مراحل صدور گواهینامه Fstek گواهینامه های fstek

صدور گواهینامه در سرویس فدرال برای کنترل فنی و صادرات (FSTEC) زمانی انجام می شود که تأیید انطباق محصولات توسعه یافته با الزامات امنیت اطلاعات ضروری باشد.

آزمایشگاه تست CJSC "IBTrans" بیش از ده سال است که در حال تست نرم افزار در سیستم صدور گواهینامه ابزارهای امنیت اطلاعات برای الزامات امنیت اطلاعات است. آزمایشات برای انطباق با الزامات اسناد حاکم کمیسیون فنی دولتی روسیه انجام می شود و شامل بازرسی محصولات و اسناد مربوط به آن است.

در حمل و نقل ریلی، به عنوان یک قاعده، بررسی های نرم افزاری مطابق با الزامات سند حاکم "حفاظت در برابر دسترسی غیرمجاز به اطلاعات قسمت 1. نرم افزار ابزارهای امنیت اطلاعات" انجام می شود. طبقه بندی بر اساس سطح کنترل عدم وجود قابلیت های اعلام نشده.

تمایل متقاضی

آمادگی اسناد برنامه مطابق با GOST ESPD (ESKD)
در دسترس بودن کدهای منبع نرم افزار
در دسترس بودن نرم افزار کامل عملکردی (نسخه نرم افزار پایدار)
*متقاضی یک سازمان توسعه دهنده نرم افزار، کاربر نرم افزار، نماینده رسمی یک شرکت توسعه دهنده خارجی در فدراسیون روسیه است که برای صدور گواهینامه نرم افزار درخواست می کند.

مجموعه اطلاعات

تعریف نام و نام محصول نرم افزاری
تعیین مقدار کد منبع مورد تجزیه و تحلیل برای عدم وجود NDV
آدرس برای تست نرم افزار
ابزارهای توسعه سخت افزار و نرم افزار
*NDV - فرصت اعلام نشده

انتقال اطلاعات

متقاضی با اطلاعات جمع آوری شده به آزمایشگاه آزمایش مراجعه می کند. آزمایشگاه آزمایش بر اساس داده های به دست آمده، امکان انجام کار، زمان بندی و هزینه را ارزیابی می کند.
*آزمایشگاه تست - سازمانی معتبر توسط FSTEC روسیه برای تست گواهی ابزارهای امنیت اطلاعات.

پیشنهاد تجاری

آزمایشگاه آزمایش یک پیشنهاد تجاری را تشکیل می دهد که نشان دهنده توالی کار، روش محاسبات، هزینه و زمان آزمایش است که توسط اسناد حاکم و عملکرد کار توجیه می شود.

آماده سازی اپلیکیشن

متقاضی (با پشتیبانی اطلاعاتی از آزمایشگاه تست) "برنامه صدور گواهینامه نرم افزار برای عدم وجود قابلیت های اعلام نشده" را بر روی سربرگ با مهر سازمان تهیه می کند و آن را به FSTEC روسیه ارسال می کند.
اطلاعات موجود در برنامه: آدرس؛ نام و مشخصات بانکی متقاضی؛ نام محصولات مشمول گواهینامه؛ طرح صدور گواهینامه؛ الزامات مربوط به انطباق با صدور گواهینامه؛ آدرس آزمایشگاه تست مورد نظر شما
می توانید فرم درخواست گواهینامه را از اینجا دانلود کنید.
*FSTEC روسیه - سازمان فدرال برای صدور گواهینامه محصولات برای الزامات امنیت اطلاعات

گرفتن یک تصمیم

سازمان فدرال صدور گواهینامه (FSTEC روسیه) درخواست صدور گواهینامه را ظرف یک ماه بررسی می کند، طرح صدور گواهینامه ابزارهای امنیت اطلاعات، آزمایشگاه آزمایش را با در نظر گرفتن پیشنهادات متقاضی تعیین می کند و سازمان صدور گواهی را منصوب می کند.
بر اساس نتایج بررسی برنامه، FSTEC روسیه تصمیمات مربوط به درخواست صدور گواهینامه را برای متقاضی، به مرجع صدور گواهینامه و آزمایشگاه تست تعیین شده برای صدور گواهینامه ارسال می کند. تصمیم صدور گواهینامه، نام محصول، طرح صدور گواهینامه، آزمایشگاه آزمایشی که محصولات را آزمایش می کند و مرجع صدور گواهینامه که فرآیند صدور گواهینامه را کنترل می کند، مشخص می کند.
*سازمان صدور گواهینامه - یک سازمان مجاز (شخص) که بر پیشرفت آزمایش ها نظارت می کند و آزمایش مواد تست گواهی را انجام می دهد.

انعقاد قرارداد

هماهنگی کلیه شرایط کاری بین متقاضی و آزمایشگاه تست. بر اساس رایزنی های طرفین، برنامه کاری تشکیل می شود. امضای قرارداد شروع آزمایشات گواهینامه را تعیین می کند.
علاوه بر این، توافق نامه ای با سازمان صدور گواهینامه برای بررسی مواد آزمایشی منعقد می شود. توافق نامه با نهاد صدور گواهینامه می تواند توسط آزمایشگاه تست و متقاضی منعقد شود. گزینه پیشنهادی انعقاد توافقنامه بین آزمایشگاه تست و سازمان صدور گواهی است.

تجزیه و تحلیل اسناد و مدارک

انتقال مستندات برنامه برای محصول مورد آزمایش گواهینامه توسط متقاضی به آزمایشگاه تست.
اسناد برنامه شامل لیستی از اسناد زیر است که با در نظر گرفتن الزامات استانداردهای ESPD (ESKD) تهیه شده است:
فرم (GOST 19.501-78)
مشخصات (GOST 19.202-78)
شرح برنامه (GOST 19.402-78)
شرح برنامه (GOST 19.502-78)
متن برنامه (GOST 19.401-78)

توسعه یک برنامه آزمایشی

بر اساس نتایج تجزیه و تحلیل اسناد، متخصصان آزمایشگاه آزمایش "برنامه و روشی برای انجام آزمایش های صدور گواهینامه" محصول را توسعه می دهند.
برنامه و روش آزمایش، توالی بررسی های انجام شده توسط متخصصان آزمایشگاه را برای ارزیابی انطباق یک محصول نرم افزاری با الزامات اسناد نظارتی مربوطه FSTEC روسیه تعیین می کند.
برنامه آزمون و روش شناسی با متقاضی موافقت می شود و توسط سازمان صدور گواهی تایید می شود.
اگر محصول مورد تایید با مشارکت یک سازمان خارجی توسعه یافته باشد، برنامه آزمون و روش‌ها علاوه بر این با سازمان صدور گواهینامه فدرال موافقت می‌شود.

آزمایش کردن

پس از موافقت با برنامه و روش آزمون، متخصصان آزمایشگاه شروع به آزمایش محصول نرم افزاری می کنند. آزمایش ها شامل مراحل اصلی زیر است:
تجزیه و تحلیل اسناد نرم افزاری،
رفع وضعیت اولیه نرم افزار،
تست محصول نرم افزار (تست استاتیک کد منبع، تجزیه و تحلیل پویا)
بازدید متخصصان آزمایشگاه تست از محل تست (در سازمانی که محصول نرم افزاری را توسعه می دهد)

نتایج آزمون

بر اساس نتایج تمام بازرسی های محصولات گواهی شده، آزمایشگاه آزمایش بسته ای از اسناد را تشکیل می دهد، از جمله:
گزارش تست محصول،
نتیجه گیری فنی،
اقدامات نمونه برداری، ساخت نرم افزار و سایر اسناد.
کل بسته اسناد، از جمله مستندات برنامه متقاضی، برای بررسی به مرجع صدور گواهینامه ارائه می شود. نظر فنی آزمایشگاه تست برای متقاضی ارسال می شود.

سیستم عامل "Microsoft Windows 8.1"، "Microsoft Windows 8.1 Professional"، "Microsoft Windows 8.1 Enterprise"

گواهینامه شماره 3263

11/07/2014 11/07/2020 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. مطابق با الزامات سند حاکم "تجهیزات رایانه ای. حفاظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) مطابق با کلاس پنجم امنیت، مشروط بر اینکه کلیه موارد اجباری مربوطه به‌روزرسانی‌های امنیتی تأیید شده نصب می‌شوند و دستورالعمل‌های عملیاتی، که در فرم‌های 501110-001-82487552-2014 03 FO و 501110-001-82487552-2014 02 FO ارائه شده است، دنبال می‌شوند.

محدودیت های کاربردی

1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای پیکربندی سیستم" انجام شود.
2. بسته نرم افزاری باید روند کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.

سیستم عامل مایکروسافت ویندوز 7 (SP1) در نسخه های Professional، Enterprise و Ultimate

گواهی شماره 2180/1

04.10.2011 04.10.2020 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. مطابق با الزامات سند حاکم "امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی از دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - مطابق با کلاس امنیتی 5 و می تواند هنگام ایجاد استفاده شود. سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 2 فراگیر.

محدودیت های کاربردی:

سیستم عامل های سرور

بسته نرم افزاری "Microsoft Windows Server 2012 Standard"

گواهینامه شماره ۲۹۴۹

09/06/2013 09/05/2019 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعات مطابق با الزامات سند حاکم "تجهیزات رایانه ای. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - طبق کلاس 5 امنیتی، مشروط بر اینکه تمام به روز رسانی های امنیتی تایید شده اجباری فعلی نصب شده باشد و دستورالعمل های عملیاتی در فرم های 501110-002-82487552-2013 01 St FO ارائه شده باشد. و 501110-002-82487552-2013 02 St FO دنبال می شوند.

محدودیت های کاربردی

1. مجموعه نرم افزاری "Microsoft Windows Server 2012 Standard" باید مراحل کنترل انطباق (تأیید) با استاندارد تایید شده را طی کند.
2. همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری JSC "سیستم های مستند"

بسته نرم افزاری "Microsoft Windows Server 2012 Datacenter"

گواهینامه شماره 2950

09/06/2013 09/06/2019 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعات مطابق با الزامات سند حاکم "تجهیزات رایانه ای. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - مطابق با کلاس امنیتی 5 و می تواند هنگام ایجاد سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 3 استفاده شود.

محدودیت های کاربردی

1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای راه اندازی بسته نرم افزاری" انجام شود.
2. مجتمع نرم افزاری "Microsoft Windows Server 2012 Datacenter" باید مراحل کنترل انطباق (تأیید) با استاندارد تایید شده را طی کند.
3. همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری JSC "سیستم های مستند"

بسته نرم افزاری "Microsoft Windows Server 2008 Standard Edition"

گواهینامه شماره 1928

محدودیت های کاربردی

1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای راه اندازی بسته نرم افزاری" انجام شود.
2. مجموعه نرم افزاری "Microsoft Windows Server 2008 Standard Edition" باید روند کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.
3. همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری JSC "سیستم های مستند"

بسته نرم افزاری "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

گواهی شماره 1928/1

بسته نرم افزاری "Microsoft Windows Server 2008 Enterprise Edition"

گواهینامه شماره 1929

2009/10/27 2018/10/26 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعات مطابق با الزامات سند حاکم "تجهیزات رایانه ای. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر" دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - مطابق با کلاس امنیتی 5 و می تواند هنگام ایجاد سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 3 استفاده شود.

محدودیت های کاربردی

1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای راه اندازی بسته نرم افزاری" انجام شود.
2. مجموعه نرم افزاری "Microsoft Windows Server 2008 Enterprise Edition" باید روند کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.
3. همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری JSC "سیستم های مستند"

بسته نرم افزاری "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

گواهی شماره 1929/1

2010/05/14 2019/05/14 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعات مطابق با الزامات سند حاکم "امکانات رایانه ای. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر" دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - با توجه به کلاس امنیتی 5 و می تواند هنگام ایجاد سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 2 شامل استفاده شود. سری JSC "سیستم های مستند"

سیستم عامل Microsoft Windows Server 2008 R2 (SP1) در نسخه های استاندارد، Enterprise و Datacenter

گواهی شماره ۲۱۸۱/۱

10/13/2011 10/13/2020 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. مطابق با الزامات سند حاکم "امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی از دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - مطابق با کلاس امنیتی 5 و می تواند هنگام ایجاد استفاده شود. سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 2 فراگیر.

محدودیت های کاربردی:
1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای تنظیمات سیستم" انجام شود.
2. بسته نرم افزاری باید رویه کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.
3. تمام به روز رسانی های امنیتی تایید شده اجباری فعلی باید روی بسته نرم افزاری نصب شوند. سری JSC "سیستم های مستند"

بسته نرم افزاری "Microsoft Windows Server 2008 Datacenter Edition"

گواهینامه شماره 1930

2009/10/29 2018/10/28 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعات مطابق با الزامات سند حاکم "تجهیزات رایانه ای. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیتی در برابر" دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1992) - مطابق با کلاس امنیتی 5 و می تواند هنگام ایجاد سیستم های خودکار تا کلاس امنیتی 1G شامل و هنگام ایجاد سیستم های اطلاعات شخصی تا کلاس 3 استفاده شود.

محدودیت های کاربردی

1. تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای راه اندازی بسته نرم افزاری" انجام شود.
2. مجموعه نرم افزاری "Microsoft Windows Server 2008 Datacenter Edition" باید روند کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.
3. همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری JSC "سیستم های مستند"

DBMS

سیستم مدیریت پایگاه داده Microsoft SQL Server 2014 (Enterprise Edition، Standard Edition، Business Intelligent، Web Express، Express with tools)

گواهینامه شماره 3518

2016/02/15 2019/02/15 یک ابزار نرم افزاری همه منظوره با ابزارهای داخلی محافظت در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعاتی که یک راز دولتی را تشکیل نمی دهد، اجرای عملکردهای کنترل دسترسی، شناسایی و احراز هویت، ثبت نام رویدادهای امنیتی و مطابق با الزامات سری TU LLC "یکسان سازی علمی و تولیدی سیستم های محاسباتی"

سیستم مدیریت پایگاه داده Microsoft SQL Server 2012 (Enterprise Edition، Standard Edition، Business Intelligent Edition، Web Edition)

گواهینامه شماره ۲۹۶۷

2013/09/18 2019/09/18 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظت در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیست، اجرای عملکردهای کنترل دسترسی، شناسایی و احراز هویت، ثبت نام رویدادهای امنیتی و الزامات سری TU از CJSC "سیستم های مستند" را برآورده می کند

سیستم های نرم افزاری اداری

بسته نرم افزاری Microsoft Office. حرفه ای پلاس 2016

گواهینامه شماره 3161

2014/06/23 2020/06/23 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. سری CJSC "Klio"

بسته نرم افزاری Microsoft Office. حرفه ای پلاس 2013

گواهینامه شماره 3161

2014/06/23 2020/06/23 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. مطابق با الزامات سری TU 5029-007-82487522-2013 CJSC "Royal Laboratory of Information Objects"

بسته نرم افزاری Microsoft Office. استاندارد 2007

گواهینامه شماره 1923

10/13/2009 10/13/2018 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعات

مطابق با ST "Microsoft Office Standard 2007. Security Target. MS.Office_ST_2007.ST. نسخه 1.0"، دارای سطح ارزیابی اطمینان EAL 1 (افزایش یافته) مطابق با سند راهنمایی "امنیت فناوری اطلاعات. معیارهای ارزیابی فناوری اطلاعات". امنیت" (کمیسیون فنی دولتی روسیه، 2002) و می تواند برای ایجاد سیستم های خودکار تا کلاس امنیتی 1G در صورت رعایت محدودیت ها استفاده شود.

محدودیت های کاربردی:

• هنگام استفاده از بسته نرم افزاری، شرایط مشخص شده برای محیط عملیاتی در وظیفه امنیتی MS.Office 2007.ZB باید رعایت شود.
• تنظیمات و کنترل مکانیسم های حفاظتی امنیتی باید مطابق با "راهنمای پیکربندی ایمن بسته نرم افزاری" انجام شود.
• مجموعه نرم افزاری "Microsoft®Office. Standard 2007" باید روند کنترل انطباق (تأیید) را به استاندارد تایید شده منتقل کند.
• همه به‌روزرسانی‌های امنیتی تأیید شده اجباری فعلی باید روی بسته نرم‌افزاری نصب شوند.

سری LLC "CBI"

فایروال ها و دروازه ها

بسته نرم افزاری یوزر گیت UTM

گواهینامه شماره 3905

2018/03/23 2021/03/23 حفاظت نرم افزاری و سخت افزاری در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند مربوط به:
الزامات فایروال ها» (FSTEC روسیه، 2016)؛
نمایه حفاظت فایروال نوع A از کلاس چهارم حفاظت. IT.ME.A4.P3». (FSTEC روسیه، 2016)؛
پروفایل حفاظت فایروال نوع B از کلاس حفاظتی چهارم. IT.ME.B4.PZ». (FSTEC روسیه، 2016)؛
الزامات سیستم های تشخیص نفوذ" (FSTEC روسیه، 2011).
مشخصات حفاظتی سیستم‌های تشخیص نفوذ سطح شبکه از کلاس حفاظتی چهارم. IT.SOV.S4.P3» (FSTEC روسیه، 2012).
می توان از آن به عنوان بخشی از سیستم های خودکار (AS) تا کلاس امنیتی 1G و سیستم های اطلاعات شخصی (ISPD) و سیستم های اطلاعات دولتی (GIS) تا کلاس امنیتی (سطح) استفاده کرد. در اجرای الزامات FSTEC، در حین صدور گواهینامه، کنترل عدم وجود قابلیت های اعلام نشده در سطح 4 کنترل به تصویب رسید. سری JSC "NPO "Echelon"

کنترل های دسترسی

DeviceLock 8 DLP Suite

گواهینامه شماره 3465

11/05/2015 11/05/2023 یک بسته نرم افزاری طراحی شده برای محافظت از اطلاعات در برابر نشت، کنترل و ثبت دسترسی کاربر به دستگاه ها، پورت های I/O و پروتکل های شبکه. بسته نرم افزاری مطابق با الزامات اسناد "الزامات کنترل وسایل حمل و نقل ماشین های متحرک، FSTEC روسیه"، تایید شده توسط FSTEC روسیه مورخ 28 ژوئیه 2014 N 87 برای کلاس حفاظتی 4 و "نمایه حفاظت" است. برای دستگاه های کنترلی برای اتصال حامل های داده ماشین متحرک از کلاس حفاظتی چهارم (IT.SKN.P4.PZ)" (FSTEC روسیه، 2014)، سند حاکم "محافظت در برابر دسترسی غیرمجاز به اطلاعات. بخش 1. نرم افزار امنیت اطلاعات. طبقه بندی بر اساس سطح کنترل عدم وجود قابلیت های اعلام نشده" (کمیسیون فنی دولتی روسیه، 1999). سری LLC "CBI"

ابزارهای پشتیبان گیری و بازیابی

Acronis Backup & Recovery 11. Advanced Workstation

گواهینامه شماره ۲۶۷۸

Acronis Backup & Recovery 11. سرور پیشرفته

گواهینامه شماره ۲۶۷۷

2012/07/16 2021/07/16 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظت در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند مطابق با الزامات سند حاکم "محافظت در برابر دسترسی غیرمجاز به اطلاعات بخش 1. نرم افزار امنیت اطلاعات طبقه بندی بر اساس سطح کنترل عدم وجود قابلیت های اعلام نشده" (کمیسیون فنی دولتی روسیه، 1999) - با توجه به سطح 4 کنترل و شرایط فنی، و همچنین می تواند مورد استفاده قرار گیرد ایجاد سیستم های خودکار تا کلاس امنیتی 1G شامل و برای محافظت از اطلاعات در سیستم های اطلاعات شخصی تا کلاس 1 فراگیر. سری LLC "CBI"

ابزارهای آنتی ویروس

ابزارهای تخریب داده ها و کنترل حذف اطلاعات

ابزارهای تحلیل امنیتی

مجموعه نرم افزاری ابزار تحلیل امنیتی RedCheck

گواهینامه شماره 3172

2014/06/23 2020/06/23 یک ابزار تحلیل امنیتی مدرن که اطلاعات دقیقی در مورد اثربخشی اقدامات برای محافظت از اطلاعات در یک شبکه شرکتی و عناصر فردی آن ارائه می‌کند. مطابق با الزامات سند حاکم "محافظت در برابر دسترسی غیرمجاز به اطلاعات. بخش اول. نرم افزار امنیت اطلاعات. طبقه بندی بر اساس سطح کنترل عدم وجود قابلیت های اعلام نشده" (کمیسیون فنی دولتی روسیه، 1999) توسط سطح 4 کنترل و شرایط فنی سری LLC "CBI"

ابزار مجازی سازی

2016/11/21 2019/11/21 ابزار نرم افزاری همه منظوره با ابزار داخلی محافظتی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند مطابق با الزامات مشخصات فنی هنگام پیروی از دستورالعمل های عملیاتی ارائه شده به صورت ALMYu.501000.VMS06-01.30. سری LLC "CBI"

بسته نرم افزاری VMware Horizon 6 (نسخه های استاندارد، پیشرفته و سازمانی)

گواهینامه شماره 3660

2016/11/21 2019/11/21 ابزار نرم افزاری همه منظوره با محافظت داخلی در برابر دسترسی غیرمجاز به اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند. هنگام پیروی از دستورالعمل های عملیاتی ارائه شده در فرم ALMYU.501000.VMX06-01.30، با الزامات TS مطابقت دارد. سری LLC "CBI"

یک لیست تقریبی از اقدامات برای صدور گواهینامه در FSTEC روسیه را در نظر بگیرید.

1. ارائه درخواست برای صدور گواهینامه به FSTEC روسیه.

   برنامه مشخص می کند:

   • نام متقاضی
   • آدرس متقاضی
   • نام محصولی که متقاضی می خواهد گواهی کند
   • فهرستی از اسناد نظارتی و روش شناختی که متقاضی باید محصولات خود را برای مطابقت با الزامات تأیید کند.
   • طرح صدور گواهینامه (نمونه محصول واحد یا تولید انبوه)
   • آزمایشگاه آزمایشی که در آن متقاضی مایل به آزمایش است
   • شرایط یا الزامات اضافی

   متقاضی در درخواست نشان می دهد که متعهد می شود:

   • انجام کلیه شرایط صدور گواهینامه؛
   • اطمینان از ثبات ویژگی های گواهی شده محصولات مشخص شده با علامت انطباق؛
   • تمام هزینه های صدور گواهینامه را بپردازید.

   مهم: متقاضی باید دارای مجوز FSTEC برای نوع فعالیت مربوطه باشد!

   نمونه ای از یک برنامه کاربردی برای صدور گواهینامه یک بسته نرم افزاری در شکل 5.1 نشان داده شده است.

2. راه حلی برای تست گواهینامه

   FSTEC، ظرف یک ماه پس از دریافت درخواست، تصمیمی را برای انجام آزمایش‌های صدور گواهینامه به متقاضی، سازمان صدور گواهینامه تعیین شده و آزمایشگاه آزمایش ارسال می‌کند که شامل موارد زیر است:

   • نام متقاضی، آدرس متقاضی؛
   • نام محصولات تایید شده، کد OKP، TU؛
   • طرح صدور گواهینامه (تست یک نمونه محصول واحد / دسته ای از نمونه N / نمونه محصول برای تولید انبوه)؛
   • آزمایشگاه تست تعیین شده و آدرس آن؛
   • فهرستی از اسناد نظارتی و روش شناختی برای انطباق با الزاماتی که صدور گواهینامه باید انجام شود.
   • آزمایشگاه تست تعیین شده برای کنترل بازرسی بعدی؛
   • یک نهاد صدور گواهینامه منصوب برای انجام بررسی نتایج آزمون های صدور گواهینامه؛
   • روش پرداخت کار

   مرجع صدور گواهینامه و آزمایشگاه آزمایش با توافق با مشتری قابل تغییر است. این تصمیم به عنوان مبنایی برای شروع آزمایش و "دلیل" انعقاد توافق نامه بین متقاضی و آزمایشگاه آزمایش عمل می کند. نمونه ای از تصمیم برای صدور گواهینامه در شکل 5.2 نشان داده شده است.

3. انعقاد قرارداد با آزمایشگاه تست

   قرارداد با آزمایشگاه آزمایش برای آزمایش های صدور گواهینامه، شرایط، روش انجام آزمایش های صدور گواهینامه و همچنین هزینه کار را تعیین می کند. معمولاً آزمایشگاه آزمایش ابتدا یک پیشنهاد تجاری با توجیه شرایط و هزینه کار و همچنین پیش نویس قرارداد تهیه می کند. به عنوان یک قاعده، مجموعه اسناد قراردادی شامل: یک قرارداد، شرایط مرجع برای کار، بیانیه عملکرد، یک پروتکل برای توافق بر روی قیمت است. علاوه بر اطلاعات مشخص شده، توصیه می شود در قرارداد مواردی مانند مسئولیت آسیب به نمونه های آزمایشی یا روش تعلیق آزمایش ها در صورت هرگونه تغییر پیش بینی شود.

4. آماده سازی داده های اولیه

   این مرحله شامل تدوین، هماهنگی و تصویب برنامه و روش شناسی آزمون های صدور گواهینامه می باشد.

   آزمایشگاه آزمایش برنامه و روشی را برای انجام آزمایش ها ایجاد می کند، اطلاعاتی را در مورد اینکه چه داده هایی برای آزمایش مورد نیاز است به متقاضی منتقل می کند. همچنین، برنامه و روش برای تایید به مرجع صدور گواهینامه ارسال می شود.

   متقاضی برنامه آزمایش و روش شناسی را از آزمایشگاه آزمایش دریافت می کند، آن را هماهنگ می کند و تمام داده های اولیه لازم را آماده می کند. او ابزارهای امنیت اطلاعات را در بسته ای که با مشخصات فنی یا فرمی مطابقت دارد و همچنین مجموعه ای از تمام اسناد لازم مطابق با ESPD یا ESKD را در اختیار آزمایشگاه آزمایش قرار می دهد.

5. آزمون های صدور گواهینامه

   آزمايشگاه آزمايش نمونه هايي از محصولات تاييد شده را انتخاب و آنها را شناسايي و بر اساس برنامه و متدلوژي مصوب، آزمايش هاي تاييد گواهي محصولات را انجام مي دهد. در همان زمان، متقاضی یک غرفه برای آزمون های گواهینامه تهیه و راه اندازی می کند. توجه به این نکته ضروری است که ایجاد تغییرات در ترکیب یا طراحی موضوع گواهینامه و همچنین در اسناد در طول آزمایش ممنوع است. این می تواند منجر به توقف آزمایش ها و "راه اندازی مجدد" کامل آنها شود که بر هزینه و زمان کار تأثیر می گذارد.

6. ثبت نتایج آزمون

   نتایج آزمون در قالب گزارش های آزمون گواهینامه و گزارش های فنی مستند می شود. این اسناد به مرجع صدور گواهینامه ارسال می شود و کپی ها - برای متقاضی. در صورت عدم اظهار نظر منطقی در مورد نتایج ارائه شده توسط آزمایشگاه آزمایش از طرف متقاضی یا مرجع صدور گواهینامه، کار آن تحت قرارداد تکمیل شده تلقی می شود.

7. انعقاد قرارداد با یک مرجع صدور گواهینامه

   آزمايشگاه آزمايش با سازمان گواهينامه در مورد بررسي نتايج آزمايشهاي گواهينامه قراردادي منعقد مي كند كه در آن شرايط (معمولاً 1 ماه)، روش و هزينه مشخص مي شود. گاهی اوقات سازمان صدور گواهینامه نیاز به انعقاد توافقنامه با متقاضی دارد و نه با آزمایشگاه آزمایش. این نکته بحث برانگیز است و تنظیم نشده است. این موضوع در ابتدا با آزمایشگاه آزمایش بهتر است مورد بحث قرار گیرد.

8. بررسی نتایج آزمون های صدور گواهینامه

   سازمان صدور گواهینامه مطابق با قرارداد، نتایج آزمایشات گواهینامه و همچنین اسناد فنی و عملیاتی را برای محصولات دارای گواهینامه بررسی می کند. نتیجه اجرای یک نظر کارشناسی است که به همراه یک نظر فنی، مواد آزمایشات گواهینامه، مجموعه ای از اسناد فنی و عملیاتی لازم برای موضوع صدور گواهینامه، برای تصمیم گیری در مورد صدور گواهی به FSTEC روسیه ارائه می شود. .

9. تصمیم برای صدور گواهینامه

   FSTEC بر اساس مدارک دریافتی از مرجع صدور گواهینامه یعنی نظر فنی و نظر کارشناسی تصمیم به صدور گواهی می‌گیرد. همانطور که در بالا ذکر شد، مدت گواهینامه 3 سال است. نمونه ای از گواهی انطباق در شکل 5.3.

اگر در نتیجه بازرسی، FSTEC مغایرت بین نتایج آزمایش و الزامات قانون را آشکار کند، تصمیمی مبنی بر امتناع از صدور گواهی گرفته می شود. در این صورت نظر مستدل برای متقاضی ارسال خواهد شد. در صورت عدم موافقت با امتناع، متقاضی حق دارد از هیئت استیناف سازمان صدور گواهینامه فدرال برای بررسی بیشتر مواد صدور گواهینامه درخواست کند. تجدیدنظرخواهی ظرف یک ماه با حضور ذینفعان و کارشناسان مستقل رسیدگی می شود. تصمیم به تجدیدنظرخواه ابلاغ می شود.

چرا گواهینامه مورد نیاز است

چرا به گواهینامه نرم افزار نیاز دارید؟

مسائل حفاظت از اطلاعات محرمانه با منافع جامعه، فرد، تجارت و دولت ارتباط تنگاتنگی دارد. در زمان ما، در شرایط شکل گیری یک فضای اطلاعاتی واحد، آنها مهمترین بخش از وظایف حل شده توسط ارگان ها، نهادها و سازمان های دولتی در توسعه، ایجاد، بهره برداری از سیستم های اطلاعاتی، پایگاه های اطلاعاتی و بانک اطلاعات شخصی هستند. از سیستم های اطلاعاتی

هر دولتی به دنبال تضمین کنترل بر اطلاعات مربوط به تضمین امنیت ملی است. و همینطور به نرم افزارهایی که به بازار آورده شده و برای ساخت استفاده می شود سیستم های کلیدیزیرساخت های اطلاعاتی، الزامات خاصی وجود دارد.

سیستم های زیرساخت اطلاعات کلیدی

این سیستم های کلیدی عبارتند از:

• سیستم های اطلاعاتی مقامات دولتی، نهادهای حاکم و ساختارهای اجرای قانون؛
• سیستم های اطلاعاتی فعالیت های مالی-اعتباری و بانکی؛
• سیستم های اطلاعاتی و مخابراتی برای مقاصد خاص؛
• شبکه های ارتباطی ساختارهای اجرای قانون؛
• شبکه‌های ارتباطی عمومی در مناطقی که انواع پشتیبان یا جایگزینی از ارتباطات ندارند.
• سیستم های کنترل منبع تغذیه خودکار؛
• سیستم های کنترل خودکار برای حمل و نقل زمینی و هوایی؛
• سیستم های کنترل خودکار برای تولید و حمل و نقل نفت و گاز؛
• سیستم های خودکار برای پیشگیری و رفع شرایط اضطراری؛
• سیستم های کنترل خودکار برای صنایع خطرناک برای محیط زیست؛
• سیستم های مدیریت تامین آب خودکار؛
• سیستم های جغرافیایی و ناوبری

و این یک لیست کامل نیست. این سیستم ها اطلاعات مربوط به فعالیت های تولیدی، سازمانی، اقتصادی، علمی، فنی، اعتباری، مالی و سایر فعالیت های دولت را انباشته، پردازش و انتقال می دهند. در تعدادی از سیستم ها و شبکه ها، اطلاعات مربوط به اعزام عملیات و کنترل فن آوری در گردش است که قابلیت اطمینان و ایمنی عملکرد کل مجموعه اقتصادی روسیه را تعیین می کند و تأثیر قابل توجهی در تضمین امنیت ملی آن در حوزه اطلاعات دارد. به همین دلیل است که این سیستم ها کلیدی هستند.

در نتیجه، فروشندگان نرم افزار باید در نظر گرفته شودالزامات تحمیل شده توسط قوانین بین المللی و ملی در مورد سیستم های اطلاعاتی که برای کار با چنین اطلاعاتی طراحی شده اند.

برای تأیید اینکه نرم افزار این الزامات را برآورده می کند، مراحل صدور گواهینامه مورد نیاز است!

چه کسانی ملزم به استفاده از نرم افزارهای تایید شده هستند؟

کلیه سازمان های دولتی، سازمان های غیر دولتی که با به اصطلاح "اطلاعات رسمی ارگان های دولتی" و همچنین تعدادی از سازمان های دیگر مطابق با قوانین روسیه کار می کنند (به عنوان مثال، سازمان های مشمول الزامات مربوطه "قانون اطلاعات شخصی").

موارد زیر گزیده‌ای از اسناد قانونی و نظارتی است که در مجموع، نیاز به استفاده از ابزارهای تایید شده امنیت اطلاعات به شرح زیر است:

• در قانون فدرال 149 (FZ)، ماده 14، بند 8گفته می شود که "... وسایل فنی در نظر گرفته شده برای پردازش اطلاعات موجود در سیستم های اطلاعات دولتی، از جمله ابزارهای نرم افزاری و سخت افزاری و ابزارهای حفاظت از اطلاعات، باید با الزامات قانون فدراسیون روسیه در مورد مقررات فنی مطابقت داشته باشد."
• در قانون فدرال 184«در مورد مقررات فنی» در ماده 4. «مقامات اجرایی فدرال می‌توانند در مواردی که در ماده 5 مقرر می‌شود، در زمینه مقررات فنی اقدام به صدور قوانین الزام‌آور کنند».
• ماده 5 قانون فدرال 184نگرانی از جمله محصولات مورد استفاده برای محافظت از اطلاعات طبقه بندی شده به عنوان اطلاعات دسترسی محدود و محافظت شده مطابق با قوانین فدراسیون روسیه (از جمله "اطلاعات رسمی ارگان های دولتی")
• یک نهاد مجاز با حق ایجاد الزامات اجباری برای حفاظت از اطلاعات، acc. از ماده 15 قانون فدرال 149 FSTEC روسیه است
• به ویژه، در مقررات STR-K(الزامات ویژه برای حفاظت از اطلاعات محرمانه) FSTEC روسیه تایید شده است
  • بند 2.3.الزامات و توصیه‌های این سند در مورد حفاظت از منابع اطلاعاتی دولتی با روش‌های غیر رمزنگاری با هدف جلوگیری از نشت اطلاعات محافظت شده از طریق کانال‌های فنی، از دسترسی غیرمجاز به آن و تأثیرات ویژه بر اطلاعات به منظور تخریب، تحریف اعمال می‌شود. و آن را مسدود کنید."
  • بند 2.16. "به منظور حفاظت از اطلاعات محرمانه، از ابزارهای امنیت اطلاعات تایید شده برای امنیت اطلاعات استفاده می شود. روش صدور گواهینامه توسط قانون فدراسیون روسیه تعیین می شود.
  • بند 2.17. "اشیاء اطلاعاتی باید برای الزامات امنیت اطلاعات مطابق با اسناد نظارتی FSTEC روسیه و الزامات این سند تأیید شود."
• قانون فدراسیون روسیه N 5485-1 مورخ 21 ژوئیه 1993. ("قانون اسرار دولتی") امنیت اطلاعات را به عنوان "بخش جدایی ناپذیر سیستم ها یا محصولات اطلاعاتی" تعریف می کند.

طبق قوانین فوق، سازمان های ذیربط (به ویژه ایالتی) موظف به استفاده از نرم افزار و سخت افزار با ابزارهای تایید شده امنیت اطلاعات هستند.

نهادهای صدور گواهینامه

چه کسی نرم افزار را در فدراسیون روسیه گواهی می دهد؟

در کشور ما چندین سیستم صدور گواهینامه مختلف با تمرکز بر انواع نرم افزارها (FSTEC، FSB، وزارت دفاع و غیره) وجود دارد.

سیستم های اصلی صدور گواهینامه برای اکثر نرم افزارها، سیستم های گواهی FSB و FSTEC هستند.

• گواهی FSB برای آزمایش زیرسیستم های نرم افزاری طراحی شده است که از حفاظت رمزنگاری استفاده می کنند (فقط الگوریتم های رمزنگاری روسی در کشور ما مجاز هستند). الزامات سیستم گواهی FSB عمومی نیستندآشنایی با آنها مستلزم وجود تلورانس های خاص است.
• صدور گواهینامه FSTEC برای تأیید ارائه حفاظت فنی از اطلاعات با روش های غیر رمزنگاری در نظر گرفته شده است. الزامات سیستم صدور گواهینامه FSTEC باز و در تاریخ منتشر شده است وب سایت رسمی .

محصولات نرم افزاری فعلی 1C-Bitrix حاوی ابزارهای داخلی محافظت رمزنگاری نیستند، بنابراین گواهی FSB برای آنها لازم نیست. در ادامه متن، ما فقط در مورد گواهی FSTEC صحبت می کنیم.

محصول تایید شده در فدراسیون روسیه چیست؟

سیستم صدور گواهینامه روسیه اساساً با سیستم های اتخاذ شده در سایر کشورها متفاوت است و برای بهتر. هر نسخه نرم افزاری که درخواست گواهی می دهد از نظر مطابقت با نسخه ای که مستقیماً در طول صدور گواهینامه آزمایش شده است بررسی می شود، یعنی در سطح باینری، همه نسخه های تأیید شده کاملاً یکسان هستند. سرویس‌هایی که مسئولیت یکپارچگی این محصولات را بر عهده دارند، می‌توانند در هر زمان بررسی کنند که کاربر تمام پچ‌ها و به‌روزرسانی‌های تایید شده لازم را دارد و همچنین محصولات را از نظر عدم وجود تغییرات تایید نشده بررسی کند.

اما با توجه به شرایط سیستم صدور گواهینامه بین‌المللی Common Criteria، هر نسخه دارای مجوز نرم‌افزاری که گواهینامه را گذرانده باشد، تایید شده تلقی می‌شود - هویت هر نسخه فروخته شده از نسخه‌ای که مستقیماً تأیید شده است تأیید نمی‌شود. اما به هر حال، وصله‌ها و نسخه‌های جدید برنامه‌ها به طور مرتب منتشر می‌شوند و نسخه‌های نرم‌افزاری که امروز به بازار عرضه می‌شوند ممکن است به سادگی با نسخه‌ای که در آن زمان آزمایش شده بود، که برای دریافت گواهی ثبت شده بود، متفاوت باشد.

هر کپی از محصول تأیید شده 1C-Bitrix دارای بسته ای از اسناد دولتی است که تأیید می کند این محصول تأیید شده است. علاوه بر این، یک علامت هولوگرافیک FSTEC برای مطابقت با یک شماره منحصر به فرد وجود دارد که این نمونه را در سیستم حسابداری دولتی برای محصولات تأیید شده مشخص می کند.

هر سازمانی که محصولات تایید شده را خریداری کرده است، دسترسی ایمن به صفحه شخصی این سازمان در یک وب سایت تخصصی دارد که از آنجا این سازمان به روز رسانی های تایید شده و سایر اطلاعات را دریافت می کند.

FSTEC روسیه چیست و چه وظایفی دارد؟

FSTEC روسیه (تا سال 2004 - کمیسیون فنی دولتی روسیه) یک نهاد اجرایی فدرال با اختیارات زیر است:

• تضمین امنیت اطلاعات در سیستم های کلیدی زیرساخت اطلاعات و مخابرات؛
• مقابله با اطلاعات فنی خارجی؛
• تضمین حفاظت فنی اطلاعات روش های غیر رمزنگاری;
• اجرای کنترل صادرات

مطابق با مقررات FSTEC روسیه، یکی از وظایف اصلی آن سازماندهی فعالیت های سیستم دولتی برای مقابله با اطلاعات فنی و حفاظت فنی اطلاعات در سطوح فدرال، بین منطقه ای، منطقه ای، بخشی و تسهیلات و همچنین سازماندهی فعالیت های سیستم دولتی است. مدیریت این سیستم دولتی

کلیه اقدامات قانونی نظارتی و اسناد روش شناختی صادر شده در مورد فعالیت های FSTEC روسیه، اجباریتوسط دستگاه های مقامات ایالتی فدرال و مقامات ایالتی نهادهای تشکیل دهنده فدراسیون روسیه، مقامات اجرایی فدرال، مقامات اجرایی نهادهای تشکیل دهنده فدراسیون روسیه، دولت ها و سازمان های محلی.

گواهی FSTEC چگونه انجام می شود؟

FSTEC تنها یک سازمان دهنده صدور گواهینامه و یک سرویس کنترل سطح بالا است. اقدامات فوری انجام دهید مجوز دهندگان FSTEC- آزمایشگاه های آزمایش و سازمان های خبره. اولی مستقیماً تحقیقات نرم افزاری را انجام می دهد، در حالی که دومی درگیر بررسی کیفیت این آزمایشات است.

مشتری حق انتخاب آزمایشگاه آزمایش را دارد (با موافقت FSTEC)، اما FSTEC به طور مستقل یک سازمان متخصص را برای تأیید نتایج تعیین می کند.

بنابراین، از یک طرف، زمانی که آزمایشگاه های آزمایش برای مشتری مبارزه می کنند (هزینه آزمایش، زمان بندی و غیره) یک محیط رقابتی وجود دارد، از طرف دیگر، کیفیت آزمایش ها به وضوح توسط کارشناسان مستقل بررسی می شود.

بر اساس قیاس، سیستم گواهی FSB نیز کار می کند.

علاوه بر این، در سیستم صدور گواهینامه FSTEC نیز وجود دارد موسسه متقاضیان. این شرکت‌ها مستقیماً با آزمایشگاه‌های آزمایش و سازمان‌های خبره کار می‌کنند، آنها هستند که نسخه‌های محصولات فروخته شده را برای مطابقت با نمونه گواهی شده خود مقایسه می‌کنند. آنها همچنین برای هر نسخه از محصولاتی که چنین مقایسه ای را پشت سر گذاشته اند، اسناد فرم تعیین شده را صادر می کنند و سوابق این محصولات را نگه می دارند.

متقاضيان هزينه‌هاي بررسي محصول، صدور مدارك مربوطه، نگهداري سوابق محصولات تاييد شده (كجا و در چه وضعيتي اين محصولات هستند) را بر عهده مي‌گيرند، در برخي موارد با توافق با صاحبان محصول، تمام پچ‌ها را نيز با هزينه خود تصديق مي‌كنند. .

صدور گواهینامه محصولات 1C-Bitrix

1C-Bitrix در فرآیند صدور گواهینامه با چه سازمان هایی و در چه قالبی همکاری می کند؟

در حال حاضر 1C-Bitrix با این شرکت همکاری می کند. این شرکت در نقش زیر عمل کرد:

درخواست کننده، که

آ. انجام کلیه فعالیت های سازمانی مرتبط با صدور گواهینامه؛

ب هزینه های حسابداری ثابت نسخه های تایید شده محصولات را متحمل می شود.

ج. محصولات نرم افزاری تایید شده "1C-Bitrix" را مستقیماً به فروش می رساند.

آیا استفاده از محصولات تایید شده 1C-Bitrix برای صدور گواهینامه نهایی یک سیستم اطلاعاتی کافی است؟

البته که نه. استفاده از نرم افزارهای تایید شده شرط لازم اما کافی برای تایید نهایی سیستم اطلاعاتی مشتری نیست.

اول، به عنوان یک قاعده، یک محصول تایید شده در زیرساخت فناوری اطلاعات کار می کند. برای محصولات 1C-Bitrix، این سیستم عامل وب سرور و سرور پایگاه داده، سرور DBMS، وب سرور، مفسر PHP، پیش کامپایلر PHP و غیره است. بر این اساس، امنیت کل سیستم تنها با امنیت تمامی اجزای آن حاصل می شود که با وجود گواهینامه های مناسب بر روی آنها نیز مشخص می شود.

ثانیاً در مرحله پیاده سازی می توان تغییراتی در محصول ایجاد کرد که می تواند امنیت کل سیستم را نیز کاهش دهد و این تغییرات نیز باید تست و تایید شوند.

ثالثاً، مجموعه نسخه های گواهی شده محصول شامل لیستی از توصیه ها برای نصب و استفاده از آنها است. این توصیه ها در آزمایشگاه تست تهیه شده و رعایت آنها تضمین کننده بهترین و کافی سطح حفاظت از نیازهای مشتریان است. این دستورالعمل ها اجباری هستند.

بنابراین، در هر صورت، صدور گواهینامه نهایی سیستم اطلاعاتی برای انطباق با الزامات FSTEC و (یا) FSB ضروری است.

استفاده از نسخه های تایید شدهبه شما امکان می دهد تا به میزان قابل توجهی در روند صدور گواهینامه نهایی سیستم اطلاعاتی و (یا) محل کار برای انطباق آنها با الزامات حفاظت از اطلاعات یک دسته خاص صرفه جویی کنید. مستلزم صدور گواهینامه خودکار نیست. در صورت استفاده از نرم افزارهای بدون گواهی، نیاز به خرید و پیاده سازی ابزارهای حفاظتی تایید شده اضافی خواهد بود که می تواند هزینه صدور گواهینامه را تا حد زیادی افزایش دهد.

مشتریان چگونه و چه زمانی به روز رسانی محصولات تایید شده را دریافت می کنند؟

هنگامی که هر به روز رسانی محصول منتشر می شود، گواهی آن الزامی است، در غیر این صورت، با نصب یک به روز رسانی بدون تایید، کاربر نهایی یکپارچگی سیستم امنیت اطلاعات را نقض می کند و سیستم امنیت اطلاعات وضعیت تایید شده خود را از دست می دهد.

تمام به روز رسانی ها در آزمایشگاه تست تست می شوند. علاوه بر این، همه به‌روزرسانی‌های تایید شده در پورتال به‌روزرسانی‌های گواهی شده گروه SIS در دسترس قرار می‌گیرند. به عنوان یک قاعده، این روش از چند روز تا چند هفته طول می کشد.

با این حال، به عنوان یک قاعده، با توجه به محافظه کاری مشتریان نسخه های تایید شده و رویه های تایید داخلی آنها، چنین تاخیری حیاتی نیست و تایید به روز رسانی ها در زمان تصمیم گیری به موقع است.

در نسخه های تایید شده محصولات 1C-Bitrix سیستم به روز رسانی استاندارد استفاده نمی شودسایت به روز رسانی از طریق اینترنتزیرا این به روز رسانی ها تایید نشده اند. به روز رسانی های تایید شده را می توان از یک بخش امن از وب سایت گروه سیستم های اطلاعات خبره دریافت کرد، جایی که هر مشتری یک حساب شخصی با به روز رسانی های موجود دارد.

هنگام دانلود به روز رسانی های تایید شده، مشتری آنها را به عنوان فایل در یک گفتگوی سیستم به روز رسانی ویژه دانلود می کند