdapat juga kes apabila produk mengandungi bom masa yang logik.

Mitos No. 8: produk disahkan tidak mempunyai keupayaan yang tidak diisytiharkan, yang bermaksud ia tidak mempunyai kelemahan. Hari ini, tiada kaedah untuk pengesanan terjamin bagi semua kemungkinan kelemahan perisian - kejayaan menyiapkan pensijilan untuk ketiadaan keupayaan yang tidak diisytiharkan menjamin pengesanan hanya kelas kelemahan tertentu yang dikenal pasti menggunakan kaedah tertentu. Sebaliknya, lulus pensijilan untuk ketiadaan keupayaan yang tidak diisytiharkan menjamin bahawa pembangun mempunyai sistem kualiti untuk pengeluaran program, iaitu, semua kod sumber sebenar dan persekitaran kompilasi telah ditemui dan direkodkan, penyusunan dan pemasangan boleh dijamin berulang, dan terdapat juga dokumentasi bahasa Rusia.

Mitos No. 9: Keperluan untuk analisis kod sumber hanya wujud di negara kita. Anda sering menghadapi kritikan terhadap ketegasan pensijilan domestik yang dikaitkan dengan penyediaan kod sumber untuk program. Sememangnya, sistem pensijilan antarabangsa Kriteria Biasa membenarkan ujian produk yang memproses maklumat yang tidak diklasifikasikan sebagai rahsia negara tanpa memberikan kod sumber, tetapi dalam kes ini, semakan untuk ketiadaan saluran tersembunyi dan kelemahan mesti wajar. Untuk sistem untuk memproses rahsia negara dan sistem pembayaran, analisis struktur keselamatan kod sumber disediakan. Keperluan untuk audit keselamatan kod sumber untuk produk perisian komersial boleh didapati dalam piawaian antarabangsa PCI DSS, PA DSS dan NISTIR 4909.

Mitos #10: Pensijilan adalah mahal. Pensijilan perisian mengikut keperluan keselamatan maklumat adalah proses yang agak panjang dan intensif buruh yang tidak boleh percuma. Pada masa yang sama, kehadiran sijil pematuhan dengan ketara mengembangkan pasaran untuk produk pemohon dan meningkatkan jumlah jualan, dan kemudian kos pensijilan berhubung dengan kos lain ternyata kecil.

Masa depan pensijilan

Pensijilan bukanlah cara universal untuk menyelesaikan semua masalah sedia ada dalam bidang keselamatan maklumat, tetapi hari ini ia adalah satu-satunya mekanisme yang benar-benar berfungsi yang menyediakan kawalan kualiti bebas alat keselamatan maklumat, dan faedah daripadanya lebih besar daripada bahayanya. Apabila digunakan dengan betul, mekanisme pensijilan membolehkan seseorang itu berjaya menyelesaikan masalah mencapai tahap keselamatan yang terjamin untuk sistem automatik.

Memandang ke hadapan, boleh diandaikan bahawa pensijilan sebagai alat kawal selia akan berubah ke arah penambahbaikan dokumen kawal selia yang mencerminkan keperluan munasabah untuk perlindungan terhadap ancaman semasa, di satu pihak, dan ke arah penambahbaikan kaedah untuk menyemak komponen kritikal mengikut kriteria "kecekapan/masa", sebaliknya.

Alexey Markov([e-mel dilindungi]), Valentin Tsirlov- pekerja NPO "Eshelon" (Moscow).



Produk perisian yang diperakui, prosedur pensijilan perisian, keperluan keselamatan, tugas FSTEC dan FSB.

Mengikut keperluan Undang-undang Persekutuan (F3) No. 781 dan Dekri Kerajaan Persekutuan Rusia pada 17 November 2007, semua isu dalam bidang perlindungan data peribadi diberikan kepada FSTEC Rusia Dan FSB Rusia. Terdapat juga beberapa wakil sah * yang boleh mengesahkan perisian. Mengikut keperluan dokumen pengawalseliaan, penggunaan alat keselamatan maklumat yang diperakui adalah wajib dalam semua sistem maklumat untuk memproses data peribadi dari kelas pertama hingga kelas ketiga termasuk(semua stesen kerja dan pelayan untuk memproses data peribadi).

Prosedur pensijilan perisian

Prosedur pensijilan perisian diperlukan dalam dua kes:
  1. pensijilan oleh pemaju atas permintaan mereka sendiri(tujuan pensijilan mungkin berbeza);
  2. pensijilan perisian wajib(jika perisian memproses data, kehilangan/kebocoran yang boleh menyebabkan kemudaratan/kerosakan kepada individu, syarikat, kerajaan dan struktur lain).
Notis mengenai pemprosesan data peribadi dan, dengan itu, penggunaan alat keselamatan maklumat yang diperakui tidak diperlukan dalam kes:
  • perlindungan data peribadi subjek yang mempunyai hubungan pekerjaan dengan pengendali (contohnya, jabatan kakitangan dalam satu entiti undang-undang);
  • data digunakan untuk memenuhi perjanjian dengan Subjek Data Peribadi (contohnya, Perjanjian Perkhidmatan, dsb.);
  • data peribadi tidak dikenali (iaitu, tiada cara untuk mengenal pasti subjek data peribadi dengan tepat, contohnya, berat, ketinggian, tarikh lahir, dsb. parameter yang tidak terikat dengan sebarang pengecam unik (pasport, TIN, dsb. ));
  • data peribadi tersedia secara terbuka (iaitu, data yang ditentukan oleh data yang tersedia secara umum atau undang-undang lain, contohnya, data tentang calon untuk jawatan yang dipilih, dsb.).

Perisian yang diperakui (keperluan keselamatan)

  • Perisian yang telah lulus ujian pematuhan dalam Sistem Pensijilan untuk Alat Keselamatan Maklumat selaras dengan keperluan piawaian negeri dan dokumen kawal selia mengenai perlindungan maklumat FSTEC Rusia dan FSB Rusia, yang disahkan oleh Sijil Pematuhan.
  • Salinan sijil pematuhan (diperakui oleh meterai pemohon) mesti disertakan dalam pakej penghantaran perisian yang diperakui;
Perisian, pengedaran, yang sepadan dengan salinan rujukan yang telah menjalani ujian pensijilan, yang disahkan oleh entri yang sepadan dalam dokumentasi yang disertakan untuk perisian yang diperakui (borang), dan tanda kepatuhan holografik khas dengan nombor unik yang mengenal pasti salinan ini dalam sistem pendaftaran negeri produk yang diperakui.
  • Pengedaran perisian yang disahkan, borang yang menunjukkan jumlah semak pengedaran dan tanda pematuhan holografik khas mesti disertakan dalam pakej penghantaran perisian yang diperakui;
Perisian, mekanisme keselamatan versi yang digunakan dikonfigurasikan mengikut parameter yang diperakui. Perisian ini diperakui untuk pematuhan dengan dokumen teknikal (RD, TS atau ST) dan dengan parameter yang dinyatakan dalam dokumentasi ini.
  • Set penghantaran perisian yang diperakui mesti termasuk dokumentasi dan bahan untuk menyediakan perisian mengikut parameter yang diperakui yang diberikan dalam dokumentasi teknikal;
Perisian, semua pengubahsuaian (kemas kini) yang penting untuk keselamatan tertakluk kepada ujian pensijilan dan dibawa kepada pengguna akhir. Apabila mengeluarkan kemas kini dan pembaikan kepada sistem keselamatan produk yang diperakui, pengilang bertanggungjawab untuk menyediakan kemas kini untuk pensijilan dan membawa maklumat tersebut kepada pengguna.
  • Pakej penghantaran perisian yang diperakui mesti termasuk semua alat yang diperlukan untuk pengguna menerima kemas kini keselamatan;
Perisian dikawal semasa operasi. Perisian mesti mempunyai cara untuk memantau integriti, merakam peristiwa kemas kini keselamatan yang dilaksanakan ke dalam perisian, dan memantau keselamatan semasa operasi. Pengguna mesti mempunyai mekanisme untuk mengesahkan integriti kemas kini keselamatan menggunakan jumlah semak.
  • Skop penghantaran perisian yang diperakui mesti termasuk alat perisian yang diperlukan (terbina dalam atau tindih) yang direka bentuk untuk memenuhi keperluan ini;
Perisian, setiap salinan diperakui , yang termasuk dalam daftar produk yang disahkan. Pengilang bertanggungjawab untuk melabelkan peralatan perlindungan dan memastikan akses tanpa halangan kepada maklumat perakaunan untuk pegawai badan yang menjalankan kawalan ke atas peralatan perlindungan yang diperakui.
  • Setiap salinan perisian yang diperakui disertakan dengan nombor unik yang mengenal pasti peranti keselamatan mengikut prosedur yang ditetapkan untuk sistem pensijilan ini ** .

Tugas FSTEC dan FSB

Objektif utama FSTEC dalam bidang pensijilan perisian adalah:
  • pelaksanaan, dalam kecekapannya, dasar negara dalam bidang memastikan keselamatan maklumat dalam sistem infrastruktur maklumat utama, menentang perisikan teknikal dan perlindungan teknikal maklumat;
  • pelaksanaan peraturan undang-undang bebas tentang isu:
  1. memastikan keselamatan maklumat dalam sistem infrastruktur maklumat utama;
  2. menentang perisikan teknikal;
  3. perlindungan maklumat teknikal.
  • menjalankan, dalam kecekapannya, kawalan ke atas aktiviti untuk memastikan keselamatan maklumat dalam sistem infrastruktur maklumat utama, untuk menentang perisikan teknikal dan perlindungan teknikal maklumat dalam radas badan kerajaan persekutuan dan badan kerajaan entiti konstituen Persekutuan Rusia, dalam badan eksekutif persekutuan, badan eksekutif entiti konstituen Persekutuan Rusia, kerajaan tempatan dan organisasi ***;

Pelesenan perisian oleh FSB Rusia

Perkara berikut adalah tertakluk kepada pelesenan yang dijalankan oleh pusat FSB Rusia:
  • aktiviti yang berkaitan dengan penggunaan maklumat yang membentuk rahsia negara;
  • aktiviti untuk melaksanakan langkah dan (atau) menyediakan perkhidmatan dalam bidang melindungi rahsia negara;
  • aktiviti yang berkaitan dengan penciptaan alat keselamatan maklumat ****;

Maklumat tentang sistem pensijilan perisian

Semua data mengenai sistem pensijilan untuk alat keselamatan maklumat mengikut keperluan keselamatan boleh didapati di laman web rasmi FSTEC *****.

Produk yang disahkan

Pada masa ini, bilangan produk yang disahkan berjumlah 3154 item ******. Hampir semua produk ini boleh didapati di laman web kami dalam “

Produk Microsoft yang diperakui oleh FSTEC, dari sudut pandangan kod program, tidak berbeza dengan produk Microsoft sah berlesen biasa, kerana pelaksanaan perisian produk Microsoft membolehkan anda mendapatkan sijil FSTEC yang sesuai tanpa mengubah kod program. Walau bagaimanapun, mengikut perundangan Rusia, produk yang diperakui FSTEC mempunyai beberapa perbezaan penting lain daripada produk yang tidak diperakui, iaitu:

  • setiap salinan produk yang diperakui terletak di pelanggan mesti menjalani prosedur untuk mengesahkan pematuhan salinan ini dengan salinan yang telah diperakui;
  • setiap salinan produk diperakui terletak pada pelanggan, sekiranya pengesahan positif pematuhannya dengan salinan diperakui, menerima pakej dokumen pensijilan yang dikeluarkan kerajaan, termasuk tanda pematuhan FSTEC holografik dengan nombor unik untuk setiap salinan (jika pelanggan mempunyai 1000 komputer dengan produk yang diperakui, maka dia 1000 hologram dikeluarkan), yang mengenal pasti contoh ini dalam sistem pendaftaran negeri bagi produk yang diperakui;
  • Setiap organisasi yang telah membeli produk yang diperakui menerima akses selamat ke halaman peribadi untuk menerima kemas kini yang diperakui.

Produk Microsoft yang diperakui oleh badan lain yang diberi kuasa, mengandungi perisian tambahan, iaitu pek perkhidmatan, yang dibangunkan oleh organisasi Rusia yang membolehkan produk Microsoft ini memenuhi keperluan. Pakej perkhidmatan 'Secure Pack Rus' ini terutamanya mengandungi kriptografi diperakui Rusia, yang tidak dihasilkan oleh Microsoft.

Penggunaan produk yang disahkan

Jika organisasi ingin menggunakan produk perisian yang belum diperakui, maka dengan produk itu ia mesti menggunakan alat keselamatan maklumat tindanan (pihak ketiga) yang telah diperakui dan direka bentuk untuk berfungsi dengan produk tersebut. Penggunaan keselamatan maklumat bertindih bermakna meningkatkan kos produk dengan ketara dan selalunya secara mendadak mengurangkan keupayaan produk ini untuk berinteraksi dengan perisian dan perkakasan lain. Oleh itu, Microsoft memperakui produk perisiannya dengan alat keselamatan maklumat terbina dalam - ini lebih mudah dan lebih murah untuk pelanggan.

Pengeluaran besar-besaran semua versi produk Microsoft yang diperakui telah dianjurkan di Rusia. Ini membolehkan pelanggan membeli sebarang kuantiti produk yang diperakui. Pensijilan berterusan kemas kini produk bulanan membolehkan pelanggan mempunyai versi yang diperakui bukan sahaja dengan kemas kini keselamatan terkini, tetapi juga mematuhi keperluan kawal selia.

APAKAH PRODUK MICROSOFT YANG DISAHKAN OLEH FSTEC

Pada masa ini, produk Microsoft berikut diperakui oleh FSTEC:

  • sistem pengendalian pelanggan Microsoft Windows XP Professional, versi Rusia (termasuk pengeluaran OEM);
  • sistem pengendalian pelanggan Microsoft Windows Vista (Perniagaan, Perusahaan, Ultimate), versi Rusia (termasuk pengeluaran OEM);
  • sistem pengendalian pelayan Microsoft Windows Server 2003 (Edisi Standard dan Edisi Perusahaan), versi Rusia;
  • sistem pengendalian pelayan Microsoft Windows Server 2003 R2 (Edisi Standard dan Edisi Perusahaan), versi Rusia;
  • sistem pengurusan pangkalan data Microsoft SQL Server 2005 (Edisi Standard dan Edisi Perusahaan), versi Rusia;
  • Microsoft Office 2003 Platform aplikasi pejabat profesional, versi Rusia, termasuk teknologi pengurusan hak digital dokumen terbina dalam yang berfungsi dengan teknologi pelayan RMS terbina dalam Microsoft Windows Server 2003;
  • platform aplikasi pejabat Microsoft Office 2007 Professional, versi Rusia, termasuk teknologi pengurusan hak digital terbina dalam untuk dokumen yang berfungsi dengan teknologi pelayan RMS terbina dalam Windows Server 2003;
  • firewall Microsoft ISA Server 2006 (Edisi Standard), versi Rusia - untuk pematuhan kedua-dua kriteria umum dan dokumen yang mengawal "SVT. Firewalls…” mengikut kelas keselamatan ketiga;
  • Produk antivirus Microsoft Forefront untuk pelayan dan stesen kerja (Forefront for Exchange Server, Forefront untuk SharePoint Server dan Forefront Client);
  • pelayan pengurusan mel Microsoft Exchange Server 2007;
  • pelayan untuk pengurusan proses perniagaan Microsoft BizTalk Server 2006 R2;
  • sistem pengendalian pelayan Microsoft Windows Server 2008 (semua edisi), termasuk pelayan virtualisasi Hyper-V, versi Rusia;
  • Sistem pengurusan pangkalan data Microsoft SQL Server 2008 (semua edisi), versi Rusia;
  • platform aplikasi pejabat Microsoft Office Professional Plus 2007, versi Rusia;
  • sistem pengurusan operasi dalam sistem maklumat Pengurus Operasi Pusat Sistem Microsoft 2007;
  • sistem pengurusan konfigurasi dalam sistem maklumat Microsoft System Center Configuration Manager 2007;
  • sistem pengurusan perlindungan data dalam sistem maklumat Microsoft System Center Data Protection Manager 2007;
  • sistem pengurusan mesin maya dalam sistem maklumat Pusat Sistem Microsoft Pengurus Mesin Maya 2008;
  • sistem pengurusan perhubungan pelanggan Microsoft Dynamics CRM 4.0;
  • sistem pengurusan perusahaan Microsoft Dynamics AX 2009;
  • sistem pengurusan perusahaan Microsoft Dynamics AX 4.0;
  • sistem pengurusan perusahaan Microsoft Dynamics NAV 5.0;
  • sistem pengendalian klien Windows 7 (semua edisi), versi Rusia dan Inggeris;
  • sistem pengendalian pelayan Windows Server 2008 R2 (semua edisi), versi Rusia dan Inggeris;
  • pelayan untuk menguruskan proses perniagaan Microsoft BizTalk Server 2009 (semua edisi), versi Rusia;
  • Pelayan pengurusan identiti dalam sistem heterogen Microsoft Forefront Identity Manager 2010, versi Rusia dan Inggeris;
  • pelayan pengurusan mel Microsoft Exchange Server 2010 (semua edisi), versi Rusia dan Inggeris;
  • sistem pengurusan perkhidmatan dalam sistem maklumat Microsoft System Center Service Manager 2010, versi Rusia dan Inggeris;
  • sistem pengurusan perhubungan pelanggan Microsoft Dynamics CRM 2011, versi Rusia;
  • sistem pengurusan perusahaan Microsoft Dynamics NAV 2009 R2, versi Rusia;
  • platform aplikasi pejabat Microsoft Office Professional Plus 2010, versi Rusia dan Inggeris;
  • sistem perlindungan anti-virus Microsoft Forefront Endpoint Protection 2010, versi Rusia dan Inggeris;
  • pelayan pengurusan dokumen Microsoft SharePoint Server 2010 (semua edisi), versi Rusia dan Inggeris;
  • pelayan komunikasi Microsoft Lync Server 2010 Enterprise, versi Rusia dan Inggeris;
  • sistem pengurusan perusahaan Microsoft Dynamics AX 2012 R2;
  • sistem pengendalian pelanggan Microsoft Windows 8 (versi Windows 8, Windows 8 Professional, Windows 8 Enterprise);
  • sistem pengendalian pelayan Microsoft Windows Server 2012 (versi Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows Server Essentials 2012, Windows Server Foundation 2012);
  • sistem pengurusan struktur maklumat Pusat Sistem Microsoft 2012 (versi Standard dan Pusat Data);
  • sistem pengurusan pangkalan data Microsoft SQL Server 2012 (versi Standard, Enterprise, Business Intelligence, Web);
  • platform aplikasi pejabat Office Professional Plus 2013;
  • pelayan pengurusan fabrik maya Microsoft Hyper-V Server 2012;
  • sistem pengurusan struktur maklumat Microsoft System Center 2012 R2 (versi Standard dan Pusat Data);
  • sistem pengurusan perhubungan pelanggan Microsoft Dynamics CRM 2013;
  • pelayan pengurusan mel Microsoft Exchange Server 2013 (versi Standard dan Perusahaan);
  • pelayan pengurusan dokumen Microsoft SharePoint Server 2013;
  • Sistem pengurusan pangkalan data Microsoft SQL Server 2014 dalam Edisi Perusahaan (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express dengan alatan;
  • sistem pengurusan perhubungan pelanggan Microsoft Dynamics CRM Server 2015.

Selaras dengan sijil FSTEC yang diterima, produk yang diperakui ini membolehkan anda membina sistem automatik sehingga kelas keselamatan termasuk 1G. Di samping itu, mereka yang keluar selepas menerima pakai Undang-undang Persekutuan No. 152 "Mengenai Data Peribadi" diperakui untuk mematuhi undang-undang mengenai data peribadi.

Pada masa ini, FSTEC telah melengkapkan pensijilan produk berikut, semua dokumen pelaporan berada dalam badan pensijilan:

  • Pelayan Lync 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

APAKAH PRODUK MICROSOFT YANG DISAHKAN OLEH BADAN SAH LAIN

Produk Microsoft berikut disahkan FSB:

  • sistem pengendalian pelanggan Microsoft Windows XP Professional, versi Rusia;
  • sistem pengendalian pelayan Microsoft Windows Server 2003 Enterprise Edition, versi Rusia;
  • pelayan pengurusan dokumen Microsoft SharePoint Server 2007;
  • Sistem pengurusan pangkalan data Microsoft SQL Server 2008;
  • Microsoft Windows 7 Professional, Enterprise dan Ultimate semuanya dengan SP1;
  • Microsoft Windows 8 Profesional dan Perusahaan;
  • Microsoft Windows 8.1 Profesional dan Perusahaan;
  • Microsoft Windows Server 2008 Standard R2 dan Enterprise R2 kedua-duanya dengan SP1;
  • Microsoft Windows Server 2012 Standard dengan SP1;
  • Microsoft Windows Server 2012 R2 dengan SP1.

Sijil memperakui bahawa produk yang dinyatakan mematuhi keperluan badan yang diberi kuasa Rusia untuk

  • perlindungan maklumat yang tidak mengandungi maklumat yang merupakan rahsia negara,
  • perlindungan terhadap akses tanpa kebenaran dalam sistem maklumat automatik kelas AK2 (sesetengah produk diperakui ke tahap AK3).

Di samping itu, badan yang diberi kuasa membuat kesimpulan positif berdasarkan keputusan ujian pensijilan pusat pensijilan yang disertakan dalam Windows Server 2003 untuk pematuhan tahap KS2 mengikut keperluan negara.

Kesimpulan positif baru-baru ini diterima daripada ujian pensijilan produk berikut:

  • Pelayan Microsoft Exchange 2010.

Seperti yang dinyatakan dalam dokumen, produk ini boleh digunakan untuk melindungi maklumat sulit dan data peribadi.

Keputusan pensijilan yang diperoleh memungkinkan untuk mencipta sistem pengurusan dokumen yang selamat untuk agensi kerajaan dan sistem "kerajaan elektronik" yang dibina pada platform Microsoft.



ARTIKEL BERKAITAN