FSTEC-certificering wat. Certificering vanen. Belangrijke informatie-infrastructuursystemen

Waarom heeft u certificering nodig?

Waarom heeft u softwarecertificering nodig?

Kwesties van de bescherming van vertrouwelijke informatie zijn nauw verweven met de belangen van de samenleving, het individu, het bedrijfsleven en de staat. Tegenwoordig vormen ze, in de omstandigheden van de vorming van een verenigde informatieruimte, het belangrijkste onderdeel van de taken die worden opgelost door overheidsinstanties, instellingen en organisaties bij de ontwikkeling, creatie en werking van informatiesystemen, databases en persoonlijke databanken van informatiesystemen. .

Elke staat streeft ernaar controle te waarborgen over informatie die verband houdt met het waarborgen van de nationale veiligheid. En dus ook voor de software die op de markt wordt gebracht en wordt gebruikt om te bouwen sleutelsystemen informatie-infrastructuur zijn er speciale eisen.


Belangrijke informatie-infrastructuursystemen

Dergelijke sleutelsystemen omvatten:

  • informatiesystemen van overheidsinstanties, bestuursorganen en wetshandhavingsinstanties;
  • informatiesystemen voor financiële, krediet- en bankactiviteiten;
  • informatie- en telecommunicatiesystemen voor speciale doeleinden;
  • communicatienetwerken van wetshandhavingsinstanties;
  • openbare communicatienetwerken in gebieden waar geen back-up of alternatieve vormen van communicatie bestaan;
  • geautomatiseerde beheersystemen voor de energievoorziening;
  • geautomatiseerde controlesystemen voor grond- en luchtvervoer;
  • geautomatiseerde controlesystemen voor de productie en het transport van olie en gas;
  • geautomatiseerde systemen voor het waarschuwen en reageren op noodsituaties;
  • geautomatiseerde controlesystemen voor milieugevaarlijke productie;
  • geautomatiseerde watervoorzieningbeheersystemen;
  • geografische en navigatiesystemen.

En dit is geen volledige lijst. In deze systemen wordt informatie met betrekking tot productie, organisatorische, economische, wetenschappelijke, technische, krediet-, financiële en andere activiteiten van de staat verzameld, verwerkt en verzonden. Informatie over operationele verzending en technologisch management circuleert in een aantal systemen en netwerken, die de betrouwbaarheid en veiligheid van het functioneren van het gehele economische complex van Rusland bepalen en een aanzienlijke impact hebben op het waarborgen van de nationale veiligheid op informatiegebied. Daarom zijn deze systemen essentieel.

In dit opzicht, softwarefabrikanten rekening mee moeten houden eisen die door internationale en nationale wetten worden opgelegd aan informatiesystemen die zijn ontworpen om met dergelijke informatie te werken.

Certificeringsprocedures zijn vereist om te verifiëren dat de software aan deze eisen voldoet!

Wie is verplicht gecertificeerde software te gebruiken?

Alle overheidsorganisaties, niet-gouvernementele organisaties die werken met zogenaamde ‘officiële informatie van overheidsinstanties’, evenals een aantal andere organisaties in overeenstemming met de Russische wetgeving (bijvoorbeeld organisaties die onderworpen zijn aan de relevante vereisten "Wet op de Persoonsgegevens").

Hieronder vindt u fragmenten uit wet- en regelgevingsdocumenten, die samen de noodzaak aangeven om gecertificeerde inte gebruiken:

  • In federale wet 149 (FZ) art. 14, clausule 8 er wordt gezegd dat “...technische middelen bedoeld voor het verwerken van informatie in staatsinformatiesystemen, inclusief software en hardware en informatiebeveiligingsmiddelen, moeten voldoen aan de vereisten van de wetgeving van de Russische Federatie inzake technische regelgeving”
  • In federale wet 184“Over technische regelgeving” in artikel 4. “federale uitvoerende autoriteiten hebben het recht om verplichte handelingen uit te vaardigen op het gebied van technische regelgeving in de gevallen bepaald in artikel 5”
  • Artikel 5 van federale wet 184 is onder andere van toepassing op producten die worden gebruikt om informatie te beschermen die is geclassificeerd als beperkte informatie, beschermd in overeenstemming met de wetgeving van de Russische Federatie (inclusief “officiële informatie van overheidsinstanties”)
  • Een bevoegde instantie die bevoegd is om verplichte eisen vast te stellen voor de bescherming van informatie, vlgs. uit artikel 15 van federale wet 149 is FSTEC van Rusland
  • Met name in het regelgevingsdocument STR-K(Speciale vereisten voor de bescherming van vertrouwelijke informatie) FSTEC uit Rusland is goedgekeurd
    • clausule 2.3.“De vereisten en aanbevelingen van dit document zijn van toepassing op de bescherming van staatsinformatiebronnen door niet-cryptografische methoden gericht op het voorkomen van het lekken van beschermde informatie via technische kanalen, tegen ongeoorloofde toegang daartoe en tegen speciale invloeden op informatie met als doel de vernietiging ervan. , vervorming en blokkering.”
    • artikel 2.16. “Om vertrouwelijke informatie te beschermen, worden ingebruikt die zijn gecertificeerd volgens de informatiebeveiligingseisen. De certificeringsprocedure wordt bepaald door de wetgeving van de Russische Federatie.”
    • artikel 2.17. “Informatiseringsobjecten moeten worden gecertificeerd volgens informatiebeveiligingsvereisten in overeenstemming met de regelgevende documenten van de FSTEC van Rusland en de vereisten van dit document.”
  • Wet van de Russische Federatie N 5485-1 van 21 juli 1993. (“Official Secrets Act”) definieert inals “een integraal onderdeel van informatiesystemen of producten.”

In overeenstemming met deze wetten zijn relevante organisaties (met name overheidsorganisaties) verplicht software en hardware te gebruiken met gecertificeerde informatiebeveiligingsmiddelen.

Certificerende instellingen

Wie voert softwarecertificering uit in de Russische Federatie?

In ons land bestaan ​​er verschillende certificeringssystemen gericht op verschillende soorten software (FSTEC, FSB, Ministerie van Defensie, etc.).

De belangrijkste certificeringssystemen voor de meeste software zijn de FSB- en FSTEC-certificeringssystemen.

  • FSB-certificering is bedoeld om softwaresubsystemen te verifiëren die cryptografische bescherming gebruiken (in ons land zijn alleen Russische cryptografische algoritmen toegestaan). Eisen aan FSB-certificeringssystemen zijn niet openbaar Voor kennismaking ermee zijn speciale toestemmingen vereist.
  • FSTEC-certificering is bedoeld om de technische bescherming van informatie te verifiëren met behulp van niet-cryptografische methoden. De eisen van het FSTEC-certificeringssysteem zijn open en gepubliceerd op officiële website .

De huidige 1C-Bitrix-softwareproducten bevatten geen ingebouwde cryptografische beveiligingstools, dus FSB-certificering is hiervoor niet vereist. Verderop in de tekst zullen we het alleen hebben over FSTEC-certificering.

Wat is een gecertificeerd product in de Russische Federatie?

Het Russische certificeringssysteem verschilt fundamenteel van de systemen die in andere landen worden toegepast ten goede. Elk exemplaar van de software die een certificaat aanvraagt, wordt gecontroleerd op overeenstemming met het exemplaar dat direct tijdens de certificering werd getest, dat wil zeggen dat op binair niveau alle gecertificeerde kopieën volledig identiek zijn. Diensten die verantwoordelijk zijn voor de integriteit van deze producten kunnen op elk moment verifiëren dat de gebruiker over alle noodzakelijke gecertificeerde patches en updates beschikt, en de producten controleren op de afwezigheid van niet-gecertificeerde wijzigingen.

Maar volgens de voorwaarden van het internationale certificeringssysteem Common Criteria wordt elk gelicentieerd exemplaar van software dat de certificering heeft doorstaan, als gecertificeerd beschouwd - de identiteit van elk verkocht exemplaar van het exemplaar dat rechtstreeks is gecertificeerd, wordt niet geverifieerd. Maar er worden regelmatig patches en nieuwe versies van programma's uitgebracht, en de versies van software die tegenwoordig op de markt worden gebracht, kunnen eenvoudigweg verschillen van het exemplaar dat destijds werd getest en voor een certificaat werd ingediend.

Bij elk exemplaar van een gecertificeerd 1C-Bitrix-product zit een pakket met door de staat uitgegeven documenten waarin wordt bevestigd dat dit product gecertificeerd is. Daarnaast is er een holografisch FSTEC-conformiteitsmerkteken met een uniek nummer dat dit exemplaar identificeert in het staatsregistratiesysteem van gecertificeerde producten.

Elke organisatie die gecertificeerde producten heeft aangeschaft, heeft beveiligde toegang tot een persoonlijke pagina voor deze organisatie op een gespecialiseerde website, vanwaar deze organisatie gecertificeerde updates en andere informatie ontvangt.

Wat is FSTEC van Rusland en wat zijn de functies ervan?

FSTEC van Rusland (tot 2004 – Technische Staatscommissie van Rusland) is een federaal uitvoerend orgaan met de volgende bevoegdheden:

  • het waarborgen van informatiebeveiliging in belangrijke informatie- en telecommunicatie-infrastructuursystemen;
  • het tegengaan van buitenlandse technische inlichtingen;
  • het garanderen van de technische informatiebeveiliging niet-cryptografische methoden;
  • uitvoering van exportcontroles.

In overeenstemming met de regelgeving inzake de FSTEC van Rusland is een van de belangrijkste taken het organiseren van de activiteiten van het staatssysteem voor het tegengaan van technische inlichtingen en de technische bescherming van informatie op federaal, interregionaal, regionaal, industrieel en faciliteitenniveau, evenals het beheren van het gespecificeerde staatssysteem.

Alle regelgevende rechtshandelingen en methodologische documenten die zijn uitgegeven over de activiteiten van de FSTEC van Rusland, verplicht het apparaat van federale overheidsinstanties en overheidsinstanties van de samenstellende entiteiten van de Russische Federatie, federale uitvoerende autoriteiten, uitvoerende autoriteiten van de samenstellende entiteiten van de Russische Federatie, lokale overheidsinstanties en -organisaties.

Hoe wordt de FSTEC-certificering uitgevoerd?

FSTEC is slechts een certificeringsorganisator en een controledienst op het hoogste niveau. Er worden directe acties uitgevoerd FSTEC-licentiegevers– testlaboratoria en deskundigenorganisaties. De eerstgenoemden voeren rechtstreeks softwareonderzoek uit, terwijl de laatstgenoemden de kwaliteit van deze tests controleren.

De klant heeft het recht om een ​​testlaboratorium te kiezen (met toestemming van FSTEC), maar FSTEC wijst onafhankelijk een deskundige organisatie aan om de resultaten te controleren.

Aan de ene kant is er dus sprake van een competitieve omgeving waarin testlaboratoria strijden om de klant (met de kosten van inspecties, timing, enz.), Aan de andere kant wordt de kwaliteit van de tests duidelijk gecontroleerd door onafhankelijke deskundigen.

Het FSB-certificeringssysteem werkt op dezelfde manier.

Daarnaast is er ook in het FSTEC-certificeringssysteem het instituut van de aanvragers. Deze bedrijven werken rechtstreeks samen met testlaboratoria en deskundige organisaties; zij zijn het die de verkochte exemplaren van producten vergelijken op conformiteit met hun gecertificeerde monster. Ze geven ook standaarddocumenten uit voor elk exemplaar van producten die een dergelijke vergelijking hebben ondergaan en houden gegevens bij van dergelijke producten.

Aanvragers dragen de kosten voor het controleren van het product, het afgeven van relevante documenten, het bijhouden van een permanente registratie van gecertificeerde producten (waar en in welke staat deze producten zich bevinden). In sommige gevallen voeren zij, in overleg met de producteigenaren, ook de certificering van alle patches uit op eigen kosten.

Certificering van 1C-Bitrix-producten

Met welke organisaties werkt 1C-Bitrix samen in het certificeringsproces en in welke vorm?

Op dit moment werkt het bedrijf 1C-Bitrix samen met het bedrijf. Dit bedrijf speelde de volgende rol:

Aanvrager, welke

A. voert alle organisatorische activiteiten uit die verband houden met certificering;

B. draagt ​​de kosten voor het permanent bijhouden van gewaarmerkte kopieën van producten;

C. verkoopt rechtstreeks gecertificeerde 1C-Bitrix-softwareproducten.

Is het voldoende om gecertificeerde 1C-Bitrix-producten te gebruiken voor de uiteindelijke certificering van een informatiesysteem?

Natuurlijk niet. Het gebruik van gecertificeerde software is een noodzakelijke maar niet voldoende voorwaarde voor de definitieve certificering van het informatiesysteem van de klant.

Ten eerste werkt een gecertificeerd product in de regel in een IT-infrastructuur. Voor 1C-Bitrix-producten is dit het besturingssysteem van de webserver en databaseserver, DBMS-server, webserver, PHP-interpreter, PHP-precompiler, enz. Dienovereenkomstig kan de veiligheid van het gehele systeem alleen worden bereikt als alle componenten veilig zijn, wat ook wordt bepaald door de aanwezigheid van de juiste certificaten daarop.

Ten tweede kunnen er tijdens de implementatiefase wijzigingen aan het product worden aangebracht die ook de veiligheid van het systeem als geheel kunnen verminderen, en moeten deze wijzigingen ook worden getest en gecertificeerd.

Ten derde bevat het pakket met gecertificeerde productversies een lijst met aanbevelingen voor de installatie en het gebruik ervan. Deze aanbevelingen worden opgesteld in een testlaboratorium en de naleving ervan garandeert het beste beschermingsniveau dat voldoet aan de eisen van de klant. Deze aanbevelingen zijn verplicht.

Dus in ieder geval is definitieve certificering van het informatiesysteem voor naleving van de eisen van FSTEC en (of) de FSB noodzakelijk.

Gecertificeerde versies gebruiken stelt u in staat aanzienlijk te besparen op de procedure voor de definitieve certificering van een informatiesysteem en (of) werkplekken voor hun naleving van de vereisten voor het beschermen van informatie van een bepaalde categorie, hoewel houdt geen automatische certificering in. Als er niet-gecertificeerde software wordt gebruikt, zal het nodig zijn om aanvullende gecertificeerde beveiligingstools aan te schaffen en te implementeren, wat de kosten van certificering aanzienlijk kan verhogen.

Hoe en wanneer ontvangen klanten updates over gecertificeerde producten?

Wanneer een productupdate wordt uitgebracht, is de certificering ervan vereist. Anders schendt de eindgebruiker door het installeren van een niet-gecertificeerde update de integriteit van het informatiebeveiligingssysteem en verliest het informatiebeveiligingssysteem zijn gecertificeerde status.

Alle updates worden getest in een testlaboratorium. Bovendien worden alle gecertificeerde updates beschikbaar op de SIS Group Certified Updates Portal. Normaal gesproken duurt deze procedure enkele dagen tot enkele weken.

Gezien het conservatisme van klanten van gecertificeerde versies en hun interne goedkeuringsprocedures is een dergelijke vertraging in de regel echter niet van cruciaal belang, en is de certificering van updates net op tijd voor het nemen van een beslissing.

In gecertificeerde versies van 1C-Bitrix-producten het standaard updatesysteem wordt niet gebruiktSite-update via internet, omdat deze updates niet gecertificeerd zijn. Gecertificeerde updates kunnen worden verkregen via een beveiligd gedeelte van de Certified Information Systems Group-website, waar elke klant een persoonlijk account heeft met beschikbare updates.

Bij het downloaden van gecertificeerde updates uploadt de klant deze als bestanden in een speciaal dialoogvenster van het updatesysteem

De Federale Dienst voor Technische en Exportcontrole is een federaal uitvoerend orgaan dat inspecties en controles uitvoert op het gebied van de staatsveiligheid. Tegenwoordig heeft elke laptopbezitter bij de aanschaf van een of ander antivirusprogramma of -software meer dan eens een uitdrukking als FSTEC-certificering gehoord. Maar weinig mensen weten wat het is FSTEC-certificaat.

Tegenwoordig is de kwestie van informatiebescherming nauw verweven met de belangen van de samenleving, het bedrijfsleven en de staat. Normaal gesproken probeert elke staat informatie te controleren die verband houdt met de nationale veiligheid. Daarom stelt het van jaar tot jaar de hoofdtaak vast van het ontwikkelen en exploiteren van goed beveiligde informatiesystemen en persoonlijke databases. Dergelijke systemen slaan een enorme hoeveelheid informatie op en verwerken deze met betrekking tot vrijwel alle soorten overheidsactiviteiten. Om deze reden moeten softwarefabrikanten rekening houden met de wettelijke eisen die worden gesteld aan informatiesystemen die betrokken zijn bij overheidsactiviteiten. De FSTEC-certificeringsprocedure wordt uitgevoerd om de naleving van de basisveiligheidsindicatoren te verifiëren.

FSTEC-certificaat uitgegeven na het voltooien van de volgende fasen:

  • het invullen van een aanvraag voor de verificatieprocedure;
  • het verkrijgen van een beslissing over certificering;
  • uitvoering van een overeenkomst voor de uitvoering van het certificeringsproces;
  • goedkeuring van het testprogramma;
  • het uitvoeren van tests;
  • het opstellen van een testrapport;
  • het sluiten van een overeenkomst met een deskundige organisatie;
  • onderzoek van laboratoriumtests;
  • het afgeven van een certificaat.

Het Russische softwarecertificeringssysteem verschilt fundamenteel van de certificering in het Westen. Ten eerste beweert elk exemplaar van de software dat FSTEC-certificaat, ondergaat een reeks tests en onderzoeken waaraan het originele product werd onderworpen. Ten tweede heeft elk bedrijf dat een gecertificeerd product heeft aangeschaft beveiligde toegang tot de informatiebasis van deze software, van waaruit de organisatie updates ontvangt.

Sinds 2004 beschikt het federale uitvoerende orgaan over de volgende bevoegdheden:

  1. Zorgen voor bescherming en veiligheid in belangrijke infrastructuursystemen;
  2. Implementatie van technische informatie;
  3. Bescherming van informatie tegen buitenlandse technische inlichtingen;
  4. Zorgdragen voor exportcontrole.

FSTEC is niet betrokken bij certificeringsactiviteiten; het is de belangrijkste organisator van certificering. Het leeuwendeel van de acties wordt uitgevoerd door de licentiegevers: testlaboratoria en expertisecentra. Laboratoria onderzoeken de software en deskundige organisaties controleren de kwaliteit van de uitgevoerde tests. Uiteraard kan de aanvrager een uitgifte doen FSTEC-certificaat gebaseerd op testresultaten van derden. Maar in dit geval vóór uitgifte certificaat, FSTEC behoudt zich het recht voor om een ​​hercontrole van de resultaten van een andere deskundige organisatie te benoemen. Om deze reden opereert het instituut van de aanvrager in het FSTEC-systeem. Ze vergelijken kopieën van verkochte producten met programma's die eerder zijn ontvangen FSTEC-certificaat.

Over de hele wereld wordt tegenwoordig de code van informatiesystemen getest op basis van informatiebeveiligingsvereisten. Ondanks de uitbreiding van de certificeringspraktijk hebben zich er echter een aantal mythen en misvattingen omheen ontwikkeld.

02.08.2011 Alexey Markov, Valentin Tsirlov

Over de hele wereld wordt tegenwoordig de praktijk toegepast om de code van informatiesystemen te testen op basis van de informatiebeveiligingseisen. Overheids- en betalingssoftwaresystemen worden bijvoorbeeld in het buitenland verplicht getest, terwijl in Rusland prescriptieve certificeringsmethoden voor informatiebeveiligingseisen de boventoon voeren. Ondanks de uitbreiding van de certificeringspraktijk zijn er echter een aantal mythen en misvattingen omheen ontstaan.

In het Westen worden verplichte audits uitgevoerd voor overheids- en betalingssoftwaresystemen, en ondergaan banken, makelaars-, beleggings-, verzekerings- en dienstverlenende bedrijven die diensten verlenen in de vastgoedsector en op internet vrijwillige audits. In ons land hebben traditioneel voorgeschreven methoden voor conformiteitsbeoordeling de overhand; de software van een aantal informatiesystemen is onderworpen aan verplichte certificering op basis van informatiebeveiligingseisen.

Historisch gezien ontstond het certificeringssysteem voor informatiebeveiligingsvereisten in Rusland na de ineenstorting van de USSR, toen er behoefte was aan controle van de veiligheid van buitenlandse software, evenals van de kwaliteit van Russische softwaresystemen met betrekking tot de verwerking en bescherming van staatsgeheimen. . Het Ministerie van Defensie, FSB en FSTEC werden actieve deelnemers aan het certificeringsproces.

Tot voor kort had certificering vooral betrekking op machtsministeries en industriële ondernemingen die overheidsopdrachten uitvoerden, en de meerderheid van de specialisten op het gebied van informatietechnologie had weinig belangstelling voor dit probleem. De situatie is aanzienlijk veranderd met de goedkeuring van Federale Wet 152 “Over Persoonsgegevens” en de regelgevende en methodologische documenten die daarop volgden. Het bleek dat softwarecertificering en certificering van informatiseringsobjecten noodzakelijk zijn voor de meeste commerciële bedrijven en alle overheidsorganisaties die werkzaam zijn op het gebied van geneeskunde, onderwijs en transport. Dit gaf onmiddellijk aanleiding tot veel vragen en in de regel tot negatieve oordelen, die in de meeste gevallen gepaard gingen met een verkeerd begrip van de essentie en de processen van certificering.

Over het algemeen wordt certificering doorgaans opgevat als een onafhankelijke bevestiging dat bepaalde kenmerken van goederen of diensten aan bepaalde eisen voldoen. In ons geval hebben we het over softwarebeschermingstools of -programma's in een beschermde versie - dienovereenkomstig zijn de vereisten regelgevende documenten en documentatie met betrekking tot informatiebeveiliging.

Hoe gebeurt de certificering?

Een fundamenteel kenmerk van alle certificeringstests is de onafhankelijkheid van het testlaboratorium dat de tests uitvoert en de certificerende organisatie die onafhankelijk toezicht houdt op de testresultaten die door het laboratorium worden uitgevoerd. In grote lijnen is het certificatieschema als volgt.

  1. De aanvrager (ontwikkelaar of ander bedrijf dat geïnteresseerd is in certificering) dient een aanvraag in bij de federale certificeringsinstantie (FSB, FSTEC of Ministerie van Defensie) om certificeringstesten van een bepaald product uit te voeren.
  2. De federale instantie bepaalt het geaccrediteerde testlaboratorium en de certificatie-instelling.
  3. Het testlaboratorium voert samen met de aanvrager certificeringstests uit. Als tijdens het testproces bepaalde inconsistenties met de gestelde eisen aan het licht komen, kunnen deze door de aanvrager op een werkbare manier worden geëlimineerd, wat in de meeste gevallen gebeurt, of kan er worden besloten om de eisen aan het product te wijzigen, bijvoorbeeld door: om de beveiligingsklasse te verlagen. Het is mogelijk dat certificeringstesten met een negatief resultaat worden afgerond. Het meest sensationele voorbeeld in de pers is het geval waarin het testlaboratorium van het Navy Research Institute, na een jaar van inspecties, een negatieve certificeringsconclusie uitvaardigde voor softwareproducten voor speciale doeleinden. Er zijn minstens vijf gevallen bekend waarin bepaalde versies van het besturingssysteem en DBMS geen certificaat konden verkrijgen vanwege het ontbreken van niet-aangegeven mogelijkheden vanwege het verlies van een deel van de broncode van oude modules. Als u naar het FSTEC-register kijkt, zult u merken dat een aantal softwarebeveiligingssystemen (bijvoorbeeld het Oracle DBMS en het IBM Guardium-applicatiebeveiligingssysteem) alleen certificaten hebben ontvangen voor naleving van technische specificaties, en niet voor naleving van het geldende document. van de Technische Staatscommissie - dit betekent dat de certificeringsinstantie van oordeel was dat niet alle vereisten van het richtsnoer tijdens het testen zijn bevestigd.
  4. Testmaterialen worden overgedragen aan de certificatie-instelling, die hun onafhankelijke onderzoek uitvoert. Aan het examen nemen in de regel minimaal twee deskundigen deel, die onafhankelijk de juistheid en volledigheid van de testen bevestigen.
  5. De federale certificatie-instelling geeft, op basis van de conclusie van de certificatie-instelling, een certificaat van overeenstemming af. Het moet gezegd worden dat als er inconsistenties worden vastgesteld, de federale instantie een aanvullend onderzoek kan uitvoeren met de betrokkenheid van deskundigen van verschillende geaccrediteerde laboratoria en instanties.

In verplichte certificeringssystemen bestaat de praktijk van het intrekken en opschorten van licenties en accreditatiecertificaten in geval van grove overtredingen in het certificeringsproces. Er waren gevallen waarin de voortzetting van de activiteiten van drie laboratoria en een certificatie-instelling in twijfel werd getrokken, waardoor twee organisaties hun verdere activiteiten op het gebied van certificering staakten. Bovendien kunnen regelgevende instanties, in het geval van incidenten bij idie verband houden met het lekken van informatie, het laboratorium inspecteren dat de tests heeft uitgevoerd.

Certificatiesystemen en eisen

De activiteiten van Russische certificeringssystemen in de Russische Federatie worden gereguleerd door federale wet nr. 184 “Over technische regelgeving”. Certificering van inkan vrijwillig of verplicht zijn, voornamelijk uitgevoerd binnen het Ministerie van Defensie, de FSB en de FSTEC. Voor de meeste commerciële bedrijven is de term ‘certificering’ synoniem met de concepten ‘certificering in het FSB-systeem’ voor cryptografische beveiligingsproducten en ‘certificering in het FSTEC-systeem’ voor alle andere producten. Er moet echter rekening mee worden gehouden dat de bevoegdheid van de FSB, naast cryptografie, ook iomvat die in de hoogste overheidsorganen worden gebruikt. Het informatiebvan het ministerie van Defensie is op zijn beurt gericht op softwareproducten die in militaire faciliteiten worden gebruikt.

Vrijwillige certificeringssystemen voor inzijn nog niet wijdverspreid. Het enige systeem van dit type dat überhaupt opvalt is IT-Certificatie. Helaas, ondanks het feit dat het in vrijwillige systemen mogelijk is om een ​​certificaat te verkrijgen voor naleving van elk regelgevend document over de bescherming van vertrouwelijke informatie, worden dergelijke certificaten bij het certificeren van informatieobjecten niet erkend door de FSTEC van Rusland.

Wat de documenten voor de naleving van certificeringstests betreft, deze zijn in alle certificeringssystemen vrijwel identiek. Er zijn twee hoofdbenaderingen van certificering - en dienovereenkomstig twee soorten regelgevingsdocumenten.

  1. Functioneel testen van informatiebeveiligingstools om ervoor te zorgen dat het product de aangegeven functies daadwerkelijk implementeert. Deze tests worden meestal uitgevoerd om te voldoen aan een specifiek regelgevend document, bijvoorbeeld een van de bestuursdocumenten van de Technische Staatscommissie van Rusland. Dergelijke documenten zijn bijvoorbeeld opgesteld voor firewalls en bescherming tegen ongeoorloofde toegang. Als er geen document is waaraan het gecertificeerde product volledig zou voldoen, kunnen de functionele eisen expliciet worden geformuleerd - bijvoorbeeld in technische specificaties of in de vorm van een veiligheidsspecificatie (in overeenstemming met de bepalingen van de GOST R 15408-norm ).
  2. Structureel testen van programmacode op de afwezigheid van niet-aangegeven mogelijkheden. Een klassiek voorbeeld van niet-aangegeven mogelijkheden zijn softwarebladwijzers, die, wanneer bepaalde omstandigheden zich voordoen, de uitvoering initiëren van functies die niet in de documentatie zijn beschreven en die ongeoorloofde invloed op informatie mogelijk maken (volgens GOST R 51275-99). De identificatie van niet-aangegeven capaciteiten omvat het uitvoeren van een reeks tests van programmabroncodes, waarvan het aanbieden een noodzakelijke voorwaarde is voor de mogelijkheid om certificeringstests uit te voeren.

In de meeste gevallen moet een informatiebeveiligingstool worden gecertificeerd, zowel wat betreft de basisfunctionaliteit als wat betreft de afwezigheid van niet-aangegeven mogelijkheden. Er wordt een uitzondering gemaakt voor systemen voor het verwerken van persoonsgegevens van de tweede en derde klasse om de kosten van informatiebescherming voor kleine particuliere organisaties te verlagen. Als een softwaretool niet over ibeschikt, kan het alleen worden gecertificeerd voor de afwezigheid van niet-aangegeven mogelijkheden.

Mythologie rond certificering

Het proces van het organiseren en uitvoeren van tests in elk certificeringssysteem is strikt geformaliseerd, maar het gebrek aan ervaring van de meeste IT-specialisten met het deelnemen aan dergelijke tests en met de interactie met toezichthouders geeft aanleiding tot een aantal mythen en misvattingen over certificeringskwesties. .

Mythe #1: Certificering is een vak. Helaas beschouwen sommige consumenten elke certificering oprecht als een formele procedure voor het verkrijgen van vergunningen, die uiteraard corrupt en absoluut nutteloos is. Daarom komt het voor veel aanvragers als een schok dat de ter certificering aangeboden beschermingsmiddelen daadwerkelijk serieus worden getest en dat het resultaat van de test negatief kan zijn. Onafhankelijke controle van testlaboratoria door certificatie-instellingen zorgt ervoor dat er geen sprake is van collusie tussen de aanvrager en het laboratorium.

Mythe nr. 2: certificering wordt uitgevoerd door overheidsinstanties. Natuurlijk zijn de federale instanties van alle verplichte certificeringssystemen staatseigendom, maar testlaboratoria en certificeringsinstanties kunnen elke vorm van eigendom hebben, en in de praktijk zijn de meeste daarvan commerciële organisaties.

Mythe nr. 3: certificering is alleen nodig voor de bescherming van staatsgeheimen. Tegenwoordig is meer dan 80% van de inuitsluitend gecertificeerd voor gebruik in geautomatiseerde systemen die geen informatie bevatten die staatsgeheim vormt.

Mythe nr. 4: Alleen overheidsinstanties hebben certificering nodig. In feite is de eindklant geïnteresseerd in certificering van het informatiseringsobject - een formele bevestiging dat het geautomatiseerde systeem veilig is. Om de certificering met succes te doorstaan, moet het systeem in de meeste gevallen worden gebouwd met uitsluitend gecertificeerde beveiligingshulpmiddelen. Dit geldt niet alleen voor systemen die verband houden met staatsinformatiebronnen, maar ook voor systemen die verband houden met de verwerking van persoonlijke gegevens. Het kan zijn dat u te maken krijgt met vereisten voor verplichte certificering van softwareproducten, ongeacht het soort geheimen dat wordt beschermd; Dergelijke vereisten bestaan ​​bijvoorbeeld voor systemen die werken met de kredietgeschiedenis van burgers, spelsystemen bij het verlenen van toegang tot bronnen van internationale uitwisselingsnetwerken, enz.

Mythe nr. 5: Een buitenlands product kan niet worden gecertificeerd. In feite doorstaan ​​producten van ontwikkelaars als Microsoft, IBM, SAP, Symantec, Trend Micro, enz. met succes de certificeringstests, inclusief tests voor de afwezigheid van niet-aangegeven mogelijkheden.

Buitenlandse bedrijven dragen in de regel geen broncodes over naar Rusland, dus worden er ter plaatse tests uitgevoerd bij de ontwikkelaar. Uiteraard worden programmacodes geleverd onder de absolute controle van de beveiligingsdiensten van de ontwikkelaars, met uitsluiting van eventuele lekkage. Het uitvoeren van werkzaamheden in deze modus is behoorlijk complex en vereist hooggekwalificeerde specialisten, dus niet elk testlaboratorium is klaar om dergelijke diensten aan te bieden. Het aantal buitenlandse producten dat in Rusland wordt gecertificeerd, neemt echter elk jaar toe. Tegenwoordig hebben ongeveer twintig buitenlandse bedrijven, waaronder Microsoft, IBM, Oracle en SAP, de broncodes van hun producten ter beschikking gesteld voor certificeringstests. In dit opzicht is het initiatief van Microsoft Corporation - Government Security Program opmerkelijk, volgens welke de basiscode van alle producten van het bedrijf voor onderzoek naar Rusland werd overgedragen. De afgelopen vijf jaar hebben bijna veertig buitenlandse producten een certificaat ontvangen dat er geen sprake is van niet-aangegeven capaciteiten.

Mythe nr. 6: Gecertificeerd betekent beschermd. Dit is niet helemaal waar. De juiste formulering zou zijn: het product is gecertificeerd, wat betekent dat het aan bepaalde eisen voldoet. Tegelijkertijd moet de consument duidelijk begrijpen waaraan de beschermende uitrusting precies moet voldoen, om ervoor te zorgen dat de tests daadwerkelijk de producteigenschappen verifiëren die van belang zijn voor de klant.

Als het product is getest op het voldoen aan technische specificaties, dan wordt deze conformiteit vastgelegd in het certificaat, maar kan de consument, zonder de technische specificaties van het product te lezen, in principe niet bepalen welke kenmerken zijn getest, wat de voorwaarden schept voor misleiding. ongekwalificeerde consument. Evenzo zegt de aanwezigheid van een certificaat van afwezigheid van niet-aangegeven capaciteiten niets over de functionaliteit van het product.

Het is erg belangrijk om vertrouwd te raken met de beperkingen op het gebruik van het product, die zijn gespecificeerd in de technische specificaties: specifieke besturingsomgevingen en platforms, besturingsmodi, configuraties, het gebruik van aanvullende beveiligingsmaatregelen, enz. Bijvoorbeeld een certificaat voor sommige versies van de Windows- en MSWS-besturingssystemen is dit alleen geldig met een vertrouwde opstartmodule. Bijna alle certificaten voor externe beveiligingsmaatregelen zijn alleen geldig voor specifieke versies van het besturingssysteem, en beperkingen op het gebruik van sommige vertrouwde opstarttools geven aan dat de computer fysiek moet worden beschermd. Er is een merkwaardig geval waarin de beperkingen van een verouderd beveiligingshulpmiddel specificeerden dat Windows alleen in de opdrachtmodus zou moeten werken.

Mythe nr. 7: er wordt niets gevonden tijdens de certificering. Ongeacht de vereisten van regelgevingsdocumenten, is er tegenwoordig een onuitgesproken regel volgens welke experts, als onderdeel van certificeringstests, de broncode zorgvuldig inspecteren (indien aanwezig) en ook verschillende opties voor belastingtests uitvoeren. Daarnaast bestuderen experts verschillende veiligheidsbulletins over producten en hun werkomgevingen. Als gevolg hiervan ontvangt het ervaren laboratorium een ​​lijst met kritische kwetsbaarheden die de aanvrager moet verhelpen of in documentatie moet beschrijven. Certificering identificeert bijvoorbeeld dergelijke kwetsbaarheden als ingebouwde wachtwoorden en algoritmen voor het genereren ervan, architectonische fouten (onjuiste implementatie van discrete en verplichte toegangsprincipes, enz.), programmeerfouten (kwetsbaarheden voor bufferoverflow, fouten in logica en tijdoperatoren, races , de mogelijkheid om niet-vertrouwde bestanden te downloaden, enz.), evenals fouten bij het verwerken van applicatiegegevens (SQL-injecties, cross-site scripting), waarvan de implementatie het niveau van systeembeveiliging aanzienlijk kan verminderen. Volgens onze praktijk werden in 70% van de geteste communicatieapparatuur ingebouwde hoofdwachtwoorden gevonden en in bijna 30% van de geteste besturingssystemen werden fouten in de implementatie van het toegangscontrolesysteem geïdentificeerd. Er zijn ook gevallen geweest waarin producten zelfs logische tijdbommen bevatten.

Mythe nr. 8: een product is gecertificeerd als zodanig dat het geen verborgen mogelijkheden heeft, wat betekent dat het geen kwetsbaarheden bevat. Tegenwoordig zijn er geen methoden voor gegarandeerde detectie van alle mogelijke softwarekwetsbaarheden. Succesvolle voltooiing van de certificering voor de afwezigheid van niet-aangegeven mogelijkheden garandeert de detectie van slechts een bepaalde klasse van kwetsbaarheden die met behulp van specifieke methoden zijn geïdentificeerd. Aan de andere kant garandeert het behalen van de certificering voor de afwezigheid van niet-aangegeven mogelijkheden dat de ontwikkelaar een kwaliteitssysteem heeft voor de productie van programma's, dat wil zeggen dat alle echte broncodes en de compilatieomgeving zijn gevonden en opgenomen, en dat compilatie en assemblage gegarandeerd zijn. herhaald, en er is ook Russischtalige documentatie.

Mythe nr. 9: Vereisten voor broncodeanalyse bestaan ​​alleen in ons land. U kunt vaak kritiek tegenkomen op de striktheid van de binnenlandse certificering in verband met het verstrekken van broncodes voor programma's. Het internationale certificeringssysteem Common Criteria maakt het testen mogelijk van producten die informatie verwerken die niet als staatsgeheim is geclassificeerd zonder broncodes te verstrekken, maar in dit geval moeten controles op de afwezigheid van verborgen kanalen en kwetsbaarheden gerechtvaardigd zijn. Voor systemen voor de verwerking van staatsgeheimen en betalingssystemen wordt een structurele analyse van de veiligheid van de broncode gegeven. Vereisten voor beveiligingsaudits van broncode voor commerciële softwareproducten zijn te vinden in de internationale standaarden PCI DSS, PA DSS en NISTIR 4909.

Mythe #10: Certificering is duur. Certificering van software volgens de eisen op het gebied van informatiebeveiliging is een tamelijk langdurig en arbeidsintensief proces dat niet gratis kan zijn. Tegelijkertijd breidt de aanwezigheid van een conformiteitscertificaat de markt voor het product van de aanvrager aanzienlijk uit en verhoogt het aantal verkopen, en dan blijken de kosten van certificering in verhouding tot andere kosten klein te zijn.

De toekomst van certificering

Certificering is geen universele manier om alle bestaande problemen op het gebied van informatiebeveiliging op te lossen, maar tegenwoordig is het het enige echt functionerende mechanisme dat onafhankelijke kwaliteitscontrole van inbiedt, en de voordelen ervan zijn groter dan de schade. Als het certificeringsmechanisme correct wordt gebruikt, kan het probleem van het bereiken van een gegarandeerd beveiligingsniveau voor geautomatiseerde systemen met succes worden opgelost.

Vooruitkijkend kan worden aangenomen dat certificering als regelgevend instrument zal veranderen in de richting van het verbeteren van regelgevingsdocumenten die redelijke vereisten voor bescherming tegen huidige bedreigingen weerspiegelen, enerzijds, en in de richting van het verbeteren van methoden voor het controleren van kritische componenten op basis van het criterium “efficiëntie/tijd” anderzijds.

Alexey Markov([e-mailadres beveiligd]), Valentin Tsirlov- medewerkers van NPO "Eshelon" (Moskou).



Gecertificeerde softwareproducten, softwarecertificeringsprocedure, beveiligingsvereisten, taken van FSTEC en FSB.

Volgens de vereisten van federale wet (F3) nr. 781 en het decreet van de regering van de Russische Federatie van 17 november 2007 zijn alle kwesties op het gebied van de bescherming van persoonsgegevens toegewezen aan FSTEC van Rusland En FSB van Rusland. Er zijn ook een aantal geautoriseerde vertegenwoordigers* die de software kunnen certificeren. Volgens de vereisten van regelgevende documenten, het gebruik van gecertificeerde inis verplicht in alle informatiesystemen voor de verwerking van persoonsgegevens van de 1e tot en met de 3e klasse(alle werkstations en servers voor het verwerken van persoonsgegevens).

Softwarecertificeringsprocedure

De softwarecertificeringsprocedure is in twee gevallen noodzakelijk:
  1. certificering door ontwikkelaars op eigen verzoek(de doeleinden van certificering kunnen verschillend zijn);
  2. verplichte softwarecertificering(als de software gegevens verwerkt waarvan het verlies/lekken schade kan toebrengen aan personen, bedrijven, overheid en andere structuren).
Kennisgeving over de verwerking van persoonsgegevens en, dienovereenkomstig, het gebruik van gecertificeerde inis hierbij niet nodig:
  • bescherming van persoonsgegevens van personen met wie de ondernemer een arbeidsrelatie heeft (bijvoorbeeld een personeelsafdeling binnen één rechtspersoon);
  • de gegevens worden gebruikt ter uitvoering van een overeenkomst met de Betrokkene (bijvoorbeeld een Dienstverleningsovereenkomst etc.);
  • persoonlijke gegevens worden geanonimiseerd (dat wil zeggen dat er geen manier is om het onderwerp van persoonlijke gegevens nauwkeurig te identificeren, bijvoorbeeld gewicht, lengte, geboortedatum, enz. parameters die niet zijn gekoppeld aan enige unieke identificatiegegevens (paspoort, TIN, enz.) ));
  • persoonlijke gegevens zijn openbaar beschikbaar (dat wil zeggen gegevens die worden bepaald door openbaar beschikbare gegevens of andere wetten, bijvoorbeeld gegevens over kandidaten voor gekozen posities, enz.).

Gecertificeerde software (beveiligingseisen)

  • Software die de conformiteitstest in het certificeringssysteem voor informatiebeveiligingstools heeft doorstaan ​​in overeenstemming met de vereisten van staatsnormen en regelgevende documenten over informatiebescherming van de FSTEC van Rusland en de FSB van Rusland, wat wordt bevestigd door een certificaat van overeenstemming.
  • In het leveringspakket van de gecertificeerde software moet een kopie van het conformiteitscertificaat (gecertificeerd door het zegel van de aanvrager) worden opgenomen;
Software, distributie, die overeenkomt met het referentieexemplaar dat certificeringstests heeft ondergaan, wat wordt bevestigd door de overeenkomstige vermeldingen in de begeleidende documentatie voor de gecertificeerde software (formulier), en een speciaal holografisch teken van overeenstemming met een uniek nummer dat deze kopie identificeert in het staatsregistratiesysteem van gecertificeerde producten.
  • Een geverifieerde softwaredistributie, een formulier met de distributiecontrolesom en een speciaal holografisch teken van conformiteit moeten in het leveringspakket van de gecertificeerde software worden opgenomen.;
Software waarvan de beveiligingsmechanismen van de geïmplementeerde versie zijn geconfigureerd in overeenstemming met gecertificeerde parameters. De software is gecertificeerd voor overeenstemming met technische documenten (RD, TS of ST) en met de parameters gespecificeerd in deze documentatie.
  • De leveringsset van gecertificeerde software moet documentatie en materialen bevatten voor het instellen van de software in overeenstemming met de gecertificeerde parameters zoals vermeld in de technische documentatie;
Software waarvan alle wijzigingen (updates) die kritisch zijn voor de veiligheid, worden onderworpen aan certificeringstesten en worden naar de eindgebruiker gebracht. Bij het vrijgeven van updates en fixes voor het beveiligingssysteem van een gecertificeerd product is de fabrikant verplicht updates voor certificering aan te bieden en de informatie naar de consument te brengen.
  • Het leveringspakket gecertificeerde software moet alle benodigde tools bevatten zodat de consument beveiligingsupdates kan ontvangen;
Softwaregestuurd tijdens bedrijf. De software moet beschikken over middelen voor het bewaken van de integriteit, het vastleggen van gebeurtenissen tijdens de implementatie van beveiligingsupdates in de software en het bewaken van de beveiliging tijdens het gebruik. De consument moet beschikken over mechanismen om de integriteit van beveiligingsupdates te verifiëren met behulp van checksums.
  • Het leveringspakket gecertificeerde software moet de benodigde softwaretools (ingebouwd of overlay) bevatten die zijn ontworpen om aan deze eisen te voldoen;
Software, elke gecertificeerde kopie , die is opgenomen in het register van gecertificeerde producten. De fabrikant is verplicht om beschermingsmiddelen te labelen en onbelemmerde toegang tot boekhoudinformatie te garanderen voor functionarissen van instanties die controle uitoefenen op gecertificeerde beschermingsmiddelen.
  • Elk exemplaar van gecertificeerde software gaat vergezeld van unieke nummers die het beveiligingsapparaat identificeren in overeenstemming met de procedures die voor dit certificeringssysteem zijn vastgelegd ** .

Taken van FSTEC en FSB

De belangrijkste doelstellingen van FSTEC op het gebied van softwarecertificering zijn:
  • implementatie, binnen zijn bevoegdheid, van staatsbeleid op het gebied van het garanderen van informatiebeveiliging in belangrijke informatie-infrastructuursystemen, het tegengaan van technische intelligentie en de technische bescherming van informatie;
  • implementatie van onafhankelijke wettelijke regeling van kwesties:
  1. het garanderen van informatiebeveiliging in belangrijke informatie-infrastructuursystemen;
  2. het tegengaan van technische intelligentie;
  3. technische informatiebescherming.
  • het uitoefenen, binnen zijn bevoegdheid, van controle over activiteiten om de veiligheid van informatie in belangrijke informatie-infrastructuursystemen te garanderen, om technische inlichtingen en technische bescherming van informatie in het apparaat van federale overheidsinstanties en overheidsinstanties van de samenstellende entiteiten van de Russische Federatie tegen te gaan, in federale uitvoerende organen, uitvoerende organen van samenstellende entiteiten Russische Federatie, lokale overheden en organisaties ***;

Licentie voor software door de FSB van Rusland

Het volgende is onderworpen aan licentieverlening door het Russische FSB-centrum:
  • activiteiten die verband houden met het gebruik van informatie die staatsgeheimen vormt;
  • activiteiten ter uitvoering van maatregelen en (of) dienstverlening op het gebied van de bescherming van staatsgeheimen;
  • activiteiten gerelateerd aan het creëren van in****;

Informatie over het softwarecertificeringssysteem

Alle gegevens over het certificeringssysteem voor informatiebeveiligingstools volgens beveiligingseisen zijn te vinden op de officiële website van FSTEC *****.

Gecertificeerde producten

Momenteel bedraagt ​​het aantal gecertificeerde producten 3154 artikelen ******. Bijna al deze producten vindt u op onze website in de rubriek “

Microsoft-producten gecertificeerd door FSTEC, vanuit het oogpunt van programmacode, verschillen niet van gewone gelicentieerde legale Microsoft-producten, aangezien de software-implementatie van Microsoft-producten u in staat stelt de juiste FSTEC-certificaten te verkrijgen zonder de programmacode te wijzigen. In overeenstemming met de Russische wetgeving hebben FSTEC-gecertificeerde producten echter een aantal andere belangrijke verschillen met niet-gecertificeerde producten, namelijk:

  • elk exemplaar van een gecertificeerd product dat zich bij de klant bevindt, moet een procedure ondergaan om de overeenstemming van dit exemplaar met het gecertificeerde exemplaar te verifiëren;
  • elk exemplaar van een gecertificeerd product dat zich bij de klant bevindt, ontvangt, in geval van positieve verificatie van de conformiteit met het gewaarmerkte exemplaar, een pakket door de staat uitgegeven certificeringsdocumenten, inclusief een holografisch FSTEC-conformiteitsmerk met een uniek nummer voor elk exemplaar (indien het de klant heeft 1000 computers met een gecertificeerd product, daarna worden er 1000 hologrammen uitgegeven), waarmee dit exemplaar wordt geïdentificeerd in het staatsregistratiesysteem van gecertificeerde producten;
  • Elke organisatie die een gecertificeerd product heeft aangeschaft, krijgt beveiligde toegang tot een persoonlijke pagina om gecertificeerde updates te ontvangen.

Microsoft-producten die zijn gecertificeerd door andere geautoriseerde instanties, bevatten aanvullende software, namelijk servicepacks, ontwikkeld door Russische organisaties waarmee deze Microsoft-producten aan de vereisten kunnen voldoen. Deze 'Secure Pack Rus'-servicepakketten bevatten voornamelijk Russisch gecertificeerde cryptografie, die Microsoft niet produceert.

Gebruik van gecertificeerde producten

Als een organisatie een softwareproduct wil gebruiken dat nog niet gecertificeerd is, dan moet zij bij dat product gebruik maken van een overlay (derden) informatiebeveiligingstool die gecertificeerd is en ontworpen is om met dat product te werken. Het gebruik van overlappende informatiebeveiliging betekent een aanzienlijke verhoging van de kosten van het product en vermindert vaak dramatisch de mogelijkheid van dit product om met andere software en hardware te communiceren. Daarom certificeert Microsoft zijn softwareproducten met ingebouwde informatiebeveiligingstools - dit is handiger en goedkoper voor klanten.

In Rusland is massaproductie van alle gecertificeerde versies van Microsoft-producten georganiseerd. Hierdoor kunnen klanten elke hoeveelheid gecertificeerde producten kopen. Door de voortdurende certificering van maandelijkse productupdates beschikken klanten over een gecertificeerde versie die niet alleen over de nieuwste beveiligingsupdates beschikt, maar ook voldoet aan de wettelijke vereisten.

WELKE MICROSOFT-PRODUCTEN ZIJN GECERTIFICEERD DOOR FSTEC

Momenteel zijn de volgende Microsoft-producten gecertificeerd door FSTEC:

  • clientbesturingssysteem Microsoft Windows XP Professional, Russische versie (inclusief OEM-productie);
  • clientbesturingssysteem Microsoft Windows Vista (Business, Enterprise, Ultimate), Russische versie (inclusief OEM-productie);
  • serverbesturingssysteem Microsoft Windows Server 2003 (Standard Edition en Enterprise Edition), Russische versies;
  • serverbesturingssysteem Microsoft Windows Server 2003 R2 (Standard Edition en Enterprise Edition), Russische versies;
  • databasebeheersysteem Microsoft SQL Server 2005 (Standard Edition en Enterprise Edition), Russische versies;
  • Microsoft Office 2003 Professioneel kantoorapplicatieplatform, Russische versie, inclusief ingebouwde technologie voor het beheer van digitale rechten voor documenten die werkt met RMS-servertechnologie ingebouwd in Microsoft Windows Server 2003;
  • kantoorapplicatieplatform Microsoft Office 2007 Professional, Russische versie, inclusief ingebouwde digitale rechtenbeheertechnologie voor documenten die werkt met RMS-servertechnologie ingebouwd in Windows Server 2003;
  • firewall Microsoft ISA Server 2006 (standaardeditie), Russische versie - voor naleving van zowel de algemene criteria als de geldende documenten “SVT. Firewalls…” volgens de derde beveiligingsklasse;
  • Microsoft Forefront-antivirusproducten voor servers en werkstations (Forefront voor Exchange Server, Forefront voor SharePoint Server en Forefront Client);
  • Microsoft Exchange Server 2007 mailbeheerserver;
  • server voor bedrijfsprocesbeheer Microsoft BizTalk Server 2006 R2;
  • serverbesturingssysteem Microsoft Windows Server 2008 (alle edities), inclusief Hyper-V-virtualisatieserver, Russische versies;
  • Microsoft SQL Server 2008 databasebeheersysteem (alle edities), Russische versies;
  • kantoorapplicatieplatform Microsoft Office Professional Plus 2007, Russische versie;
  • operationeel managementsysteem in informatiesystemen Microsoft System Center Operations Manager 2007;
  • configuratiebeheersysteem in informatiesystemen Microsoft System Center Configuration Manager 2007;
  • beheersysteem voor gegevensbescherming in informatiesystemen Microsoft System Center Data Protection Manager 2007;
  • beheersysteem voor virtuele machines in informatiesystemen Microsoft System Center Virtual Machine Manager 2008;
  • klantrelatiebeheersysteem Microsoft Dynamics CRM 4.0;
  • bedrijfsbeheersysteem Microsoft Dynamics AX 2009;
  • bedrijfsbeheersysteem Microsoft Dynamics AX 4.0;
  • bedrijfsbeheersysteem Microsoft Dynamics NAV 5.0;
  • clientbesturingssysteem Windows 7 (alle edities), Russische en Engelse versies;
  • serverbesturingssysteem Windows Server 2008 R2 (alle edities), Russische en Engelse versies;
  • server voor het beheren van bedrijfsprocessen Microsoft BizTalk Server 2009 (alle edities), Russische versie;
  • Identiteitsbeheerserver in heterogene systemen Microsoft Forefront Identity Manager 2010, Russische en Engelse versies;
  • mailbeheerserver Microsoft Exchange Server 2010 (alle edities), Russische en Engelse versies;
  • servicebeheersysteem in informatiesystemen Microsoft System Center Service Manager 2010, Russische en Engelse versies;
  • klantrelatiebeheersysteem Microsoft Dynamics CRM 2011, Russische versie;
  • bedrijfsbeheersysteem Microsoft Dynamics NAV 2009 R2, Russische versie;
  • kantoorapplicatieplatform Microsoft Office Professional Plus 2010, Russische en Engelse versies;
  • antivirusbeschermingssysteem Microsoft Forefront Endpoint Protection 2010, Russische en Engelse versies;
  • documentbeheerserver Microsoft SharePoint Server 2010 (alle edities), Russische en Engelse versies;
  • communicatieserver Microsoft Lync Server 2010 Enterprise, Russische en Engelse versies;
  • bedrijfsbeheersysteem Microsoft Dynamics AX 2012 R2;
  • clientbesturingssysteem Microsoft Windows 8 (versies Windows 8, Windows 8 Professional, Windows 8 Enterprise);
  • serverbesturingssysteem Microsoft Windows Server 2012 (versies Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
  • Microsoft System Center 2012 (standaard- en datacenterversies);
  • Microsoft SQL Server 2012 databasebeheersysteem (Standard, Enterprise, Business Intelligence, webversies);
  • kantoorapplicatieplatform Office Professional Plus 2013;
  • Microsoft Hyper-V Server 2012 virtuele fabric-beheerserver;
  • Microsoft System Center 2012 R2 (standaard- en datacenterversies);
  • klantrelatiebeheersysteem Microsoft Dynamics CRM 2013;
  • mailbeheerserver Microsoft Exchange Server 2013 (Standard- en Enterprise-versies);
  • documentbeheerserver Microsoft SharePoint Server 2013;
  • Microsoft SQL Server 2014 databasebeheersystemen in Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express met tools;
  • klantrelatiebeheersysteem Microsoft Dynamics CRM Server 2015.

Conform de ontvangen FSTEC-certificaten kunt u met deze gecertificeerde producten geautomatiseerde systemen bouwen tot en met beveiligingsklasse 1G. Bovendien zijn degenen onder hen die naar buiten kwamen na de goedkeuring van federale wet-152 "Over persoonlijke gegevens" gecertificeerd voor naleving van de wetgeving inzake persoonlijke gegevens.

Momenteel heeft FSTEC de certificering van de volgende producten voltooid; alle rapportagedocumenten bevinden zich in de certificeringsinstanties:

  • Lync-server 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

WELKE MICROSOFT-PRODUCTEN WORDEN GECERTIFICEERD DOOR ANDERE GEAUTORISEERDE INSTANTIES

De volgende Microsoft-producten zijn FSB-gecertificeerd:

  • clientbesturingssysteem Microsoft Windows XP Professional, Russische versie;
  • serverbesturingssysteem Microsoft Windows Server 2003 Enterprise Edition, Russische versie;
  • Microsoft SharePoint Server 2007 documentbeheerserver;
  • Microsoft SQL Server 2008 databasebeheersysteem;
  • Microsoft Windows 7 Professional, Enterprise en Ultimate allemaal met SP1;
  • Microsoft Windows 8 Professional en Enterprise;
  • Microsoft Windows 8.1 Professional en Enterprise;
  • Microsoft Windows Server 2008 Standard R2 en Enterprise R2 beide met SP1;
  • Microsoft Windows Server 2012 Standaard met SP1;
  • Microsoft Windows Server 2012 R2 met SP1.

Certificaten bevestigen dat de gespecificeerde producten voldoen aan de eisen van de bevoegde instanties van Rusland

  • bescherming van informatie die geen informatie bevat die een staatsgeheim vormt,
  • bescherming tegen ongeoorloofde toegang in geautomatiseerde informatiesystemen van klasse AK2 (sommige producten zijn gecertificeerd op niveau AK3).

Bovendien hebben de geautoriseerde instanties een positieve conclusie getrokken op basis van de resultaten van certificeringstests van het certificeringscentrum in Windows Server 2003 voor naleving van het KS2-niveau in overeenstemming met de nationale vereisten.

Er zijn onlangs positieve conclusies ontvangen op basis van de resultaten van certificeringstests van de volgende producten:

  • Microsoft ExchangeServer 2010.

Zoals vermeld in de documenten kunnen deze producten worden gebruikt om vertrouwelijke informatie en persoonlijke gegevens te beschermen.

De verkregen certificeringsresultaten maken het mogelijk om veilige documentbeheersystemen voor overheidsinstanties en “elektronische overheids”-systemen te creëren, gebouwd op het Microsoft-platform.



GERELATEERDE ARTIKELEN