FSTEC postupak sertifikacije. Fstack certifikati

Certifikacija u Federalnoj službi za tehničku i izvoznu kontrolu (FSTEC) se provodi kada je potrebno potvrditi usklađenost razvijenog proizvoda sa zahtjevima informacione sigurnosti.

Već više od deset godina laboratorija za ispitivanje CJSC "IBTrans" ispituje softver u sistemu sertifikacije alata za bezbednost informacija u skladu sa zahtevima informacione bezbednosti. Ispitivanja se provode za usklađenost sa zahtjevima mjerodavnih dokumenata Državne tehničke komisije Rusije i uključuju provjere proizvoda i dokumentacije za to.

U željezničkom saobraćaju, po pravilu, provjere softvera se sprovode u skladu sa zahtjevima dokumenta smjernica "Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za sigurnost informacija". Klasifikacija prema nivou kontrole odsustva neprijavljenih mogućnosti."

Spremnost kandidata

Spremnost softverske dokumentacije u skladu sa GOST ESPD (ESKD)
Dostupnost izvornih kodova softvera
Dostupnost funkcionalno kompletnog softvera (stabilna verzija softvera)
* Podnosilac - organizacija za razvoj softvera, korisnik softvera, zvanični predstavnik strane kompanije za razvoj softvera u Ruskoj Federaciji, aplicira za sertifikaciju softvera

Prikupljanje informacija

Definicija naziva i oznake softverskog proizvoda
Određivanje količine izvornog koda koji treba analizirati zbog odsustva NDV
Adrese za testiranje softvera
Alati za razvoj hardvera i softvera
* NDV - neprijavljena prilika

Transfer informacija

Podnosilac prijave se sa prikupljenim podacima obraća laboratoriji za ispitivanje. Laboratorija za ispitivanje, na osnovu dobijenih podataka, ocjenjuje izvodljivost posla, rokove i cijenu.
* Laboratorija za ispitivanje - organizacija akreditovana od strane FSTEC Rusije za sprovođenje sertifikacionih testova proizvoda za bezbednost informacija.

Komercijalna ponuda

Laboratorija za ispitivanje formira komercijalnu ponudu u kojoj se navodi redoslijed radova, postupak obračuna, cijena i vrijeme ispitivanja, opravdano smjernicama i praksom rada.

Priprema aplikacije

Podnositelj zahtjeva (uz informacijsku podršku Laboratorije za ispitivanje) na memorandumu sa pečatom organizacije sastavlja "Zahtjev za sertifikaciju softvera za odsustvo neprijavljenih mogućnosti" i šalje ga FSTEC-u Rusije.
Podaci sadržani u prijavi: adresa; ime i bankovne podatke podnosioca prijave; naziv proizvoda koji podliježu certifikaciji; šema certifikacije; zahtjeve za usklađenost sa kojima se vrši certifikacija; Preferirana adresa laboratorije za ispitivanje.
Obrazac prijave za sertifikaciju možete preuzeti OVDJE.
* FSTEC Rusije - Federalno telo za sertifikaciju proizvoda za zahteve bezbednosti informacija

Dobijanje odluke

Federalno sertifikaciono tijelo (FSTEC Rusije) u roku od mjesec dana razmatra zahtjev za sertifikaciju, utvrđuje šemu za sertifikaciju sredstava informacione sigurnosti, laboratoriju za ispitivanje, uzimajući u obzir prijedloge podnosioca zahtjeva, i imenuje tijelo za sertifikaciju.
Na osnovu rezultata razmatranja Prijave, FSTEC Rusije šalje podnosiocu prijave sertifikacionom telu i Laboratoriji za ispitivanje koja je određena za sertifikaciju, Odluke o zahtevu za sertifikaciju. Odluka o sertifikaciji navodi naziv proizvoda, šemu sertifikacije, Laboratoriju za ispitivanje koja sprovodi ispitivanje proizvoda i Sertifikaciono telo koje kontroliše proces sertifikacije.
* Sertifikaciono telo - ovlašćena organizacija (lice) koja vrši kontrolu toka ispitivanja i vrši ispitivanje materijala sertifikacionih ispitivanja

Zaključivanje ugovora

Usklađivanje svih uslova rada između Podnosioca prijave i Laboratorije za ispitivanje. Na osnovu konsultacija između strana, formira se raspored rada. Potpisivanjem ugovora određuje se početak certifikacijskih testova.
Pored toga, zaključen je ugovor sa sertifikacionim tijelom za ispitivanje ispitnih materijala. Ugovor sa sertifikacionim tijelom mogu sklopiti i Laboratorija za ispitivanje i Podnosilac zahtjeva. Preporučena opcija je sklapanje ugovora između Laboratorije za ispitivanje i certifikacijskog tijela.

Analiza dokumentacije

Podnosilac zahtjeva prenosi softversku dokumentaciju za proizvod koji je predmet certifikacijskog ispitivanja u Laboratoriju za ispitivanje.
Programska dokumentacija uključuje sljedeću listu dokumenata, razvijenih uzimajući u obzir zahtjeve ESPD (ESKD) standarda:
Obrazac (GOST 19.501-78)
Specifikacija (GOST 19.202-78)
Opis programa (GOST 19.402-78)
Opis primjene (GOST 19.502-78)
Tekst programa (GOST 19.401-78)

Razvoj programa za testiranje

Na osnovu rezultata analize dokumentacije, stručnjaci Laboratorije za ispitivanje razvijaju "Program i metodologiju za provođenje sertifikacionih ispitivanja" proizvoda.
Program i metodologija ispitivanja određuju redoslijed provjera koje provode laboratorijski stručnjaci kako bi procijenili usklađenost softverskog proizvoda sa zahtjevima relevantnih regulatornih dokumenata FSTEC Rusije.
Program i metodologija ispitivanja su usaglašeni sa podnosiocem zahteva i odobreni od strane sertifikacionog tela.
U slučaju da je sertifikovani proizvod razvijen uz učešće strane organizacije, Program i metode ispitivanja se dodatno usaglašavaju sa Saveznim sertifikacionim telom.

Testiranje

Nakon dogovora o Programu i Metodologiji testiranja, laboratorijski stručnjaci počinju sa testiranjem softverskog proizvoda. Testovi uključuju sljedeće osnovne korake:
analiza softverske dokumentacije,
popravljanje početnog stanja softvera,
testiranje softverskih proizvoda (statičko testiranje izvornog koda, dinamička analiza)
Stručnjaci Laboratorije za ispitivanje se šalju na poligon (organizaciji-programerima softverskog proizvoda)

Rezultati testa

Na osnovu rezultata svih pregleda certificiranih proizvoda, laboratorij za ispitivanje formira paket dokumenata koji uključuje:
izvještaji o testiranju proizvoda,
tehnički zaključak,
uzorkovanje sertifikata, softverskog sklopa i druge dokumentacije.
Cjelokupni paket dokumenata, uključujući programsku dokumentaciju Podnosioca prijave, prosljeđuje se sertifikacionom tijelu na ispitivanje. Tehnički zaključak Laboratorije za ispitivanje šalje se Podnosiocu zahtjeva.

Operativni sistemi "Microsoft Windows 8.1", "Microsoft Windows 8.1 Professional", "Microsoft Windows 8.1 Enterprise"

Potvrda br. 3263

11/07/2014 11/07/2020 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. Poštujte zahtjeve dokumenta sa smjernicama "Računarska postrojenja. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji zaštite od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) - za 5. klasu sigurnosti, pod uslovom da su svi relevantni obavezni sertifikovane sigurnosne ispravke su instalirane i prate se uputstva za upotrebu, data u obrascima 501110-001-82487552-2014 03 FD i 501110-001-82487552-2014 02 FD.

Ograničenja upotrebe

1. Postavke i kontrolu sigurnosnih zaštitnih mehanizama treba izvršiti u skladu sa "Vodič za konfiguraciju sistema".
2. Softverski paket mora proći proceduru praćenja usklađenosti (verifikacije) sa sertifikovanim standardom.

Operativni sistem Microsoft Windows 7 (SP1) u izdanjima "Professional", "Enterprise" i "Ultimate"

Potvrda br. 2180/1

10/04/2011 10/04/2020 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. Oni su u skladu sa zahtjevima dokumenta smjernica "Računarska postrojenja. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji zaštite od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) - za 5. klasu sigurnosti i mogu se koristiti za kreiraju automatizovane sisteme do klase bezbednosti uključujući 1G i prilikom kreiranja informacionih sistema ličnih podataka do klase 2 uključujući.

Ograničenja upotrebe:

Serverski operativni sistemi

Softverski paket "Microsoft Windows Server 2012 Standard"

Potvrda br. 2949

09/06/2013 09/05/2019 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama U skladu sa zahtevima dokumenta sa uputstvima "Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Sigurnosni indikatori protiv neovlašćenog pristupa informacijama " (Državna tehnička komisija Rusije, 1992.) - za 5. klasu sigurnosti, pod uslovom da su instalirane sve aktuelne obavezne certificirane sigurnosne nadogradnje i da su uputstva za upotrebu data u obrascima 501110-002-82487552-2013 01 St FO i 501110-002 -82487552-2013 02 St FO se prate.

Ograničenja upotrebe

1. Softverski paket "Microsoft Windows Server 2012 Standard" mora proći proceduru praćenja usklađenosti (verifikacije) sa sertifikovanim standardom.
2. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija dd "Dokumentarni sistemi"

Softverski paket Microsoft Windows Server 2012 Datacenter

Potvrda br. 2950

09/06/2013 09/06/2019 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama U skladu sa zahtevima dokumenta sa uputstvima "Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Sigurnosni indikatori protiv neovlašćenog pristupa informacijama " (Državna tehnička komisija Rusije, 1992) - prema 5. klasi sigurnosti i može se koristiti pri kreiranju automatizovanih sistema do klase sigurnosti do 1G uključujući i pri kreiranju informacionih sistema ličnih podataka do klase 3 uključujući.

Ograničenja upotrebe

1. Postavke i kontrolu mehanizama sigurnosne zaštite treba izvršiti u skladu sa "Vodičem za konfiguraciju softverskog paketa".
2. Softverski paket „Microsoft Windows Server 2012 Datacenter“ mora proći proceduru kontrole usklađenosti (verifikacije) sa sertifikovanim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija dd "Dokumentarni sistemi"

Softverski paket Microsoft Windows Server 2008 Standard Edition

Potvrda br. 1928

Ograničenja upotrebe

1. Postavke i kontrolu mehanizama sigurnosne zaštite treba izvršiti u skladu sa "Vodičem za konfiguraciju softverskog paketa".
2. Softverski paket "Microsoft Windows Server 2008 Standard Edition" mora proći proceduru praćenja usklađenosti (verifikacije) sa sertifikovanim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija dd "Dokumentarni sistemi"

Microsoft Windows Server 2008 Standard Edition Service Pack 2

Potvrda br. 1928/1

Softverski paket Microsoft Windows Server 2008 Enterprise Edition

Potvrda br. 1929

27.10.2009. 26.10.2018. Softverski alat opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama U skladu sa zahtevima dokumenta sa uputstvima "Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Sigurnosni indikatori protiv neovlašćenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992) - prema 5. klasi sigurnosti i može se koristiti pri kreiranju automatizovanih sistema do klase sigurnosti do 1G uključujući i pri kreiranju informacionih sistema ličnih podataka do klase 3 uključujući.

Ograničenja upotrebe

1. Postavke i kontrolu mehanizama sigurnosne zaštite treba izvršiti u skladu sa "Vodičem za konfiguraciju softverskog paketa".
2. Softverski paket „Microsoft Windows Server 2008 Enterprise Edition“ mora proći proceduru praćenja usklađenosti (verifikacije) sa sertifikovanim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija dd "Dokumentarni sistemi"

Microsoft Windows Server 2008 Enterprise Edition servisni paket 2

Potvrda br. 1929/1

14.05.2010. 14.05.2019. Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama U skladu sa zahtevima dokumenta sa uputstvima "Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Sigurnosni indikatori protiv neovlašćenog pristupa informacijama " (Državna tehnička komisija Rusije, 1992) - prema 5. klasi sigurnosti i može se koristiti pri kreiranju automatizovanih sistema do klase sigurnosti do 1G uključujući i pri kreiranju informacionih sistema ličnih podataka do klase 2 uključujući. serija dd "Dokumentarni sistemi"

Operativni sistem Microsoft Windows Server 2008 R2 (SP1) u izdanjima Standard, Enterprise i Datacenter

Potvrda br. 2181/1

13.10.2011. 13.10.2020. Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. Oni su u skladu sa zahtjevima dokumenta smjernica "Računarska postrojenja. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji zaštite od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) - za 5. klasu sigurnosti i mogu se koristiti za kreiraju automatizovane sisteme do klase bezbednosti uključujući 1G i prilikom kreiranja informacionih sistema ličnih podataka do klase 2 uključujući.

Ograničenja upotrebe:
1. Postavke i kontrolu sigurnosnih zaštitnih mehanizama treba izvršiti u skladu sa "Vodič za konfiguraciju sistema".
2. Softverski paket mora proći proceduru kontrole (verifikacije) usklađenosti sa sertifikovanim standardom.
3. Sve aktuelne obavezne sertifikovane bezbednosne ispravke moraju biti instalirane na softverskom paketu. serija dd "Dokumentarni sistemi"

Softverski paket Microsoft Windows Server 2008 Datacenter Edition

Potvrda br. 1930

29.10.2009. 28.10.2018. Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama U skladu sa zahtevima dokumenta sa uputstvima "Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Sigurnosni indikatori protiv neovlašćenog pristupa informacijama " (Državna tehnička komisija Rusije, 1992) - prema 5. klasi sigurnosti i može se koristiti pri kreiranju automatizovanih sistema do klase sigurnosti do 1G uključujući i pri kreiranju informacionih sistema ličnih podataka do klase 3 uključujući.

Ograničenja upotrebe

1. Postavke i kontrolu mehanizama sigurnosne zaštite treba izvršiti u skladu sa "Vodičem za konfiguraciju softverskog paketa".
2. Softverski paket "Microsoft Windows Server 2008 Datacenter Edition" mora proći proceduru kontrole usklađenosti (verifikacije) sa sertifikovanim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

Serija dd "Dokumentarni sistemi"

DBMS

Sistem za upravljanje bazom podataka Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express sa alatima)

Potvrda br. 3518

15.02.2016 15.02.2019 Softverski alat opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu, implementirajući funkcije kontrole pristupa, identifikacije i autentifikacije, registracije bezbednosti događanja i ispunjava zahtjeve serije TU Naučno-proizvodna integracija računarskih sistema"

Sistem za upravljanje bazom podataka Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Potvrda br. 2967

18.09.2013 18.09.2019 Softverski alat opšte namjene sa ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu, implementirajući funkcije kontrole pristupa, identifikacije i autentifikacije, registracije sigurnosti događaje i ispunjava zahtjeve serije TU Dokumentarnih sistema CJSC

Kancelarijski softverski sistemi

Microsoft Office softverski paket. Professional Plus 2016

Potvrda br. 3161

23.06.2014 23.06.2020 Softverski alat opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. serija AD "KLIO"

Microsoft Office softverski paket. Professional Plus 2013

Potvrda br. 3161

23.06.2014 23.06.2020 Softverski alat opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima serije TU 5029-007-82487522-2013 CJSC "Kraljevska laboratorija informacionih objekata"

Microsoft Office softverski paket. Standard 2007

Potvrda br. 1923

13.10.2009 13.10.2018 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama

Usklađen sa ST "Microsoft Office Standard 2007. Sigurnosni zadatak. MS.Office_ST_2007.ZB. Verzija 1.0", ima procijenjeni nivo povjerenja EAL 1 (pojačani) u skladu sa dokumentom sa uputama "Sigurnost informacijske tehnologije. Kriterijumi procjene sigurnosti informacijske tehnologije " (Državna tehnička komisija Rusije, 2002.) i može se koristiti za kreiranje automatizovanih sistema do klase bezbednosti uključujući 1G kada su ograničenja ispunjena.

Ograničenja upotrebe:

• Prilikom korišćenja softverskog paketa, moraju se poštovati uslovi specificirani za operativno okruženje u bezbednosnom zadatku MS.Office 2007.
• Postavke i kontrolu mehanizama sigurnosne zaštite treba izvršiti u skladu sa "Vodičem za bezbednu konfiguraciju softverskog paketa".
• Softverski paket "Microsoft®Office. Standard 2007" mora proći proceduru praćenja usklađenosti (verifikacije) sa sertifikovanim standardom.
• Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

Serija OOO "TsBI"

Firewall i gateway

UserGate UTM softverski paket

Potvrda br. 3905

23.03.2018 23.03.2021 Softverska i hardverska zaštita od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu U skladu sa:
Zahtjevi za zaštitne zidove ”(FSTEC Rusije, 2016);
Zaštitni profil zaštitnog zida tipa A četvrte klase zaštite. IT.ME.A4.P3”. (FSTEC Rusije, 2016);
Zaštitni profil vatrozida tipa B četvrte klase zaštite. IT.ME.B4.PZ “. (FSTEC Rusije, 2016);
Zahtjevi za sisteme za otkrivanje upada" (FSTEC Rusije, 2011);
Sigurnosni profil sistema za otkrivanje upada na mrežnom sloju IV. IT.SO.S4.P3 ”(FSTEC Rusije, 2012).
Može se koristiti kao deo automatizovanih sistema (AS) do klase bezbednosti 1G i informacionih sistema ličnih podataka (ISPDN) i državnih informacionih sistema (GIS) do klase 1 (nivoa) bezbednosti, uključujući. U skladu sa zahtjevima FSTEC-a, prilikom sertifikacije je prošla kontrola odsustva neprijavljenih sposobnosti na 4. nivou kontrole. Serija JSC "NPO" Echelon"

Kontrole pristupa

DeviceLock 8 DLP Suite

Potvrda br. 3465

11/05/2015 11/05/2023 Softverski paket dizajniran za zaštitu informacija od curenja, praćenje i evidentiranje pristupa korisnika uređajima, ulazno-izlaznim portovima i mrežnim protokolima. Softverski paket je u skladu sa zahtjevima dokumenata "Zahtjevi za kontrole za prijenosne mašinske medije za skladištenje, FSTEC Rusije", odobrene Naredbom FSTEC Rusije od 28. jula 2014. N 87 - za klasu 4 zaštite i "Profil zaštita sredstava za praćenje povezivanja uklonjivih mašinskih medija za skladištenje četvrte klase zaštite (IT.SCN.P4.PZ) "(FSTEC Rusije, 2014), dokument sa uputstvom" Zaštita od neovlašćenog pristupa informacijama. Dio 1. Softver za sigurnost informacija. Klasifikacija prema nivou kontrole odsustva neprijavljenih sposobnosti "(Državna tehnička komisija Rusije, 1999.) ... Serija OOO "TsBI"

Alati za sigurnosno kopiranje i oporavak

Acronis Backup & Recovery 11. Napredni softver radne stanice

Potvrda br. 2678

Acronis Backup & Recovery 11. Napredni server

Potvrda br. 2677

16.07.2012 16.07.2021 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže informacije koje predstavljaju državnu tajnu U skladu sa zahtevima dokumenta sa uputstvima „Zaštita od neovlašćenog pristupa informacijama. Deo 1. Softver za zaštita informacija. Klasifikacija prema nivou kontrole odsustva neprijavljenih sposobnosti "(Državna tehnička komisija Rusije, 1999) - prema 4. nivou kontrole i tehničkim uslovima, a može se koristiti i za kreiranje automatizovanih sistema do klase sigurnosti 1G uključujući i za zaštitu informacija u informacionim sistemima ličnih podataka do klase 1 uključujući. Serija OOO "TsBI"

Antivirusni alati

Kontrola uništavanja podataka i brisanja informacija

Alati za sigurnosnu analizu

Softverski kompleks Alat za sigurnosnu analizu RedCheck

Potvrda br. 3172

23.06.2014. 23.06.2020. Savremeni alat za sigurnosnu analizu koji pruža detaljne informacije o efikasnosti mjera zaštite informacija u korporativnoj mreži i njenim pojedinačnim elementima. U skladu sa zahtjevima dokumenta smjernica "Zaštita od neovlaštenog pristupa informacijama. Dio I. Softver za sigurnost informacija. Klasifikacija prema nivou kontrole odsustva neprijavljenih sposobnosti" (Državna tehnička komisija Rusije, 1999.) - do 4. nivo kontrole i tehnički uslovi. serija OOO "TsBI"

Alati za virtuelizaciju

21.11.2016. 21.11.2019. Softverski alat opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtevima tehničkih specifikacija kada se pridržava uputstva za upotrebu datih u obrazac ALMYu.501000.VMS06-01.30. serija OOO "TsBI"

VMware Horizon 6 softverski paket (standardni, napredni i poslovni)

Potvrda br. 3660

21.11.2016 21.11.2019 Softver opšte namene sa ugrađenom zaštitom od neovlašćenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima TU kada slijedite upute za upotrebu date u obrascu ALMYu.501000.VMX06-01.30. serija OOO "TsBI"

Razmotrimo približnu listu radnji za sertifikaciju u FSTEC Rusije.

1. Podnošenje zahtjeva za sertifikaciju kod FSTEC Rusije.

   Aplikacija navodi:

   • ime podnosioca zahteva
   • adresa podnosioca zahteva
   • naziv proizvoda koji podnosilac zahtjeva želi certificirati
   • spisak regulatornih i metodoloških dokumenata, za čiju usklađenost sa zahtjevima podnosilac zahtjeva treba da certificira svoje proizvode.
   • šema certificiranja (pojedinačni uzorak ili serijska proizvodnja)
   • laboratorija za ispitivanje u kojoj bi podnosilac zahtjeva želio provesti ispitivanja
   • dodatni uslovi ili zahtjevi

   Podnosilac prijave u prijavi navodi da se obavezuje:

   • ispunjavaju sve uslove sertifikacije;
   • osigurati stabilnost sertifikovanih karakteristika proizvoda označenih znakom usaglašenosti;
   • platiti sve troškove certifikacije.

   Važno: podnosilac zahtjeva mora imati FSTEC licencu za odgovarajuću vrstu djelatnosti!

   Primjer aplikacije za sertifikaciju softverskog paketa prikazan je na slici 5.1.

2. Rješenje za testiranje certifikata

   FSTEC, u roku od mjesec dana od prijema zahtjeva, dostavlja Podnosiocu zahtjeva, imenovanom sertifikacionom tijelu i laboratoriji za ispitivanje, rješenje o sprovođenju sertifikacionih ispitivanja, koje sadrži:

   • naziv podnosioca prijave, adresu podnosioca prijave;
   • naziv certificiranih proizvoda, OKP šifra, TU;
   • šema certifikacije (testiranje jednog uzorka proizvoda / serije N uzoraka / uzorka proizvoda za serijsku proizvodnju);
   • imenovanu laboratoriju za ispitivanje i njenu adresu;
   • spisak regulatornih i metodoloških dokumenata za usklađenost sa zahtjevima za koje se mora izvršiti certifikacija;
   • laboratorija za ispitivanje određena za naknadnu inspekcijsku kontrolu;
   • certifikacijsko tijelo određeno da vrši ispitivanje rezultata sertifikacionih testova;
   • način plaćanja rada.

   Sertifikaciono tijelo i ispitna laboratorija mogu se mijenjati po dogovoru sa Kupcem. Odluka služi kao osnova za početak ispitivanja i „razlog“ za zaključivanje sporazuma između Podnosioca zahtjeva i laboratorije za ispitivanje. Primjer odluke o certifikaciji prikazan je na slici 5.2.

3. Zaključivanje ugovora sa laboratorijom za ispitivanje

   Ugovorom sa ispitnom laboratorijom o sertifikacionim ispitivanjima utvrđuju se uslovi, procedura za sprovođenje sertifikacionih ispitivanja, kao i cena radova. Obično ispitna laboratorija prvo priprema komercijalni prijedlog sa obrazloženjem vremena i cijene rada, kao i nacrt ugovora. Po pravilu, set ugovorne dokumentacije uključuje: ugovor, projektni zadatak za izvođenje radova, izjavu o izvršenju, protokol o dogovoru o cijeni. Pored navedenih informacija, preporučuje se da ugovor predvidi klauzule kao što su odgovornost za štetu na uzorcima za ispitivanje ili postupak obustave ispitivanja u slučaju bilo kakvih promjena.

4. Priprema početnih podataka.

   Ova faza uključuje razvoj, dogovor i odobrenje programa i metodologije sertifikacionog testiranja.

   Laboratorija za ispitivanje razvija program i metodologiju ispitivanja, prenosi informacije podnosiocu zahtjeva o tome koji su podaci potrebni za testiranje. Takođe, program i metodologija se šalju sertifikacionom tijelu na odobrenje.

   Podnosilac zahtjeva od laboratorije za ispitivanje dobija program i metodologiju ispitivanja, koordinira ga i priprema sve potrebne početne podatke. Laboratoriju za ispitivanje obezbjeđuje alate za informatičku sigurnost u konfiguraciji koja zadovoljava tehničke specifikacije ili formu, kao i komplet sve potrebne dokumentacije u skladu sa ESPD ili ESKD.

5. Certifikacijski testovi.

   Laboratorija za ispitivanje vrši odabir uzoraka sertifikovanih proizvoda, identifikuje ih i sprovodi sertifikacione testove proizvoda prema odobrenom programu i metodologiji. Istovremeno, Podnosilac prijave priprema i postavlja štand za certifikacijske testove. Važno je napomenuti da je zabranjeno menjati sastav ili dizajn objekta sertifikacije, kao i dokumentaciju tokom ispitivanja. To može dovesti do zaustavljanja testova i njihovog potpunog "ponovnog pokretanja", što će uticati na cijenu i vrijeme rada.

6. Registracija rezultata ispitivanja

   Rezultati ispitivanja se dokumentuju u obliku izvještaja o certifikacijskim ispitivanjima i tehničkih izvještaja. Ovi dokumenti se šalju sertifikacionom tijelu, a kopije podnosiocu zahtjeva. U nedostatku obrazloženih komentara na rezultate koje je dostavila laboratorija za ispitivanje od strane Podnosioca prijave ili sertifikacionog tijela, njen posao po ugovoru smatra se završenim.

7. Zaključivanje ugovora sa sertifikacionim tijelom

   Laboratorija za ispitivanje zaključuje ugovor sa sertifikacionim tijelom o ispitivanju rezultata sertifikacionih ispitivanja, kojim se utvrđuju rokovi (obično 1 mjesec), postupak i cijena. Ponekad sertifikaciono tijelo zahtijeva zaključivanje ugovora sa podnosiocem zahtjeva, a ne sa laboratorijom za ispitivanje. Ova tačka je kontroverzna i neregulisana. Najbolje je prvo razgovarati o ovom pitanju s laboratorijom za ispitivanje.

8. Ispitivanje rezultata certifikacijskih testova

   Sertifikaciono telo, u skladu sa ugovorom, ispituje rezultate sertifikacionih ispitivanja, kao i tehničku i operativnu dokumentaciju za sertifikovane proizvode. Rezultat je izdavanje stručnog mišljenja, koje se, zajedno sa tehničkim mišljenjem, materijalima za sertifikaciono ispitivanje, kompletom potrebne tehničke i operativne dokumentacije za objekat sertifikacije, dostavlja FSTEC-u Rusije radi donošenja odluke o izdavanju sertifikata. .

9. Odluka o izdavanju potvrde.

   Na osnovu dokumenata dobijenih od sertifikacionog tela, odnosno tehničkog zaključka i stručnog mišljenja, FSTEC odlučuje o izdavanju sertifikata. Kao što je gore navedeno, rok trajanja sertifikata je 3 godine. Primjer certifikata o usklađenosti prikazan je na slici 5.3.

Ako, kao rezultat inspekcije, FSTEC otkrije neslaganje između rezultata ispitivanja i zahtjeva zakonodavstva, bit će donesena odluka o odbijanju izdavanja certifikata. U tom slučaju podnosiocu će biti poslato obrazloženo mišljenje. U slučaju neslaganja sa odbijanjem, Podnosilac prijave ima pravo da se obrati Žalbenom vijeću Saveznog sertifikacionog tijela radi dodatnog razmatranja certifikacijskih materijala. Žalba se razmatra u roku od mjesec dana uz učešće zainteresovanih strana i nezavisnih stručnjaka. Žalilac se obavještava o odluci.

Čemu služi certifikacija?

Čemu služi sertifikacija softvera?

Pitanja zaštite povjerljivih informacija usko su isprepletena sa interesima društva, pojedinaca, biznisa i države. Oni su danas, u uslovima formiranja jedinstvenog informacionog prostora, najvažniji deo zadataka koje rešavaju državni organi, institucije i organizacije u razvoju, kreiranju, radu informacionih sistema, baza podataka i banke podataka o ličnosti. sistemi.

Svaka država nastoji da osigura kontrolu nad informacijama koje se odnose na osiguranje nacionalne sigurnosti. A samim tim i softveru koji se isporučuje na tržište i koji se koristi za izgradnju ključni sistemi informaciona infrastruktura, postavljaju se posebni zahtjevi.

Ključni informacioni infrastrukturni sistemi

Ovi ključni sistemi uključuju:

• informacioni sistemi državnih organa, državnih organa i agencija za provođenje zakona;
• informacioni sistemi finansijske, kreditne i bankarske djelatnosti;
• Informacijski i telekomunikacijski sustavi za posebne namjene;
• komunikacijske mreže agencija za provođenje zakona;
• javne komunikacijske mreže u područjima koja nemaju rezervne ili alternativne vrste komunikacije;
• Automatizirani sustavi za kontrolu napajanja;
• automatizirani kontrolni sistemi za zemaljski i zračni transport;
• automatizovani kontrolni sistemi za proizvodnju i transport nafte i gasa;
• automatizovani sistemi za prevenciju i eliminaciju vanrednih situacija;
• automatizirani kontrolni sustavi za industrije opasne po okoliš;
• automatizirani sustavi za kontrolu vodoopskrbe;
• geografski i navigacioni sistemi.

I ovo nije potpuna lista. Ovi sistemi akumuliraju, obrađuju i prenose informacije vezane za proizvodne, organizacione i ekonomske, naučno-tehničke, kreditne i finansijske i druge aktivnosti države. Brojni sistemi i mreže kruže informacije operativnog dispečerstva i tehnološkog upravljanja, što određuje pouzdanost i sigurnost funkcionisanja cjelokupnog ekonomskog kompleksa Rusije i ima značajan uticaj na osiguranje njene nacionalne sigurnosti u informacionoj sferi. Zato su ovi sistemi ključni.

S tim u vezi, proizvođači softvera mora uzeti u obzir zahtjeve koje nameću međunarodni i nacionalni zakoni o informacionim sistemima dizajniranim za rad sa takvim informacijama.

Procedure certifikacije su potrebne da bi se potvrdilo da softver ispunjava ove zahtjeve!

Ko mora koristiti certificirani softver?

Sve državne organizacije, nedržavne organizacije koje rade sa takozvanim "zvaničnim informacijama državnih organa", kao i niz drugih organizacija u skladu sa ruskim zakonom (na primjer, organizacije koje potpadaju pod relevantne zahtjeve "Zakon o ličnim podacima").

Slijede izvodi iz zakonodavnih i regulatornih dokumenata, iz kojih, u zbiru, proizilazi potreba za korištenjem certificiranih alata za sigurnost informacija:

• U Saveznom zakonu 149 (FZ), član 14, tačka 8 kaže se da "... tehnička sredstva namijenjena za obradu informacija sadržanih u državnim informacionim sistemima, uključujući softverske i hardverske alate i sredstva za sigurnost informacija, moraju biti u skladu sa zahtjevima zakonodavstva Ruske Federacije o tehničkoj regulativi"
• U saveznom zakonu 184"O tehničkoj regulativi" u čl.4. „Ovlašćeni su savezni organi izvršne vlasti da donose obavezne akte iz oblasti tehničke regulative, u slučajevima utvrđenim članom 5.“
• Član 5 Saveznog zakona 184 odnosi se, između ostalog, na proizvode koji se koriste za zaštitu informacija klasifikovanih kao zaštićene u skladu sa zakonodavstvom Ruske Federacije za informacije ograničenog pristupa (uključujući "zvanične informacije vladinih agencija")
• Ovlašćeno tijelo nadležno za utvrđivanje obaveznih uslova za zaštitu informacija, akc. iz člana 15. Federalnog zakona 149 je FSTEC Rusije
• Konkretno, u regulatornom dokumentu STR-K(Posebni zahtjevi za zaštitu povjerljivih informacija) FSTEC Rusije je odobren
  • p.2.3.„Zahtjevi i preporuke ovog dokumenta odnose se na zaštitu državnih informacionih resursa nekriptografskim metodama u cilju sprječavanja curenja zaštićenih informacija kroz tehničke kanale, od neovlaštenog pristupa njima i od posebnih radnji na informacijama u cilju uništavanja, izobličenja i blok."
  • str 2.16... “Za zaštitu povjerljivih informacija koriste se alati za sigurnost informacija certificirani u skladu sa zahtjevima sigurnosti informacija. Procedura certifikacije određena je zakonodavstvom Ruske Federacije."
  • p.2.17... „Objekti informatizacije moraju biti certificirani prema zahtjevima informatičke sigurnosti u skladu sa propisima FSTEC Rusije i zahtjevima ovog dokumenta.“
• Zakon Ruske Federacije N 5485-1 od 21. jula 1993. godine... („Zakon o državnim tajnama“) definiše sredstva informacione sigurnosti kao „sastavni dio informacionih sistema ili proizvoda“.

U skladu sa navedenim zakonima, nadležne organizacije (posebno državne) dužne su da koriste softver i hardver sa sertifikovanim sredstvima zaštite informacija.

Certifikaciona tijela

Ko vrši certifikaciju softvera u Ruskoj Federaciji?

U našoj zemlji postoji nekoliko različitih sistema sertifikacije fokusiranih na različite vrste softvera (FSTEC, FSB, Ministarstvo odbrane i dr.).

Glavni sistemi sertifikacije za većinu softvera su sistemi sertifikacije FSB-a i FSTEC-a.

• FSB sertifikat je namenjen za testiranje softverskih podsistema koji koriste kriptografsku zaštitu (u našoj zemlji su dozvoljeni samo ruski kriptoalgoritmi). Zahtevi FSB sistema sertifikacije nisu javni, za njihovo upoznavanje potrebna su posebna odobrenja.
• FSTEC sertifikacija je namijenjena provjeri tehničke zaštite informacija korištenjem nekriptografskih metoda. Zahtjevi FSTEC sistema sertifikacije su otvoreni i objavljeni službena web stranica .

Trenutni softverski proizvodi 1C-Bitrix ne sadrže ugrađene alate za kriptografsku zaštitu, tako da za njih nije potrebna FSB certifikacija. Dalje u tekstu govorimo samo o FSTEC sertifikaciji.

Šta je certificirani proizvod u Ruskoj Federaciji?

Ruski sistem sertifikacije se suštinski razlikuje od sistema usvojenih u drugim zemljama, i na bolje... Svaka kopija softvera koji se prijavljuje za certifikat se provjerava da li je usklađena sa onim koji je direktno testiran tokom sertifikacije, odnosno na binarnom nivou sve ovjerene kopije su potpuno identične. Službe odgovorne za integritet ovih proizvoda mogu u svakom trenutku provjeriti da li korisnik ima sve potrebne certificirane zakrpe i ažuriranja, kao i provjeriti proizvode na necertificirane promjene.

Ali prema uslovima međunarodnog sistema sertifikacije Common Criteria, svaka licencirana kopija softvera koja je prošla sertifikaciju smatra se sertifikovanom – identitet svake kopije prodate onoj koja je direktno sertifikovana nije verifikovana. Ali na kraju krajeva, zakrpe i nove verzije programa se redovno objavljuju, a verzije softvera koje se danas isporučuju na tržište mogu se jednostavno razlikovati od instance testirane u dogledno vrijeme, dostavljene za dobivanje certifikata.

Svaka kopija 1C-Bitrix certificiranog proizvoda ima paket državnih dokumenata koji potvrđuju da je ovaj proizvod certificiran. Osim toga, postoji holografska oznaka usaglašenosti FSTEC sa jedinstvenim brojem koji identifikuje ovu kopiju u državnom računovodstvenom sistemu sertifikovanih proizvoda.

Svaka organizacija koja je kupila sertifikovane proizvode ima siguran pristup ličnoj stranici ove organizacije na specijalizovanom sajtu, odakle će ova organizacija primati sertifikovana ažuriranja i druge informacije.

Šta je FSTEC Rusije i koje su njegove funkcije?

FSTEC Rusije (do 2004. - Državna tehnička komisija Rusije) je savezni izvršni organ sa sljedećim ovlaštenjima:

• osiguranje sigurnosti informacija u ključnim sistemima informaciono-telekomunikacione infrastrukture;
• suprotstavljanje stranim tehničkim obavještajnim službama;
• osiguranje tehničke zaštite informacija nekriptografske metode;
• kontrola izvoza.

U skladu sa propisima o FSTEC-u Rusije, jedan od njegovih glavnih zadataka je organizovanje aktivnosti državnog sistema za suzbijanje tehničke obaveštajne i tehničke zaštite informacija na federalnom, međuregionalnom, regionalnom, sektorskom i nivou objekata, kao i upravljanje navedenim državnim sistemom.

Svi regulatorni pravni akti i metodološki dokumenti izdati o aktivnostima FSTEC Rusije, su obavezujuće uredima federalnih organa državne vlasti i organa državne vlasti konstitutivnih entiteta Ruske Federacije, federalnih organa izvršne vlasti, izvršnih organa konstitutivnih entiteta Ruske Federacije, organa i organizacija lokalne samouprave.

Kako se provodi FSTEC certifikacija?

FSTEC je samo organizator sertifikacije i usluga kontrole najvišeg nivoa. Izvode se hitne radnje FSTEC licence- ispitne laboratorije i stručne organizacije. Prvi direktno sprovode softverska istraživanja, dok se drugi bave osiguranjem kvaliteta ovih testova.

Kupac ima pravo da izabere laboratoriju za ispitivanje (uz saglasnost FSTEC), ali FSTEC samostalno imenuje stručnu organizaciju za provjeru rezultata.

Tako, s jedne strane, postoji konkurentsko okruženje, kada se ispitne laboratorije bore za klijenta (troškovi provjera, tajming itd.), s druge strane kvalitet ispitivanja jasno provjeravaju nezavisni stručnjaci.

FSB sistem sertifikacije radi po analogiji.

Pored toga, FSTEC sistem sertifikacije takođe uključuje institut aplikanata... Ove kompanije rade direktno sa ispitnim laboratorijama i stručnim organizacijama, upravo one upoređuju prodane kopije proizvoda u skladu sa njihovim sertifikovanim uzorkom. Takođe izdaju dokumente utvrđenog obrasca za svaki primjerak proizvoda koji su prošli takvo poređenje, vode evidenciju o tim proizvodima.

Podnosioci zahtjeva snose troškove provjere proizvoda, izdavanja relevantnih dokumenata, vođenja evidencije o certificiranim proizvodima (gdje i u kom stanju se ti proizvodi nalaze), u nekim slučajevima, po dogovoru sa vlasnicima proizvoda, sami certificiraju sve zakrpe trošak.

Certifikacija 1C-Bitrix proizvoda

S kojim organizacijama 1C-Bitrix sarađuje u procesu sertifikacije i u kom formatu?

U ovom trenutku, kompanija 1C-Bitrix sarađuje sa kompanijom. Ova kompanija je imala sljedeću ulogu:

Podnosilac predstavke, što je

a. obavlja sve organizacione poslove vezane za sertifikaciju;

b. snosi troškove vođenja evidencije o ovjerenim kopijama proizvoda;

c. direktno prodaje sertifikovane softverske proizvode "1C-Bitrix".

Da li je za konačnu sertifikaciju informacionog sistema dovoljno koristiti sertifikovani 1C-Bitrix proizvod?

Naravno da ne. Upotreba sertifikovanog softvera je neophodan, ali ne i dovoljan uslov za konačnu sertifikaciju informacionog sistema korisnika.

Prvo, po pravilu, certificirani proizvod djeluje u IT infrastrukturi. Za 1C-Bitrix proizvode ovo je operativni sistem web servera i servera baze podataka, DBMS servera, web servera, PHP interpretera, PHP predkompajlera itd. Shodno tome, sigurnost cjelokupnog sistema može se postići samo uz sigurnost svih njegovih komponenti, što se utvrđuje i postojanjem odgovarajućih certifikata na njima.

Drugo, tokom faze implementacije mogu se napraviti promjene na proizvodu koje također mogu umanjiti sigurnost sistema u cjelini, a te promjene također moraju biti testirane i certificirane.

Treće, skup certificiranih verzija proizvoda uključuje popis preporuka za njihovu instalaciju i korištenje. Ove preporuke se pripremaju u laboratoriji za ispitivanje i njihovo poštovanje garantuje najbolji i adekvatan nivo zaštite za kupce. Ove preporuke su obavezne za upotrebu.

Stoga je, u svakom slučaju, potrebna konačna sertifikacija informacionog sistema za usklađenost sa zahtjevima FSTEC-a i (ili) FSB-a.

Korištenje certificiranih verzija omogućava vam da značajno uštedite na proceduri za konačnu certifikaciju informacionog sistema i (ili) radnih mjesta za njihovu usklađenost sa zahtjevima za zaštitu informacija određene kategorije, iako ne podrazumeva automatsko atestiranje... Ukoliko se koristi necertificirani softver, bit će potrebno nabaviti i implementirati dodatne certificirane sigurnosne alate, što može značajno povećati cijenu certifikacije.

Kako i kada kupci primaju certificirana ažuriranja proizvoda?

Kada se objavi bilo kakvo ažuriranje proizvoda, potrebna je njegova certifikacija, u suprotnom, instaliranjem necertificiranog ažuriranja, krajnji korisnik narušava integritet ISS-a i ISS gubi svoj certificirani status.

Sva ažuriranja se testiraju u laboratoriji za testiranje. Nadalje, sva certificirana ažuriranja postaju dostupna na portalu SIS Group Certified Updates. U pravilu, ovaj postupak traje od nekoliko dana do nekoliko sedmica.

Međutim, u pravilu, s obzirom na konzervativnost kupaca certificiranih verzija i njihove interne procedure odobravanja, takvo kašnjenje nije kritično, a certifikacija ažuriranja je taman na vrijeme u trenutku donošenja odluke.

U certificiranim verzijama 1C-Bitrix proizvoda standardni sistem ažuriranja se ne koristiSiteUpdate putem interneta jer ova ažuriranja nisu certificirana. Certificirana ažuriranja mogu se dobiti u sigurnom dijelu web stranice Certified Information Systems Group, gdje svaki korisnik ima lični nalog sa dostupnim ažuriranjima.

Preuzimanjem certificiranih ažuriranja, korisnik ih preuzima kao datoteke u posebnom dijalogu sistema ažuriranja