Fstek postupak certifikacije. fstek certifikati

Certifikacija u Saveznoj službi za tehničku i izvoznu kontrolu (FSTEC) provodi se kada je potrebno potvrditi usklađenost razvijenih proizvoda sa zahtjevima informacijske sigurnosti.

Ispitni laboratorij CJSC "IBTrans" više od deset godina testira softver u sustavu certificiranja alata za informacijsku sigurnost prema zahtjevima informacijske sigurnosti. Ispitivanja se provode radi usklađenosti sa zahtjevima vodećih dokumenata Državne tehničke komisije Rusije i uključuju preglede proizvoda i dokumentacije za njih.

U željezničkom prometu u pravilu se provode provjere programske opreme prema zahtjevima upravljačkog dokumenta „Zaštita od neovlaštenog pristupa informacijama Dio 1. Programska oprema alata za informacijsku sigurnost. Klasifikacija prema razini kontrole odsutnosti nedeklariranih sposobnosti.

Spremnost podnositelja zahtjeva

Spremnost programske dokumentacije u skladu s GOST ESPD (ESKD)
Dostupnost izvornih kodova softvera
Dostupnost funkcionalno kompletnog softvera (stabilna verzija softvera)
*Podnositelj zahtjeva je organizacija koja se bavi razvojem softvera, korisnik softvera, službeni predstavnik strane razvojne tvrtke u Ruskoj Federaciji, podnosi zahtjev za certifikaciju softvera

Prikupljanje informacija

Definicija naziva i oznake programskog proizvoda
Određivanje količine izvornog koda koji će se analizirati za odsutnost NDV-a
Adrese za testiranje softvera
Alati za razvoj hardvera i softvera
*NDV - neprijavljena prilika

Prijenos informacija

Podnositelj se s prikupljenim podacima prijavljuje ispitnom laboratoriju. Ispitni laboratorij na temelju dobivenih podataka ocjenjuje mogućnost izvođenja radova, vrijeme i cijenu.
*Laboratorij za testiranje - organizacija akreditirana od strane FSTEC-a Rusije za certifikacijsko testiranje alata za informacijsku sigurnost.

Komercijalna ponuda

Ispitni laboratorij oblikuje komercijalnu ponudu u kojoj se navodi redoslijed rada, postupak izračuna, cijena i vrijeme ispitivanja, opravdano mjerodavnim dokumentima i radnom praksom.

Priprema aplikacije

Podnositelj zahtjeva (uz informacijsku podršku Laboratorija za ispitivanje) sastavlja „Zahtjev za certifikaciju softvera zbog odsustva nedeklariranih mogućnosti” na memorandumu s pečatom organizacije i šalje ga FSTEC-u Rusije.
Podaci sadržani u prijavi: adresa; ime i bankovne podatke podnositelja zahtjeva; naziv proizvoda koji podliježu certificiranju; shema certificiranja; zahtjevi za usklađenost s kojima se provodi certifikacija; adresu vašeg željenog laboratorija za testiranje.
Obrazac zahtjeva za certifikaciju možete preuzeti OVDJE.
*FSTEC Rusije - Savezno tijelo za certifikaciju proizvoda za zahtjeve informacijske sigurnosti

Dobijanje odluke

Savezno tijelo za certifikaciju (FSTEC Rusije) razmatra zahtjev za certifikaciju u roku od mjesec dana, određuje shemu za certifikaciju alata za sigurnost informacija, ispitni laboratorij, uzimajući u obzir prijedloge podnositelja zahtjeva, i imenuje certifikacijsko tijelo.
Na temelju rezultata razmatranja Zahtjeva, FSTEC Rusije šalje podnositelju zahtjeva, Certifikacijskom tijelu i Ispitnom laboratoriju određenom za certifikaciju, Odluke o zahtjevu za certifikaciju. Rješenje o certificiranju navodi naziv proizvoda, shemu certificiranja, Ispitni laboratorij koji ispituje proizvode i Certifikacijsko tijelo koje kontrolira proces certificiranja.
*Certifikacijsko tijelo - ovlaštena organizacija (osoba) koja prati tijek ispitivanja i provodi ispitivanje certifikacijskih ispitnih materijala

Sklapanje sporazuma

Koordinacija svih uvjeta rada između Podnositelja zahtjeva i Ispitnog laboratorija. Na temelju konzultacija stranaka izrađuje se raspored rada. Potpisivanjem ugovora određuje se početak certifikacijskih ispitivanja.
Osim toga, sklapa se ugovor s Certifikacijskim tijelom za ispitivanje ispitnih materijala. Ugovor s Tijelom za ovjeravanje mogu sklopiti Ispitni laboratorij i Podnositelj zahtjeva. Preporučena opcija je sklapanje ugovora između Ispitnog laboratorija i Certifikacijskog tijela.

Analiza dokumentacije

Podnositelj zahtjeva predaje programsku dokumentaciju za proizvod koji podliježe certifikacijskom ispitivanju u Ispitni laboratorij.
Programska dokumentacija uključuje sljedeći popis dokumenata, razvijenih uzimajući u obzir zahtjeve standarda ESPD (ESKD):
Obrazac (GOST 19.501-78)
Specifikacija (GOST 19.202-78)
Opis programa (GOST 19.402-78)
Opis primjene (GOST 19.502-78)
Tekst programa (GOST 19.401-78)

Izrada testnog programa

Na temelju rezultata analize dokumentacije stručnjaci Ispitnog laboratorija izrađuju „Program i metodologiju provođenja certifikacijskih ispitivanja“ proizvoda.
Program i metodologija ispitivanja određuju redoslijed provjera koje provode laboratorijski stručnjaci kako bi ocijenili usklađenost softverskog proizvoda sa zahtjevima relevantnih regulatornih dokumenata FSTEC-a Rusije.
Program i metodologija ispitivanja dogovara se s Podnositeljem zahtjeva i odobrava Certifikacijsko tijelo.
Ako je proizvod koji se certificira razvija uz sudjelovanje inozemne organizacije, Program ispitivanja i metodologija dodatno se dogovaraju sa Saveznim certifikacijskim tijelom.

Testiranje

Nakon usuglašavanja Programa i Metodologije ispitivanja laboratorijski stručnjaci počinju s testiranjem programskog proizvoda. Testovi uključuju sljedeće glavne korake:
analiza softverske dokumentacije,
popravljanje početnog stanja softvera,
testiranje softverskih proizvoda (statičko testiranje izvornog koda, dinamička analiza)
Stručnjaci Laboratorija za ispitivanje posjećuju mjesto ispitivanja (u organizacijama koje razvijaju softverske proizvode)

Rezultati ispitivanja

Na temelju rezultata svih inspekcija certificiranih proizvoda, ispitni laboratorij formira paket dokumenata koji uključuje:
izvješća o ispitivanju proizvoda,
tehnički zaključak,
akti uzorkovanja, softverske verzije i drugi dokumenti.
Cjelokupni paket dokumenata, uključujući i programsku dokumentaciju Podnositelja zahtjeva, dostavlja se Certifikacijskom tijelu na pregled. Tehničko mišljenje Ispitnog laboratorija dostavlja se podnositelju zahtjeva.

Operativni sustavi "Microsoft Windows 8.1", "Microsoft Windows 8.1 Professional", "Microsoft Windows 8.1 Enterprise"

Potvrda br. 3263

11/07/2014 11/07/2020 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima upravljačkog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) prema 5. klasi sigurnosti, pod uvjetom da su svi relevantni obvezni instaliraju se certificirana sigurnosna ažuriranja i slijede upute za rad dane u obrascima 501110-001-82487552-2014 03 FO i 501110-001-82487552-2014 02 FO.

Ograničenja primjene

1. Postavke i kontrolu mehanizama sigurnosne zaštite moraju se provoditi u skladu s "Vodičem za konfiguraciju sustava".
2. Programski paket mora proći postupak kontrole sukladnosti (verifikacije) s certificiranom normom.

Operativni sustav Microsoft Windows 7 (SP1) u izdanjima Professional, Enterprise i Ultimate

Potvrda broj 2180/1

04.10.2011 04.10.2020 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima upravljačkog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) - prema 5. sigurnosnoj klasi i može se koristiti pri stvaranju automatizirani sustavi do uključivo sigurnosne klase 1G i pri izradi informacijskih sustava osobnih podataka do uključivo 2. klase.

Ograničenja primjene:

Poslužiteljski operativni sustavi

Programski paket "Microsoft Windows Server 2012 Standard"

Potvrda br. 2949

09/06/2013 09/05/2019 Softverski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama U skladu sa zahtjevima upravljačkog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlašteni pristup informacijama" (Državna tehnička komisija Rusije, 1992.) - prema 5. sigurnosnoj klasi, pod uvjetom da su instalirana sva trenutna obvezna certificirana sigurnosna ažuriranja i upute za rad dane u obrascima 501110-002-82487552-2013 01 St FO i 501110-002-82487552-2013 02 St FO slijede.

Ograničenja primjene

1. Programski kompleks "Microsoft Windows Server 2012 Standard" mora proći postupak kontrole usklađenosti (verifikacije) s certificiranim standardom.
2. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija JSC "Dokumentarni sustavi"

Programski paket "Microsoft Windows Server 2012 Datacenter"

Potvrda br. 2950

06.09.2013. 06.09.2019. Softverski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama U skladu sa zahtjevima mjerodavnog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlašteni pristup informacijama" (Državna tehnička komisija Rusije, 1992.) - prema sigurnosnoj klasi 5 i može se koristiti pri stvaranju automatiziranih sustava do sigurnosne klase 1G uključivo i pri izradi osobnih podataka informacijskih sustava do 3. klase uključivo.

Ograničenja primjene

1. Podešavanje i kontrolu sigurnosnih zaštitnih mehanizama potrebno je provoditi sukladno "Uputama za postavljanje programskog paketa".
2. Programski kompleks "Microsoft Windows Server 2012 Datacenter" mora proći postupak kontrole usklađenosti (verifikacije) s certificiranim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija JSC "Dokumentarni sustavi"

Programski paket "Microsoft Windows Server 2008 Standard Edition"

Potvrda br.1928

Ograničenja primjene

1. Podešavanje i kontrolu sigurnosnih zaštitnih mehanizama potrebno je provoditi sukladno "Uputama za postavljanje programskog paketa".
2. Programski kompleks "Microsoft Windows Server 2008 Standard Edition" mora proći postupak kontrole sukladnosti (verifikacije) s certificiranim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija JSC "Dokumentarni sustavi"

Programski paket "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Uvjerenje broj 1928/1

Programski paket "Microsoft Windows Server 2008 Enterprise Edition"

Potvrda br. 1929

27. 10. 2009. 26. 10. 2018. Programski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama U skladu sa zahtjevima mjerodavnog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlašteni pristup informacijama" (Državna tehnička komisija Rusije, 1992.) - prema sigurnosnoj klasi 5 i može se koristiti pri stvaranju automatiziranih sustava do sigurnosne klase 1G uključivo i pri izradi osobnih podataka informacijskih sustava do 3. klase uključivo.

Ograničenja primjene

1. Podešavanje i kontrolu sigurnosnih zaštitnih mehanizama potrebno je provoditi sukladno "Uputama za postavljanje programskog paketa".
2. Programski kompleks "Microsoft Windows Server 2008 Enterprise Edition" mora proći postupak kontrole usklađenosti (verifikacije) s certificiranim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

serija JSC "Dokumentarni sustavi"

Programski paket "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Uvjerenje broj 1929/1

14.05.2010. 14.05.2019. Softverski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama U skladu sa zahtjevima mjerodavnog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlašteni pristup informacijama" (Državna tehnička komisija Rusije, 1992.) - prema sigurnosnoj klasi 5 i može se koristiti pri izradi automatiziranih sustava do sigurnosne klase 1G uključivo i pri izradi osobnih podataka informacijskih sustava do uključivo klase 2. serija JSC "Dokumentarni sustavi"

Operativni sustav Microsoft Windows Server 2008 R2 (SP1) u izdanjima Standard, Enterprise i Datacenter

Potvrda broj 2181/1

10/13/2011 10/13/2020 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima upravljačkog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.) - prema 5. sigurnosnoj klasi i može se koristiti pri stvaranju automatizirani sustavi do uključivo sigurnosne klase 1G i pri izradi informacijskih sustava osobnih podataka do uključivo 2. klase.

Ograničenja primjene:
1. Postavke i kontrolu mehanizama sigurnosne zaštite treba provesti u skladu s "Vodič za postavljanje sustava".
2. Programski paket mora proći postupak praćenja usklađenosti (verifikacije) s certificiranom normom.
3. Sva trenutna obvezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu. serija JSC "Dokumentarni sustavi"

Programski paket "Microsoft Windows Server 2008 Datacenter Edition"

Potvrda br. 1930

10/29/2009 10/28/2018 Softverski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama U skladu sa zahtjevima upravljačkog dokumenta "Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlašteni pristup informacijama" (Državna tehnička komisija Rusije, 1992.) - prema sigurnosnoj klasi 5 i može se koristiti pri izradi automatiziranih sustava do sigurnosne klase 1G uključivo i pri izradi osobnih podataka informacijskih sustava do 3. klase uključivo.

Ograničenja primjene

1. Podešavanje i kontrolu sigurnosnih zaštitnih mehanizama potrebno je provoditi sukladno "Uputama za postavljanje programskog paketa".
2. Programski kompleks "Microsoft Windows Server 2008 Datacenter Edition" mora proći postupak kontrole sukladnosti (verifikacije) s certificiranim standardom.
3. Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

Serija JSC "Dokumentarni sustavi"

DBMS

Sustav za upravljanje bazom podataka Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

Potvrda br. 3518

15.02.2016. 15.02.2019 Programski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu, a koji implementira funkcije kontrole pristupa, identifikacije i autentifikacije, registracija sigurnosnih događaja i u skladu sa zahtjevima TU serije LLC "Znanstvena i proizvodna unifikacija računalnih sustava"

Sustav za upravljanje bazom podataka Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Potvrda br. 2967

18.09.2013. 18.09.2019 Programski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu, a koji implementira funkcije kontrole pristupa, identifikacije i autentifikacije, registracija sigurnosnih događaja i ispunjava zahtjeve serije TU CJSC "Dokumentarni sustavi"

Uredski softverski sustavi

Programski paket Microsoft Office. Professional Plus 2016

Potvrda br. 3161

23.06.2014. 23.06.2020 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. serija CJSC "Klio"

Programski paket Microsoft Office. Professional Plus 2013

Potvrda br. 3161

23.06.2014. 23.06.2020 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu sa zahtjevima serije TU 5029-007-82487522-2013 CJSC "Kraljevski laboratorij informacijskih objekata"

Programski paket Microsoft Office. Standard 2007

Potvrda br. 1923

10/13/2009 10/13/2018 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama

Odgovara ST "Microsoft Office Standard 2007. Sigurnosni cilj. MS.Office_ST_2007.ST. Verzija 1.0", ima razinu ocjenjivanja pouzdanosti EAL 1 (poboljšano) u skladu sa smjernicama "Sigurnost informacijske tehnologije. Kriteriji za procjenu informacijske tehnologije sigurnost" (Državna tehnička komisija Rusije, 2002.) i može se koristiti za stvaranje automatiziranih sustava do uključivo sigurnosne klase 1G kada su zadovoljena ograničenja.

Ograničenja primjene:

• Pri korištenju programskog paketa moraju se poštivati ​​uvjeti navedeni za radno okruženje u sigurnosnom zadatku MS.Office 2007.ZB.
• Postavke i kontrolu sigurnosnih zaštitnih mehanizama potrebno je provoditi u skladu sa "Smjernicama za sigurnu konfiguraciju programskog paketa".
• Programski kompleks "Microsoft®Office. Standard 2007" mora proći postupak kontrole sukladnosti (verifikacije) s certificiranim standardom.
• Sva trenutna obavezna certificirana sigurnosna ažuriranja moraju biti instalirana na softverskom paketu.

Serija LLC "CBI"

Vatrozidi i pristupnici

Programski paket UserGate UTM

Potvrda br. 3905

23.03.2018 23.03.2021 Programska i hardverska zaštita od neovlaštenog pristupa podacima koji ne sadrže podatke koji predstavljaju državnu tajnu Odgovara:
Zahtjevi za vatrozid” (FSTEC Rusije, 2016.);
Firewall zaštitni profil tipa A četvrte klase zaštite. IT.ME.A4.P3”. (FSTEC Rusije, 2016.);
Zaštitni profil vatrozida tipa B četvrte klase zaštite. IT.ME.B4.PZ”. (FSTEC Rusije, 2016.);
Zahtjevi za sustave za otkrivanje upada" (FSTEC Rusije, 2011.);
Profil zaštite protuprovalnih sustava mrežne razine četvrtog razreda zaštite. IT.SOV.S4.P3” (FSTEC Rusije, 2012.).
Može se koristiti u sklopu automatiziranih sustava (AS) do sigurnosne klase 1G i informacijskih sustava osobnih podataka (ISPD) i državnih informacijskih sustava (GIS) do uključivo sigurnosne klase (razine). U skladu sa zahtjevima FSTEC-a, tijekom certificiranja je prošla kontrolu nepostojanja nedeklariranih sposobnosti na 4. razini kontrole. Serija JSC "NPO "Echelon"

Kontrole pristupa

DeviceLock 8 DLP Suite

Potvrda br. 3465

11/05/2015 11/05/2023 Programski paket dizajniran za zaštitu informacija od curenja, kontroliranje i bilježenje korisničkog pristupa uređajima, I/O priključcima i mrežnim protokolima. Programski paket u skladu je sa zahtjevima dokumenata "Zahtjevi za upravljačka sredstva prijenosnih strojnih nosača podataka, FSTEC Rusije", odobrenih Naredbom FSTEC Rusije od 28. srpnja 2014. N 87 za klasu zaštite 4 i "Profil zaštite za upravljačke uređaje za povezivanje prijenosnih strojnih nosača podataka četvrte klase zaštite (IT.SKN.P4.PZ)" (FSTEC Rusije, 2014.), upravljački dokument "Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za informacijsku sigurnost. Razvrstavanje prema razini kontrole odsutnosti nedeklariranih sposobnosti" (Državna tehnička komisija Rusije, 1999.) . Serija LLC "CBI"

Alati za sigurnosno kopiranje i oporavak

Acronis Backup & Recovery 11. Napredna radna stanica

Potvrda br. 2678

Acronis Backup & Recovery 11. Napredni poslužitelj

Potvrda br. 2677

16.07.2012. 16.07.2021 Programski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa podacima koji ne sadrže podatke koji predstavljaju državnu tajnu Sukladan je sa zahtjevima pravilnika „Zaštita od neovlaštenog pristupa informacije. Dio 1. Softver za informacijsku sigurnost. Razvrstavanje prema razini kontrole odsutnosti nedeklariranih sposobnosti" (Državna tehnička komisija Rusije, 1999.) - prema 4. razini kontrole i tehničkim uvjetima, a može se koristiti i za kreirati automatizirane sustave do uključivo sigurnosne klase 1G i za zaštitu informacija u osobnim podacima informacijske sustave do uključivo 1. klase. Serija LLC "CBI"

Antivirusni alati

Načini uništavanja podataka i kontrola brisanja podataka

Alati za sigurnosnu analizu

Programski kompleks RedCheck alat za sigurnosnu analizu

Potvrda br. 3172

23.06.2014. 23.06.2020. Suvremeni alat za sigurnosnu analizu koji pruža detaljne informacije o učinkovitosti mjera zaštite podataka u korporativnoj mreži i njezinim pojedinačnim elementima. U skladu je sa zahtjevima upravljačkog dokumenta "Zaštita od neovlaštenog pristupa informacijama. Dio I. Softver za informacijsku sigurnost. Klasifikacija prema razini kontrole odsutnosti nedeklariranih mogućnosti" (Državna tehnička komisija Rusije, 1999.) prema 4. razini kontrolnih i tehničkih uvjeta. serija LLC "CBI"

Alati za virtualizaciju

21.11.2016. 21.11.2019 Programski alat opće namjene s ugrađenim sredstvima zaštite od neovlaštenog pristupa podacima koji ne sadrže podatke koji predstavljaju državnu tajnu Sukladan zahtjevima tehničkih specifikacija uz pridržavanje danih uputa za uporabu u obliku ALMYu.501000.VMS06-01.30. serija LLC "CBI"

VMware Horizon 6 softverski paket (standardna, napredna i poslovna izdanja)

Potvrda br. 3660

21.11.2016. 21.11.2019 Programski alat opće namjene s ugrađenom zaštitom od neovlaštenog pristupa informacijama koje ne sadrže podatke koji predstavljaju državnu tajnu. U skladu je sa zahtjevima TS-a kada se slijede upute za rad dane u obrascu ALMYU.501000.VMX06-01.30. serija LLC "CBI"

Razmotrite približan popis radnji za certifikaciju u FSTEC-u Rusije.

1. Podnošenje zahtjeva za certifikaciju FSTEC-u Rusije.

   U prijavi se navodi:

   • Ime podnosioca
   • adresa podnositelja zahtjeva
   • naziv proizvoda koji podnositelj zahtjeva želi certificirati
   • popis normativnih i metodoloških dokumenata, za čiju usklađenost sa zahtjevima podnositelj zahtjeva mora certificirati svoje proizvode.
   • shema certifikacije (pojedinačan uzorak proizvoda ili serijska proizvodnja)
   • ispitni laboratorij u kojem podnositelj zahtjeva želi testirati
   • dodatne uvjete ili zahtjeve

   Podnositelj zahtjeva u prijavi naznačuje da se obvezuje:

   • ispuniti sve uvjete certifikacije;
   • osigurati stabilnost certificiranih svojstava proizvoda označenih znakom sukladnosti;
   • platiti sve troškove certificiranja.

   Važno: podnositelj zahtjeva mora imati FSTEC licencu za odgovarajuću vrstu djelatnosti!

   Primjer zahtjeva za certifikaciju programskog paketa prikazan je na slici 5.1.

2. Rješenje za certifikacijsko testiranje

   FSTEC u roku od mjesec dana od primitka zahtjeva podnositelju zahtjeva, imenovanom certifikacijskom tijelu i ispitnom laboratoriju dostavlja odluku o provođenju certifikacijskih ispitivanja koja sadrži sljedeće:

   • naziv podnositelja zahtjeva, adresa podnositelja zahtjeva;
   • naziv certificiranih proizvoda, OKP kod, TU;
   • shema certifikacije (ispitivanje jednog uzorka proizvoda / serije od N uzoraka / uzorka proizvoda za masovnu proizvodnju);
   • imenovani laboratorij za ispitivanje i njegovu adresu;
   • popis regulatornih i metodoloških dokumenata za usklađenost sa zahtjevima čije certificiranje treba provesti;
   • ispitni laboratorij određen za naknadni inspekcijski nadzor;
   • certifikacijsko tijelo imenovano za provođenje ispitivanja rezultata certifikacijskih ispitivanja;
   • način plaćanja rada.

   Certifikacijsko tijelo i ispitni laboratorij mogu se promijeniti u dogovoru s Kupcem. Odluka služi kao temelj za početak ispitivanja i "razlog" za sklapanje ugovora između Podnositelja i ispitnog laboratorija. Primjer odluke o provođenju certifikacije prikazan je na slici 5.2.

3. Sklapanje ugovora s ispitnim laboratorijem

   Ugovorom s ispitnim laboratorijem za certifikacijska ispitivanja utvrđuju se uvjeti, postupak provođenja certifikacijskih ispitivanja, kao i cijena rada. Obično ispitni laboratorij prvo pripremi komercijalnu ponudu s obrazloženjem uvjeta i cijene rada, te nacrt ugovora. Skup ugovorne dokumentacije u pravilu uključuje: ugovor, projektni zadatak za izvođenje radova, izjavu o učinku, protokol za ugovaranje cijene. Uz navedene informacije, preporuča se da ugovor predvidi stavke kao što su odgovornost za štetu na ispitnim uzorcima ili postupak obustave ispitivanja u slučaju bilo kakvih promjena.

4. Priprema početnih podataka.

   Ova faza uključuje izradu, koordinaciju i odobravanje programa i metodologije certifikacijskih ispitivanja.

   Ispitni laboratorij izrađuje program i metodologiju ispitivanja, prenosi podnositelju zahtjeva informacije o tome koji su podaci potrebni za ispitivanje. Također, program i metodologija šalju se certifikacijskom tijelu na odobrenje.

   Podnositelj zahtjeva od ispitnog laboratorija dobiva program i metodologiju ispitivanja, koordinira ga i priprema sve potrebne početne podatke. Ispitnom laboratoriju osigurava alate za informacijsku sigurnost u paketu koji udovoljava tehničkim specifikacijama ili obrascu, kao i komplet sve potrebne dokumentacije sukladno ESPD-u ili ESKD-u.

5. Certifikacijski testovi.

   Ispitni laboratorij odabire uzorke certificiranih proizvoda, identificira ih i provodi certifikacijska ispitivanja proizvoda prema odobrenom programu i metodologiji. Istodobno podnositelj zahtjeva priprema i postavlja postolje za certifikacijska ispitivanja. Važno je napomenuti da je tijekom ispitivanja zabranjeno mijenjati sastav ili dizajn objekta certificiranja, kao i dokumentaciju. To može dovesti do zaustavljanja testova i njihovog potpunog "ponovnog pokretanja", što će utjecati na cijenu i vrijeme rada.

6. Registracija rezultata ispitivanja

   Rezultati ispitivanja dokumentirani su u obliku izvješća o certifikacijskim ispitivanjima i tehničkih izvješća. Ti se dokumenti šalju certifikacijskom tijelu, a kopije podnositelju zahtjeva. U nedostatku razumnih primjedbi na rezultate koje je dostavio ispitni laboratorij od strane Podnositelja zahtjeva ili certifikacijskog tijela, njegov posao prema ugovoru smatra se obavljenim.

7. Sklapanje ugovora s certifikacijskim tijelom

   Ispitni laboratorij s certifikacijskim tijelom sklapa ugovor o ispitivanju rezultata certifikacijskih ispitivanja u kojem se utvrđuju rokovi (obično 1 mjesec), postupak i trošak. Ponekad certifikacijsko tijelo zahtijeva sklapanje ugovora s Podnositeljem zahtjeva, a ne s ispitnim laboratorijem. Ova točka je kontroverzna i nije regulirana. O ovom pitanju najbolje je prvo razgovarati s laboratorijem za ispitivanje.

8. Ispitivanje rezultata certifikacijskih ispitivanja

   Certifikacijsko tijelo, sukladno ugovoru, provodi ispitivanje rezultata certifikacijskih ispitivanja, te tehničke i pogonske dokumentacije za certificirane proizvode. Rezultat je izvršenje stručnog mišljenja, koje se, zajedno s tehničkim mišljenjem, materijalima certifikacijskih ispitivanja, skupom potrebne tehničke i operativne dokumentacije za objekt certificiranja, podnosi FSTEC-u Rusije radi donošenja odluke o izdavanju certifikata. .

9. odluka o izdavanju certifikata.

   Na temelju dokumenata primljenih od certifikacijskog tijela, odnosno tehničkog mišljenja i stručnog mišljenja, FSTEC donosi odluku o izdavanju certifikata. Kao što je gore navedeno, rok trajanja certifikata je 3 godine. Primjer potvrde o sukladnosti na slici 5.3.

Ako FSTEC kao rezultat inspekcije otkrije odstupanje između rezultata ispitivanja i zahtjeva zakonodavstva, donijet će se odluka o odbijanju izdavanja potvrde. U tom slučaju će se podnositelju zahtjeva poslati obrazloženo mišljenje. U slučaju neslaganja s odbijanjem, Podnositelj zahtjeva ima pravo podnijeti zahtjev Odboru za žalbe Federalnog certifikacijskog tijela za dodatno razmatranje certifikacijskih materijala. Žalba se razmatra u roku od mjesec dana uz sudjelovanje zainteresiranih strana i neovisnih stručnjaka. O odluci se obavještava žalitelj.

Zašto je potrebna certifikacija

Zašto vam je potrebna certifikacija softvera?

Pitanja zaštite povjerljivih podataka usko su isprepletena s interesima društva, pojedinca, gospodarstva i države. U naše vrijeme, u uvjetima formiranja jedinstvenog informacijskog prostora, oni su najvažniji dio zadataka koje rješavaju državna tijela, institucije i organizacije u razvoju, stvaranju, radu informacijskih sustava, baza podataka i banke osobnih podataka. informacijskih sustava.

Svaka država nastoji osigurati kontrolu nad informacijama koje se odnose na osiguranje nacionalne sigurnosti. I tako do softvera koji se donosi na tržište i koristi za izradu ključni sustavi informacijske infrastrukture, postoje posebni zahtjevi.

Sustavi ključne informacijske infrastrukture

Ovi ključni sustavi uključuju:

• informacijski sustavi tijela javne vlasti, upravnih tijela i struktura za provedbu zakona;
• informacijski sustavi financijsko-kreditnih i bankarskih djelatnosti;
• informacijski i telekomunikacijski sustavi za posebne namjene;
• komunikacijske mreže struktura za provedbu zakona;
• javne komunikacijske mreže u područjima koja nemaju pričuvne ili alternativne vrste komunikacije;
• automatizirani sustavi upravljanja napajanjem;
• automatizirani kontrolni sustavi za zemaljski i zračni prijevoz;
• automatizirani kontrolni sustavi za proizvodnju i transport nafte i plina;
• automatizirani sustavi za prevenciju i likvidaciju hitnih situacija;
• automatizirani sustavi upravljanja za industrije opasne po okoliš;
• automatizirani sustavi upravljanja vodoopskrbom;
• geografski i navigacijski sustavi.

A ovo nije potpuni popis. Ovi sustavi akumuliraju, obrađuju i prenose informacije vezane uz proizvodne, organizacijske, gospodarske, znanstvene, tehničke, kreditne, financijske i druge aktivnosti države. U nizu sustava i mreža cirkuliraju informacije operativnog dispečerstva i tehnološkog upravljanja, što određuje pouzdanost i sigurnost funkcioniranja cjelokupnog gospodarskog kompleksa Rusije i ima značajan utjecaj na osiguranje njegove nacionalne sigurnosti u informacijskoj sferi. Zato su ti sustavi ključni.

Kao rezultat toga, dobavljači softvera mora uzeti u obzir zahtjevi koje nameću međunarodni i nacionalni zakoni za informacijske sustave dizajnirane za rad s takvim informacijama.

Kako bi se potvrdilo da softver ispunjava ove zahtjeve, potrebni su postupci certifikacije!

Tko mora koristiti certificirani softver?

Sve državne organizacije, nedržavne organizacije koje rade s takozvanim "službenim informacijama državnih tijela", kao i niz drugih organizacija u skladu s ruskim zakonom (na primjer, organizacije koje podliježu relevantnim zahtjevima "Zakon o osobnim podacima").

Slijede izvaci iz zakonskih i regulatornih dokumenata iz kojih, zajedno, proizlazi potreba korištenja certificiranih alata za informacijsku sigurnost:

• U Saveznom zakonu 149 (FZ), članak 14, stavak 8 kaže se da "... tehnička sredstva namijenjena obradi informacija sadržanih u državnim informacijskim sustavima, uključujući softverske i hardverske alate i alate za sigurnost informacija, moraju biti u skladu sa zahtjevima zakonodavstva Ruske Federacije o tehničkoj regulativi"
• U Saveznom zakonu 184„O tehničkom propisu“ u čl.4. "federalne izvršne vlasti ovlaštene su izdavati obvezujuće akte u području tehničkih propisa, u slučajevima utvrđenim člankom 5."
• Članak 5. Saveznog zakona 184 odnosi se, između ostalog, na proizvode koji se koriste za zaštitu informacija klasificiranih kao zaštićenih u skladu sa zakonodavstvom Ruske Federacije za informacije s ograničenim pristupom (uključujući "službene informacije državnih tijela")
• Ovlašteno tijelo s pravom utvrđivanja obveznih zahtjeva za zaštitu podataka, acc. iz članka 15. Saveznog zakona 149 je FSTEC Rusije
• Konkretno, u uredbi STR-K(Posebni zahtjevi za zaštitu povjerljivih informacija) FSTEC Rusije je odobren
  • klauzula 2.3.“Zahtjevi i preporuke ovog dokumenta odnose se na zaštitu državnih informacijskih resursa nekriptografskim metodama čiji je cilj sprječavanje curenja zaštićenih informacija tehničkim kanalima, od neovlaštenog pristupa istima i od posebnih utjecaja na informacije u cilju uništavanja, iskrivljavanja i blokiraj."
  • klauzula 2.16. “U svrhu zaštite povjerljivih podataka koriste se informacijskosigurnosni alati certificirani za informacijsku sigurnost. Postupak certifikacije određen je zakonodavstvom Ruske Federacije.”
  • klauzula 2.17. "Objekti informatizacije moraju biti certificirani za zahtjeve informacijske sigurnosti u skladu s regulatornim dokumentima FSTEC-a Rusije i zahtjevima ovog dokumenta."
• Zakon Ruske Federacije N 5485-1 od 21. srpnja 1993. (“Zakon o državnoj tajni”) informacijsku sigurnost definira kao “sastavni dio informacijskog sustava ili proizvoda”.

U skladu s gore navedenim zakonima, relevantne organizacije (osobito državne) dužne su koristiti softver i hardver s certificiranim alatima za informacijsku sigurnost.

Certifikacijska tijela

Tko certificira softver u Ruskoj Federaciji?

U našoj zemlji postoji nekoliko različitih sustava certificiranja usmjerenih na različite vrste softvera (FSTEC, FSB, Ministarstvo obrane, itd.).

Glavni sustavi certificiranja za većinu softvera su sustavi certificiranja FSB i FSTEC.

• FSB certifikat je dizajniran za testiranje softverskih podsustava koji koriste kriptografsku zaštitu (u našoj zemlji dopušteni su samo ruski kriptografski algoritmi). Zahtjevi sustava FSB certifikacije nisu javni upoznavanje s njima zahtijeva prisutnost posebnih tolerancija.
• FSTEC certifikacija namijenjena je provjeri pružanja tehničke zaštite informacija nekriptografskim metodama. Zahtjevi FSTEC sustava certificiranja otvoreni su i objavljeni na službena stranica .

Trenutačni softverski proizvodi 1C-Bitrix ne sadrže ugrađene alate za kriptografsku zaštitu, tako da FSB certifikat za njih nije potreban. Dalje u tekstu govorimo samo o FSTEC certificiranju.

Što je certificirani proizvod u Ruskoj Federaciji?

Ruski sustav certificiranja bitno se razlikuje od sustava usvojenih u drugim zemljama za bolje. Svaka kopija softvera koja se prijavljuje za certifikat provjerava se na usklađenost s onom koja je izravno testirana tijekom certifikacije, odnosno na binarnoj razini sve certificirane kopije su potpuno identične. Službe odgovorne za cjelovitost ovih proizvoda mogu u svakom trenutku provjeriti ima li korisnik sve potrebne certificirane zakrpe i ažuriranja, kao i provjeriti da li na proizvodima nema necertificiranih promjena.

Ali prema uvjetima međunarodnog sustava certificiranja Common Criteria, svaka licencirana kopija softvera koja je prošla certifikaciju smatra se certificiranom - ne provjerava se identitet svake prodane kopije one koja je izravno certificirana. Ali na kraju krajeva, zakrpe i nove verzije programa redovito se objavljuju, a verzije softvera koje se danas isporučuju na tržište mogu se jednostavno razlikovati od instance testirane u to vrijeme, podnesene za dobivanje certifikata.

Svaka kopija certificiranog proizvoda 1C-Bitrix ima paket državnih dokumenata koji potvrđuju da je ovaj proizvod certificiran. Osim toga, postoji FSTEC holografska oznaka sukladnosti s jedinstvenim brojem koji identificira ovu instancu u državnom računovodstvenom sustavu za certificirane proizvode.

Svaka organizacija koja je kupila certificirane proizvode ima siguran pristup osobnoj stranici za tu organizaciju na specijaliziranoj web stranici, odakle će ova organizacija primati certificirana ažuriranja i druge informacije.

Što je FSTEC Rusije i koje su njegove funkcije?

FSTEC Rusije (do 2004. - Državna tehnička komisija Rusije) savezno je izvršno tijelo sa sljedećim ovlastima:

• osiguranje informacijske sigurnosti u ključnim sustavima informacijske i telekomunikacijske infrastrukture;
• suprotstavljanje stranim tehničkim obavještajnim podacima;
• osiguranje tehničke zaštite informacija nekriptografske metode;
• provedba kontrole izvoza.

U skladu s uredbom o FSTEC-u Rusije, jedna od njegovih glavnih zadaća je organizirati aktivnosti državnog sustava za suzbijanje tehničko-obavještajnih podataka i tehničku zaštitu informacija na saveznoj, međuregionalnoj, regionalnoj, sektorskoj i razini postrojenja, kao i upravljanje ovim državnim sustavom.

Svi regulatorni pravni akti i metodološki dokumenti izdani o aktivnostima FSTEC-a Rusije, obavezna od strane organa savezne državne vlasti i državne vlasti konstitutivnih subjekata Ruske Federacije, saveznih izvršnih vlasti, izvršnih vlasti konstitutivnih subjekata Ruske Federacije, lokalnih vlasti i organizacija.

Kako se provodi FSTEC certifikacija?

FSTEC je samo organizator certificiranja i usluga kontrole na najvišoj razini. Izvršite trenutne radnje Davatelji licenci FSTEC-a– ispitni laboratoriji i stručne organizacije. Prvi izravno provode istraživanje softvera, dok se drugi bave provjerom kvalitete tih testova.

Kupac ima pravo izabrati ispitni laboratorij (uz suglasnost FSTEC-a), ali FSTEC samostalno imenuje stručnu organizaciju za provjeru rezultata.

Dakle, s jedne strane, postoji konkurentsko okruženje kada se ispitni laboratoriji bore za klijenta (trošak testiranja, vrijeme itd.), s druge strane, kvalitetu testova jasno provjeravaju neovisni stručnjaci.

Po analogiji, FSB sustav certificiranja također funkcionira.

Osim toga, u sustavu certificiranja FSTEC također postoji institut podnositelja zahtjeva. Ove tvrtke surađuju izravno s ispitnim laboratorijima i stručnim organizacijama, oni su ti koji uspoređuju kopije prodanih proizvoda radi usklađenosti s njihovim certificiranim uzorkom. Također izdaju isprave utvrđenog obrasca za svaki primjerak proizvoda koji su prošli usporedbu te vode evidenciju o takvim proizvodima.

Podnositelji zahtjeva snose troškove provjere proizvoda, izdavanja odgovarajućih dokumenata, vođenja evidencije o certificiranim proizvodima (gdje se i u kakvom stanju ti proizvodi nalaze), u nekim slučajevima, prema dogovoru s vlasnicima proizvoda, također certificiraju sve zakrpe o vlastitom trošku. .

Certifikacija 1C-Bitrix proizvoda

S kojim organizacijama 1C-Bitrix surađuje u procesu certifikacije i u kojem obliku?

Trenutno 1C-Bitrix surađuje s tvrtkom. Ova tvrtka je djelovala u sljedećoj ulozi:

Podnositelj zahtjeva, koji je

a. obavlja sve organizacijske poslove vezane uz certifikaciju;

b. snosi troškove stalnog evidentiranja ovjerenih kopija proizvoda;

c. izravno prodaje certificirane softverske proizvode "1C-Bitrix".

Je li dovoljno koristiti certificirane 1C-Bitrix proizvode za konačnu certifikaciju informacijskog sustava?

Naravno da ne. Korištenje certificiranog softvera nužan je, ali ne i dovoljan uvjet za konačnu certifikaciju informacijskog sustava korisnika.

Prvo, u pravilu certificirani proizvod radi u IT infrastrukturi. Za proizvode 1C-Bitrix ovo je operativni sustav web poslužitelja i poslužitelja baze podataka, DBMS poslužitelja, web poslužitelja, PHP interpretera, PHP predkompilatora itd. Sukladno tome, sigurnost cjelokupnog sustava može se postići samo sigurnošću svih njegovih komponenti, što je također određeno postojanjem odgovarajućih certifikata na njima.

Drugo, tijekom faze implementacije mogu se napraviti promjene na proizvodu koje također mogu smanjiti sigurnost sustava u cjelini, a te promjene također moraju biti testirane i validirane.

Treće, skup certificiranih verzija proizvoda uključuje popis preporuka za njihovu instalaciju i korištenje. Ove preporuke izrađuju se u ispitnom laboratoriju i pridržavanje istih jamči najbolju i primjerenu razinu zaštite zahtjevima kupaca. Ove su smjernice obavezne.

Stoga je u svakom slučaju neophodna završna certifikacija informacijskog sustava za usklađenost sa zahtjevima FSTEC-a i (ili) FSB-a.

Korištenje certificiranih verzija omogućuje vam da značajno uštedite na postupku konačne certifikacije informacijskog sustava i (ili) radnih mjesta za njihovu usklađenost sa zahtjevima za zaštitu podataka određene kategorije, iako ne podrazumijeva automatsku certifikaciju. Ako se koristi necertificirani softver, bit će potrebno kupiti i implementirati dodatne certificirane alate za zaštitu, što može znatno povećati troškove certifikacije.

Kako i kada korisnici dobivaju ažuriranja certificiranih proizvoda?

Prilikom izdavanja bilo kojeg ažuriranja proizvoda potrebno je njegovo certificiranje, u protivnom, instaliranjem necertificiranog ažuriranja krajnji korisnik narušava integritet informacijskog sigurnosnog sustava i informacijski sigurnosni sustav gubi certificirani status.

Sva ažuriranja se testiraju u laboratoriju za testiranje. Nadalje, sva certificirana ažuriranja postaju dostupna na Portalu certificiranih ažuriranja grupe SIS. U pravilu, ovaj postupak traje od nekoliko dana do nekoliko tjedana.

Međutim, u pravilu, s obzirom na konzervativnost kupaca certificiranih verzija i njihove interne procedure odobravanja, takva odgoda nije kritična, a certificiranje ažuriranja je točno na vrijeme do donošenja odluke.

U certificiranim verzijama proizvoda 1C-Bitrix ne koristi se standardni sustav ažuriranjaSiteUpdate putem Interneta jer ta ažuriranja nisu certificirana. Certificirana ažuriranja mogu se dobiti u sigurnom dijelu web stranice Certified Information Systems Group, gdje svaki korisnik ima osobni račun s dostupnim ažuriranjima.

Prilikom preuzimanja certificiranih ažuriranja, korisnik ih preuzima kao datoteke u posebnom dijaloškom okviru sustava ažuriranja