Certificarea în Serviciul Federal de Control Tehnic și Export (FSTEC) se efectuează atunci când este necesar să se confirme conformitatea produselor dezvoltate cu cerințele de securitate a informațiilor.
Laboratorul de testare al CJSC „IBTrans” testează software în sistemul de certificare a instrumentelor de securitate a informațiilor pentru cerințele de securitate a informațiilor de mai bine de zece ani. Testele sunt efectuate pentru conformitatea cu cerințele documentelor de reglementare ale Comisiei Tehnice de Stat a Rusiei și includ inspecții ale produselor și documentație pentru aceasta.
În transportul feroviar, de regulă, verificările software sunt efectuate conform cerințelor documentului de reglementare „Protecția împotriva accesului neautorizat la informații Partea 1. Software-ul instrumentelor de securitate a informațiilor. Clasificarea după nivelul de control al absenței capacităților nedeclarate.
Voința solicitantului
Pregătirea documentației programului în conformitate cu GOST ESPD (ESKD)
Disponibilitatea codurilor sursă software
Disponibilitatea unui software complet funcțional (versiunea de software stabilă)
*Solicitantul este o organizație de dezvoltatori de software, utilizator de software, reprezentant oficial al unei companii străine de dezvoltare din Federația Rusă, care solicită certificarea software
Colectarea de informații
Definirea numelui și a denumirii produsului software
Determinarea cantității de cod sursă care trebuie analizată pentru absența NDV
Adrese pentru testarea software-ului
Instrumente de dezvoltare hardware și software
*NDV - oportunitate nedeclarată
Transferul de informații
Solicitantul se adresează la laboratorul de testare cu informațiile colectate. Laboratorul de incercari, pe baza datelor obtinute, evalueaza posibilitatea realizarii lucrarii, timpul si costul.
*Laborator de testare - o organizație acreditată de FSTEC din Rusia pentru testarea de certificare a instrumentelor de securitate a informațiilor.
Ofertă comercială
Laboratorul de încercări formează o ofertă comercială indicând succesiunea lucrărilor, procedura de calcul, costul și timpul de testare, justificată de documentele de reglementare și practica de lucru.
Pregatirea Aplicatiei
Solicitantul (cu suport informațional din partea Laboratorului de Testare) întocmește o „Cerere de certificare a software-ului pentru absența capacităților nedeclarate” pe un antet cu ștampila organizației și o trimite la FSTEC din Rusia.
Informații conținute în cerere: adresa; numele și detaliile bancare ale Solicitantului; denumirea produselor supuse certificării; schema de certificare; cerințele de conformitate cu care se efectuează certificarea; adresa laboratorului de testare preferat.
Puteți descărca formularul de cerere de certificare AICI.
*FSTEC din Rusia - Organismul Federal de Certificare a Produselor pentru cerințele de securitate a informațiilor
Obținerea unei decizii
Organismul Federal de Certificare (FSTEC din Rusia) ia în considerare cererea de certificare în termen de o lună, determină schema de certificare a instrumentelor de securitate a informațiilor, laboratorul de testare, ținând cont de propunerile solicitantului și numește organismul de certificare.
Pe baza rezultatelor examinării cererii, FSTEC din Rusia trimite solicitantului, organismului de certificare și laboratorului de testare desemnat pentru certificare, Deciziile privind cererea de certificare. Decizia de Certificare specifică denumirea produsului, schema de certificare, Laboratorul de Testare care testează produsele și Organismul de Certificare care controlează procesul de certificare.
*Organism de certificare - o organizație (persoană) autorizată care monitorizează progresul testelor și efectuează o examinare a materialelor de testare de certificare
Încheierea unui acord
Coordonarea tuturor condițiilor de muncă între Solicitant și Laboratorul de Testare. Pe baza consultărilor dintre părți, se formează un program de lucru. Semnarea contractului determină începerea testelor de certificare.
În plus, se încheie un acord cu Organismul de Certificare pentru examinarea materialelor de testare. Un acord cu Organismul de Certificare poate fi încheiat atât de către Laboratorul de Testare, cât și de către Solicitant. Opțiunea recomandată este încheierea unui acord între Laboratorul de Testare și Organismul de Certificare.
Analiza documentatiei
Transferul de către Solicitant a documentației programului pentru produsul supus testării de certificare către Laboratorul de Testare.
Documentația programului include următoarea listă de documente, elaborată ținând cont de cerințele standardelor ESPD (ESKD):
Formular (GOST 19.501-78)
Specificație (GOST 19.202-78)
Descrierea programului (GOST 19.402-78)
Descrierea aplicației (GOST 19.502-78)
Textul programului (GOST 19.401-78)
Dezvoltarea unui program de testare
Pe baza rezultatelor analizei documentației, specialiștii Laboratorului de Încercări elaborează un „Program și Metodologie pentru Efectuarea Testelor de Certificare” a produsului.
Programul și metodologia de testare determină succesiunea verificărilor efectuate de specialiștii de laborator pentru a evalua conformitatea unui produs software cu cerințele documentelor de reglementare relevante ale FSTEC din Rusia.
Programul de testare și metodologia sunt convenite cu Solicitantul și aprobate de Organismul de Certificare.
Dacă produsul certificat este dezvoltat cu participarea unei organizații străine, Programul și Metodele de testare sunt convenite suplimentar cu organismul federal de certificare.
Testare
După ce au convenit Programul și Metodologia de testare, specialiștii de laborator încep să testeze produsul software. Testele includ următorii pași principali:
analiza documentației software,
remedierea stării inițiale a software-ului,
testarea produselor software (testarea statică a codului sursă, analiză dinamică)
Specialiștii Laboratorului de Testare vizitează locul de testare (în organizația care dezvoltă produsul software)
Rezultatele testului
Pe baza rezultatelor tuturor inspecțiilor produselor certificate, laboratorul de testare formează un pachet de documente, inclusiv:
rapoarte de testare a produselor,
concluzie tehnica,
acte de eșantionare, versiuni software și alte documente.
Întregul pachet de documente, inclusiv documentația de program a Solicitantului, este transmis Organismului de Certificare pentru examinare. Avizul tehnic al Laboratorului de Testare se transmite Solicitantului.
Sisteme de operare „Microsoft Windows 8.1”, „Microsoft Windows 8.1 Professional”, „Microsoft Windows 8.1 Enterprise”
Certificat nr. 3263
07/11/2014 07/11/2020 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. Respectați cerințele documentului de guvernare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - în conformitate cu clasa a 5-a de securitate, cu condiția ca toate cele relevante se instalează actualizări de securitate certificate obligatorii și se respectă instrucțiunile de operare, date în formularele 501110-001-82487552-2014 03 FO și 501110-001-82487552-2014 02 FO.
Restricții de aplicare
- Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul de configurare a sistemului”.
- Pachetul software trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
Sistem de operare Microsoft Windows 7 (SP1) în edițiile Professional, Enterprise și Ultimate
Certificat Nr. 2180/1
04.10.2011 04.10.2020 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. Respectați cerințele documentului de guvernare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - conform clasei de securitate a 5-a și poate fi utilizat la crearea sisteme automatizate până la clasa de securitate 1G inclusiv și la crearea sistemelor de informații cu date cu caracter personal până la clasa 2 inclusiv.
Restricții de aplicare:
Sisteme de operare pentru server
Pachetul software „Microsoft Windows Server 2012 Standard”
Certificat nr. 2949
09.06.2013 09.05.2019 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații Conform cerințelor documentului de reglementare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva acces neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - conform clasei a 5-a de securitate, cu condiția ca toate actualizările de securitate certificate obligatorii să fie instalate și instrucțiunile de operare date în formularele 501110-002-82487552-2013 01 St FO si 501110-002-82487552-2013 02 St FO sunt urmate.
Restricții de aplicare
- Complexul software „Microsoft Windows Server 2012 Standard” trebuie să treacă prin procedura de control al conformității (verificarea) cu standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
Pachetul software „Microsoft Windows Server 2012 Datacenter”
Certificat nr. 2950
06.09.2013 06.09.2019 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații Conform cerințelor documentului de reglementare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva acces neautorizat la informații” (Comisia Tehnică de Stat a Rusiei, 1992) - conform clasei de securitate 5 și poate fi utilizat la crearea de sisteme automate până la clasa de securitate 1G inclusiv și la crearea de sisteme de informații cu date personale până la clasa 3 inclusiv.
Restricții de aplicare
- Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul pentru configurarea pachetului software”.
- Complexul software „Microsoft Windows Server 2012 Datacenter” trebuie să treacă prin procedura de control al conformității (verificarea) cu standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
Pachetul software „Microsoft Windows Server 2008 Standard Edition”
Certificat nr. 1928
Restricții de aplicare
- Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul pentru configurarea pachetului software”.
- Complexul software „Microsoft Windows Server 2008 Standard Edition” trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
Pachetul software „Microsoft Windows Server 2008 Standard Edition Service Pack 2”
Certificat Nr. 1928/1
Pachetul software „Microsoft Windows Server 2008 Enterprise Edition”
Certificat nr. 1929
27.10.2009 26.10.2018 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații Conform cerințelor documentului de reglementare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva acces neautorizat la informații” (Comisia Tehnică de Stat a Rusiei, 1992) - conform clasei de securitate 5 și poate fi utilizat la crearea de sisteme automate până la clasa de securitate 1G inclusiv și la crearea de sisteme de informații cu date personale până la clasa 3 inclusiv.
Restricții de aplicare
- Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul pentru configurarea pachetului software”.
- Complexul software „Microsoft Windows Server 2008 Enterprise Edition” trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
Pachetul software „Microsoft Windows Server 2008 Enterprise Edition Service Pack 2”
Certificat Nr. 1929/1
14.05.2010 14.05.2019 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații Conform cerințelor documentului de reglementare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva acces neautorizat la informații” (Comisia Tehnică de Stat a Rusiei, 1992) - conform clasei de securitate 5 și poate fi utilizat la crearea de sisteme automatizate până la clasa de securitate 1G inclusiv și la crearea sistemelor de informații cu date personale până la clasa 2 inclusiv. seria SA „Sisteme documentare”
Sistem de operare Microsoft Windows Server 2008 R2 (SP1) în edițiile Standard, Enterprise și Datacenter
Certificat Nr. 2181/1
13.10.2011 13.10.2020 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. Respectați cerințele documentului de guvernare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - conform clasei de securitate a 5-a și poate fi utilizat la crearea sisteme automatizate până la clasa de securitate 1G inclusiv și la crearea sistemelor de informații cu date cu caracter personal până la clasa 2 inclusiv.
Restricții de aplicare:
1. Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul de configurare a sistemului”.
2. Pachetul software trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
3. Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software. seria SA „Sisteme documentare”
Pachetul software „Microsoft Windows Server 2008 Datacenter Edition”
Certificat nr. 1930
29.10.2009 28.10.2018 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații. Conform cerințelor documentului de reglementare „Facilități informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva acces neautorizat la informații” (Comisia Tehnică de Stat a Rusiei, 1992) - conform clasei de securitate 5 și poate fi utilizat la crearea de sisteme automate până la clasa de securitate 1G inclusiv și la crearea de sisteme de informații cu date personale până la clasa 3 inclusiv.
Restricții de aplicare
- Setările și controlul mecanismelor de protecție a securității trebuie efectuate în conformitate cu „Ghidul pentru configurarea pachetului software”.
- Complexul software „Microsoft Windows Server 2008 Datacenter Edition” trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
SGBD
Sistem de gestionare a bazelor de date Microsoft SQL Server 2014 (Ediția Enterprise, Ediția Standard, Business Intelligent, Web Express, Express cu instrumente)
Certificat nr. 3518
15.02.2016 15.02.2019 Un instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat, implementând funcțiile de control acces, identificare și autentificare, înregistrare a evenimentelor de securitate și respectă cerințele seriei TU LLC „Unificarea științifică și de producție a sistemelor de calcul”
Sistem de gestionare a bazelor de date Microsoft SQL Server 2012 (Ediția Enterprise, Ediția Standard, Ediția Business Intelligent, Ediția Web)
Certificat nr. 2967
18.09.2013 18.09.2019 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat, implementând funcțiile de control acces, identificare și autentificare, înregistrarea evenimente de securitate și îndeplinește cerințele seriei TU a CJSC „Sisteme documentare”
Sisteme software de birou
Pachetul software Microsoft Office. Professional Plus 2016
Certificat nr. 3161
23.06.2014 23.06.2020 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. seria CJSC "Klio"
Pachetul software Microsoft Office. Professional Plus 2013
Certificat nr. 3161
23.06.2014 23.06.2020 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. Respectă cerințele TU 5029-007-82487522-2013 seria CJSC „Royal Laboratory of Information Objects”
Pachetul software Microsoft Office. Standard 2007
Certificat nr. 1923
13.10.2009 13.10.2018 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații
Corespunde ST „Microsoft Office Standard 2007. Security Target. MS.Office_ST_2007.ST. Versiunea 1.0”, are un nivel de evaluare de încredere EAL 1 (îmbunătățit) în conformitate cu ghidul „Securitatea tehnologiei informației. Criterii de evaluare a tehnologiei informației”. securitate” (Comisia tehnică de stat a Rusiei, 2002) și poate fi utilizat pentru a crea sisteme automate până la clasa de securitate 1G inclusiv atunci când sunt îndeplinite restricțiile.
Restricții de aplicare:
- Când utilizați pachetul software, trebuie respectate condițiile specificate pentru mediul de operare în sarcina de securitate MS.Office 2007.ZB.
- Setarile si controlul mecanismelor de protectie a securitatii trebuie efectuate in conformitate cu "Instructiunile pentru configurarea securizata a pachetului software".
- Complexul software „Microsoft®Office. Standard 2007” trebuie să treacă procedura de control (verificare) a conformității la standardul certificat.
- Toate actualizările de securitate certificate obligatorii curente trebuie instalate pe pachetul software.
Firewall-uri și gateway-uri
Pachetul software UserGate UTM
Certificat nr. 3905
23.03.2018 23.03.2021 Protecție software și hardware împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat Corespunde cu:
Cerințe pentru firewall-uri” (FSTEC din Rusia, 2016);
Profil de protecție firewall tip A din clasa a patra de protecție. IT.ME.A4.P3”. (FSTEC din Rusia, 2016);
Profil de protecție firewall tip B din clasa a patra de protecție. IT.ME.B4.PZ”. (FSTEC din Rusia, 2016);
Cerințe pentru sistemele de detectare a intruziunilor” (FSTEC din Rusia, 2011);
Profilul de protecție al sistemelor de detectare a intruziunilor de la nivelul rețelei din clasa a patra de protecție. IT.SOV.S4.P3” (FSTEC din Rusia, 2012).
Poate fi utilizat ca parte a sistemelor automate (AS) până la clasa de securitate 1G și a sistemelor de informații cu date personale (ISPD) și a sistemelor informatice de stat (GIS) până la clasa de securitate (nivel) inclusiv. În conformitate cu cerințele FSTEC, în timpul certificării, a fost trecut controlul absenței capacităților nedeclarate la nivelul 4 de control. Seria SA „NPO „Echelon”
Controale de acces
Suita DeviceLock 8 DLP
Certificat nr. 3465
05/11/2015 05/11/2023 Un pachet software conceput pentru a proteja informațiile de scurgeri, controlând și înregistrând accesul utilizatorilor la dispozitive, porturi I/O și protocoale de rețea. Pachetul software respectă cerințele documentelor „Cerințe pentru mijloacele de control ale suporturilor de date a mașinilor amovibile, FSTEC din Rusia”, aprobate prin Ordinul FSTEC din Rusia din 28 iulie 2014 N 87 - pentru clasa a 4-a de protecție și „ Profilul de protecție a mijloacelor de control pentru conectarea suporturilor de date amovibile ale mașinii din clasa a patra de protecție (IT.SKN.P4.PZ)" (FSTEC din Rusia, 2014), documentul de guvernare "Protecția împotriva accesului neautorizat la informații. Partea 1. Software de securitate a informațiilor.Clasificarea după nivelul de control al absenței capacităților nedeclarate” (Comisia Tehnică de Stat a Rusiei, 1999) . Seria LLC „CBI”
Instrumente de backup și recuperare
Acronis Backup & Recovery 11. Stație de lucru avansată
Certificat nr. 2678
Acronis Backup & Recovery 11. Server avansat
Certificat nr. 2677
16.07.2012 16.07.2021 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat Îndeplinește cerințele documentului de reglementare „Protecția împotriva accesului neautorizat la Informații. Partea 1. Software de securitate a informațiilor. Clasificarea în funcție de nivelul de control al absenței capacităților nedeclarate" (Comisia Tehnică de Stat a Rusiei, 1999) - în conformitate cu al 4-lea nivel de control și condiții tehnice și poate fi, de asemenea, utilizat pentru să creeze sisteme automatizate până la clasa de securitate 1G inclusiv și să protejeze informațiile din sistemele de informații cu date cu caracter personal până la clasa 1 inclusiv. Seria LLC „CBI”
Instrumente antivirus
Mijloace de distrugere a datelor și de control al ștergerii informațiilor
Instrumente de analiză a securității
Complex de software RedCheck instrument de analiză de securitate
Certificat nr. 3172
23.06.2014 23.06.2020 Un instrument modern de analiză a securității care oferă informații detaliate despre eficacitatea măsurilor de protecție a informațiilor dintr-o rețea corporativă și a elementelor sale individuale. Respectă cerințele documentului de guvernare "Protecția împotriva accesului neautorizat la informații. Partea I. Software de securitate a informațiilor. Clasificarea după nivelul de control al absenței capacităților nedeclarate" (Comisia Tehnică de Stat a Rusiei, 1999) - conform celui de-al 4-lea nivelul de control și condițiile tehnice. seria LLC "CBI"
Instrumente de virtualizare
21.11.2016 21.11.2019 Instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat Respectă cerințele specificațiilor tehnice atunci când respectă instrucțiunile de utilizare date sub forma ALMYu.501000.VMS06-01.30. seria LLC "CBI"
Pachetul software VMware Horizon 6 (ediții standard, avansate și enterprise)
Certificat nr. 3660
21.11.2016 21.11.2019 Instrument software de uz general cu protecție încorporată împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. Respectă cerințele TS atunci când urmează instrucțiunile de operare date în formularul ALMYU.501000.VMX06-01.30. seria LLC "CBI"
Luați în considerare o listă aproximativă de acțiuni pentru certificare în FSTEC din Rusia.
- Depunerea unei cereri de certificare la FSTEC din Rusia.
Aplicatia specifica:
- numele aplicantului
- adresa solicitantului
- denumirea produsului pe care Solicitantul dorește să-l certifice
- o listă de documente normative și metodologice pentru care solicitantul trebuie să își certifice produsele pentru conformitatea cu cerințele.
- schema de certificare (probă unică de produs sau producție în serie)
- laboratorul de testare unde Solicitantul ar dori să testeze
- condiții sau cerințe suplimentare
Solicitantul indică în cerere că se angajează:
- îndeplinește toate condițiile de certificare;
- asigura stabilitatea caracteristicilor certificate ale produselor marcate cu marca de conformitate;
- plătiți toate costurile pentru certificare.
Important: solicitantul trebuie să aibă licență FSTEC pentru tipul relevant de activitate!
Un exemplu de aplicație pentru certificarea unui pachet software este prezentat în Figura 5.1.
- Soluție pentru testarea certificării
FSTEC, în termen de o lună de la primirea cererii, transmite Solicitantului, organismului de certificare desemnat și laboratorului de testare o decizie de a efectua teste de certificare, care conține următoarele:
- numele solicitantului, adresa solicitantului;
- denumirea produselor certificate, codul OKP, TU;
- schema de certificare (testarea unui singur eșantion de produs / lot de N eșantioane / eșantion de produs pentru producție în masă);
- laboratorul de testare desemnat și adresa acestuia;
- o listă de documente de reglementare și metodologice pentru conformitatea cu cerințele a căror certificare trebuie efectuată;
- laborator de testare desemnat pentru controlul inspecției ulterioare;
- un organism de certificare desemnat să efectueze o examinare a rezultatelor testelor de certificare;
- metoda de plata a muncii.
Organismul de certificare și laboratorul de testare pot fi schimbate de comun acord cu Clientul. Decizia servește drept bază pentru începerea testării și „motivul” pentru încheierea unui acord între Solicitant și laboratorul de testare. Un exemplu de decizie de a efectua certificarea este prezentat în Figura 5.2.
- Încheierea unui acord cu un laborator de testare
Contractul cu laboratorul de încercări pentru teste de certificare stabilește termenii, procedura de efectuare a testelor de certificare, precum și costul lucrărilor. De obicei, laboratorul de testare pregătește mai întâi o ofertă comercială cu o justificare a termenilor și costului lucrării, precum și un proiect de contract. De regulă, setul de documente contractuale include: un contract, termeni de referință pentru lucrare, o declarație de performanță, un protocol pentru stabilirea unui preț. În plus față de informațiile specificate, se recomandă ca contractul să prevadă articole precum răspunderea pentru deteriorarea probelor de testat sau procedura de suspendare a testelor în cazul oricăror modificări.
- Pregătirea datelor inițiale.
Această etapă include elaborarea, coordonarea și aprobarea programului și metodologiei testelor de certificare.
Laboratorul de testare elaborează un program și o metodologie de testare, transferă solicitantului informații despre ce date sunt necesare pentru testare. De asemenea, programul și metodologia sunt transmise organismului de certificare pentru aprobare.
Solicitantul primește de la laboratorul de testare un program și o metodologie de testare, o coordonează și pregătește toate datele inițiale necesare. El oferă laboratorului de testare instrumente de securitate a informațiilor într-un pachet care îndeplinește specificațiile tehnice sau un formular, precum și un set de toată documentația necesară în conformitate cu ESPD sau ESKD.
- Teste de certificare.
Laboratorul de testare selectează mostre de produse certificate, le identifică și efectuează teste de certificare a produselor conform programului și metodologiei aprobate. Totodată, Solicitantul pregătește și amenajează un stand pentru testele de certificare. Este important de reținut că este interzisă modificarea compoziției sau designului obiectului de certificare, precum și a documentației în timpul testelor. Acest lucru poate duce la oprirea testelor și la „repornirea completă” a acestora, ceea ce va afecta costul și calendarul lucrării.
- Înregistrarea rezultatelor testelor
Rezultatele testelor sunt documentate sub formă de rapoarte de testare de certificare și rapoarte tehnice. Aceste documente sunt trimise organismului de certificare, iar copii - Solicitantului. În absența unor comentarii rezonabile cu privire la rezultatele furnizate de laboratorul de testare din partea Solicitantului sau a organismului de certificare, activitatea acestuia în temeiul contractului este considerată finalizată.
- Încheierea unui acord cu un organism de certificare
Laboratorul de testare încheie un acord cu organismul de certificare privind examinarea rezultatelor testelor de certificare, care specifică termenii (de obicei 1 lună), procedura și costul. Uneori, organismul de certificare cere să încheie un acord cu Solicitantul, și nu cu laboratorul de testare. Acest punct este controversat și nu este reglementat. Această problemă este cel mai bine discutată inițial cu laboratorul de testare.
- Examinarea rezultatelor testelor de certificare
Organismul de certificare, în conformitate cu contractul, efectuează o examinare a rezultatelor testelor de certificare, precum și a documentelor tehnice și operaționale pentru produsele certificate. Rezultatul este executarea unei opinii de expertiză, care, împreună cu o opinie tehnică, materialele testelor de certificare, un set de documentație tehnică și operațională necesară pentru obiectul de certificare, este prezentată FSTEC din Rusia pentru decizia de eliberare a unui certificat. .
- decizie de eliberare a unui certificat.
Pe baza documentelor primite de la organismul de certificare, respectiv avizul tehnic și avizul expertului, FSTEC ia decizia de eliberare a unui certificat. După cum am menționat mai sus, durata certificatului este de 3 ani. Un exemplu de certificat de conformitate în Figura 5.3.
Dacă, în urma inspecției, FSTEC relevă o discrepanță între rezultatele testelor și cerințele legislației, se va lua decizia de a refuza eliberarea unui certificat. În acest caz, Solicitantului i se va transmite un aviz motivat. În caz de dezacord cu refuzul, solicitantul are dreptul de a se adresa Comisiei de Apel a Organismului Federal de Certificare pentru o examinare suplimentară a materialelor de certificare. Contestația se examinează în termen de o lună cu implicarea părților interesate și a experților independenți. Contestatorului i se aduce la cunoștință decizia.
De ce este nevoie de certificare
De ce aveți nevoie de certificare software?
Problemele de protecție a informațiilor confidențiale sunt strâns legate de interesele societății, ale individului, ale afacerilor și ale statului. În epoca noastră, în condițiile formării unui spațiu informațional unic, ele reprezintă cea mai importantă parte a sarcinilor rezolvate de organele, instituțiile și organizațiile de stat în dezvoltarea, crearea, operarea sistemelor informaționale, a bazelor de date și a unei bănci de date personale. a sistemelor informatice.
Orice stat urmărește să asigure controlul asupra informațiilor legate de asigurarea securității naționale. Și așa la software-ul care este adus pe piață și folosit pentru a construi sisteme cheie infrastructura informațională, există cerințe speciale.
Sisteme de infrastructură informațională cheie
Aceste sisteme cheie includ:
- sistemele informaționale ale autorităților publice, organelor de conducere și structurilor de aplicare a legii;
- sisteme informatice ale activitatilor financiar-creditare si bancare;
- Sisteme de informare si telecomunicatii pentru scopuri speciale;
- rețelele de comunicații ale structurilor de drept;
- rețele publice de comunicații în zone care nu dispun de tipuri de comunicare de rezervă sau alternative;
- sisteme automate de control al alimentării cu energie electrică;
- sisteme de control automate pentru transport terestre și aerian;
- sisteme de control automate pentru producția și transportul de petrol și gaze;
- sisteme automatizate pentru prevenirea și lichidarea situațiilor de urgență;
- sisteme de control automate pentru industriile periculoase pentru mediu;
- sisteme automate de management al alimentării cu apă;
- sisteme geografice și de navigație.
Și aceasta nu este o listă completă. Aceste sisteme acumulează, procesează și transmit informații legate de activitățile de producție, organizatorice, economice, științifice, tehnice, de credit, financiare și de altă natură ale statului. Într-o serie de sisteme și rețele circulă informații de expediere operațională și control tehnologic, care determină fiabilitatea și siguranța funcționării întregului complex economic al Rusiei și are un impact semnificativ asupra asigurării securității naționale a acesteia în sfera informațională. De aceea aceste sisteme sunt cheie.
Ca rezultat, furnizorii de software trebuie să țină cont cerințele impuse de legile internaționale și naționale privind sistemele informaționale concepute să funcționeze cu astfel de informații.
Pentru a verifica dacă software-ul îndeplinește aceste cerințe, sunt necesare proceduri de certificare!
Cine este obligat să utilizeze software certificat?
Toate organizațiile de stat, organizațiile nestatale care lucrează cu așa-numitele „informații oficiale ale organismelor de stat”, precum și o serie de alte organizații în conformitate cu legislația rusă (de exemplu, organizații supuse cerințelor relevante „Legea datelor cu caracter personal”).Mai jos sunt extrase din documente legislative și de reglementare, din care, în ansamblu, reiese necesitatea utilizării instrumentelor certificate de securitate a informațiilor:
- În Legea federală 149 (FZ), articolul 14, clauza 8 se spune că „... mijloacele tehnice destinate procesării informațiilor conținute în sistemele informaționale de stat, inclusiv instrumentele software și hardware și instrumentele de securitate a informațiilor, trebuie să respecte cerințele legislației Federației Ruse privind reglementările tehnice”
- În Legea federală 184„Cu privire la reglementarea tehnică” la articolul 4. „Autoritățile executive federale sunt împuternicite să emită acte obligatorii în domeniul reglementării tehnice, în cazurile stabilite de art. 5”.
- Articolul 5 din Legea federală 184 se referă, printre altele, la produsele utilizate pentru protejarea informațiilor clasificate drept protejate în conformitate cu legislația Federației Ruse privind accesul restricționat la informații (inclusiv „informații oficiale ale organismelor de stat”)
- Un organism autorizat cu dreptul de a stabili cerințe obligatorii pentru protecția informațiilor, conform. din articolul 15 din Legea federală 149 este FSTEC al Rusiei
- În special, în regulament STR-K(Cerințe speciale pentru protecția informațiilor confidențiale) FSTEC din Rusia este aprobat
- clauza 2.3.„Cerințele și recomandările prezentului document se aplică protecției resurselor informaționale de stat prin metode necriptografice care vizează prevenirea scurgerii de informații protejate prin canale tehnice, a accesului neautorizat la acestea și a influențelor speciale asupra informațiilor în scopul distrugerii, denaturarii și blochează-l.”
- clauza 2.16. „Pentru a proteja informațiile confidențiale, se folosesc instrumente de securitate a informațiilor certificate pentru securitatea informațiilor. Procedura de certificare este determinată de legislația Federației Ruse.”
- clauza 2.17. „Obiectele de informatizare trebuie să fie certificate pentru cerințele de securitate a informațiilor în conformitate cu documentele de reglementare ale FSTEC din Rusia și cu cerințele acestui document”.
- Legea Federației Ruse N 5485-1 din 21 iulie 1993. („Legea secretelor de stat”) definește securitatea informațiilor ca fiind „o parte integrantă a sistemelor sau produselor informaționale”.
În conformitate cu legile de mai sus, organizațiile relevante (în special cele de stat) sunt obligate să utilizeze software și hardware cu instrumente de securitate a informațiilor certificate.
Organisme de Certificare
Cine certifică software-ul în Federația Rusă?
În țara noastră, există mai multe sisteme de certificare diferite axate pe diverse tipuri de software (FSTEC, FSB, Ministerul Apărării etc.).
Principalele sisteme de certificare pentru majoritatea software-ului sunt sistemele de certificare FSB și FSTEC.
- Certificarea FSB este concepută pentru a testa subsisteme software care utilizează protecție criptografică (în țara noastră sunt acceptați doar algoritmii criptografici ruși). Cerințe ale sistemului de certificare FSB nu sunt publice familiarizarea cu acestea necesită prezența unor toleranțe speciale.
- Certificarea FSTEC are scopul de a verifica asigurarea protecției tehnice a informațiilor prin metode necriptografice. Cerințele sistemului de certificare FSTEC sunt deschise și publicate pe site oficial .
Produsele software actuale 1C-Bitrix nu conțin instrumente de protecție criptografică încorporate, așa că nu este necesară certificarea FSB pentru ele. Mai departe, în text, vorbim doar despre certificarea FSTEC.
Ce este un produs certificat în Federația Rusă?
Sistemul de certificare rus este fundamental diferit de sistemele adoptate în alte țări și pentru mai bine. Fiecare copie software care solicită un certificat este verificată pentru conformitate cu cea care a fost testată direct în timpul certificării, adică la nivel binar, toate copiile certificate sunt complet identice. Serviciile responsabile de integritatea acestor produse pot oricând să verifice dacă utilizatorul are toate patch-urile și actualizările certificate necesare, precum și să verifice produsele pentru lipsa modificărilor necertificate.
Dar, conform termenilor sistemului internațional de certificare Common Criteria, orice copie licențiată a software-ului care a trecut certificarea este considerată certificată - identitatea fiecărei copii vândute a celei care a fost certificată direct nu este verificată. Dar la urma urmei, patch-urile și versiunile noi de programe sunt lansate în mod regulat, iar versiunile de software furnizate astăzi pe piață pot diferi pur și simplu de instanța testată la acea vreme, depusă pentru obținerea unui certificat.
Fiecare copie a produsului certificat 1C-Bitrix are un pachet de documente de stat care confirmă că acest produs este certificat. În plus, există o marcă olografică de conformitate FSTEC cu un număr unic care identifică această instanță în sistemul contabil de stat pentru produsele certificate.
Fiecare organizație care a achiziționat produse certificate are acces securizat la o pagină personală pentru această organizație pe un site web specializat, de unde această organizație va primi actualizări certificate și alte informații.
Ce este FSTEC al Rusiei și care sunt funcțiile sale?
FSTEC din Rusia (până în 2004 - Comisia Tehnică de Stat a Rusiei) este un organism executiv federal cu următoarele competențe:
- asigurarea securității informațiilor în sistemele cheie ale infrastructurii informaționale și de telecomunicații;
- contracararea informațiilor tehnice străine;
- asigurarea protectiei tehnice a informatiilor metode non-criptografice;
- implementarea controlului exporturilor.
În conformitate cu regulamentul privind FSTEC din Rusia, una dintre sarcinile sale principale este de a organiza activitățile sistemului de stat pentru contracararea informațiilor tehnice și protecția tehnică a informațiilor la nivel federal, interregional, regional, sectorial și de facilitate, precum și gestionarea acestui sistem de stat.
Toate actele juridice de reglementare și documentele metodologice emise privind activitățile FSTEC din Rusia, obligatoriu de către aparatele autorităților federale ale statului și ale autorităților de stat ale entităților constitutive ale Federației Ruse, autorităților executive federale, autorităților executive ale entităților constitutive ale Federației Ruse, guvernele și organizațiile locale.
Cum se realizează certificarea FSTEC?
FSTEC este doar un organizator de certificare și un serviciu de control de nivel superior. Efectuați acțiuni imediate Licențiatorii FSTEC– laboratoare de testare și organizații de experți. Primii efectuează în mod direct cercetări de software, în timp ce cei din urmă sunt angajați în verificarea calității acestor teste.
Clientul are dreptul de a alege un laborator de testare (cu acordul FSTEC), dar FSTEC numește în mod independent o organizație de experți pentru a verifica rezultatele.
Astfel, pe de o parte, există un mediu competitiv când laboratoarele de testare luptă pentru client (costul testării, calendarul etc.), pe de altă parte, calitatea testelor este verificată clar de experți independenți.
Prin analogie, funcționează și sistemul de certificare FSB.
În plus, în sistemul de certificare FSTEC există și institutul solicitantilor. Aceste companii lucrează direct cu laboratoare de testare și organizații de experți, ele sunt cele care compară copiile produselor vândute pentru conformitatea cu eșantionul lor certificat. De asemenea, ei eliberează documente după forma stabilită pentru fiecare exemplar al produselor care au trecut de o astfel de comparație și țin evidența acestor produse.
Solicitanții suportă costurile de verificare a produsului, eliberare a documentelor relevante, ținere a evidenței produselor certificate (unde și în ce stare sunt amplasate aceste produse), în unele cazuri, prin acord cu proprietarii de produse, certifică și toate patch-urile pe cheltuiala lor. .
Certificarea produselor 1C-Bitrix
Cu ce organizații cooperează 1C-Bitrix în procesul de certificare și în ce format?
În acest moment, 1C-Bitrix cooperează cu compania. Această companie a acționat în următorul rol:
Solicitant, care
A. realizează toate activitățile organizaționale legate de certificare;
b. suportă costuri pentru contabilizarea constantă a copiilor certificate ale produselor;
c. vinde direct produse software certificate „1C-Bitrix”.
Este suficient să folosiți produse certificate 1C-Bitrix pentru certificarea finală a unui sistem informațional?
Desigur că nu. Utilizarea software-ului certificat este o condiție necesară, dar nu suficientă, pentru certificarea finală a sistemului informațional al clientului.
În primul rând, de regulă, un produs certificat funcționează într-o infrastructură IT. Pentru produsele 1C-Bitrix, acesta este sistemul de operare al serverului web și al serverului de baze de date, al serverului DBMS, al serverului web, al interpretului PHP, al precompilatorului PHP etc. În consecință, securitatea întregului sistem poate fi realizată numai cu securitatea tuturor componentelor sale, care este determinată și de prezența certificatelor adecvate pe acestea.
În al doilea rând, în timpul fazei de implementare, se pot face modificări produsului care pot reduce și securitatea sistemului în ansamblu, iar aceste modificări trebuie, de asemenea, testate și validate.
În al treilea rând, setul de versiuni de produse certificate include o listă de recomandări pentru instalarea și utilizarea acestora. Aceste recomandari sunt intocmite in laboratorul de incercari iar respectarea acestora garanteaza cel mai bun si adecvat nivel de protectie cerintelor clientilor. Aceste linii directoare sunt obligatorii.
Astfel, în orice caz, este necesară certificarea finală a sistemului informațional pentru conformitatea cu cerințele FSTEC și (sau) FSB.
Utilizarea versiunilor certificate vă permite să economisiți în mod semnificativ procedura de certificare finală a sistemului informațional și (sau) locurilor de muncă pentru conformitatea acestora cu cerințele de protecție a informațiilor dintr-o anumită categorie, deși nu presupune certificare automată. Dacă se utilizează software necertificat, va fi necesar să achiziționați și să implementați instrumente suplimentare de protecție certificate, care pot crește foarte mult costul certificării.
Cum și când primesc clienții actualizări ale produselor certificate?
Când se lansează orice actualizare de produs, este necesară certificarea acestuia, în caz contrar, prin instalarea unei actualizări necertificate, utilizatorul final încalcă integritatea sistemului de securitate a informațiilor, iar sistemul de securitate a informațiilor își pierde statutul de certificat.
Toate actualizările sunt testate în laboratorul de testare. În plus, toate actualizările certificate devin disponibile pe Portalul de actualizări certificate SIS Group. De regulă, această procedură durează de la câteva zile la câteva săptămâni.
Cu toate acestea, de regulă, având în vedere conservatorismul clienților versiunilor certificate și procedurile lor interne de aprobare, o astfel de întârziere nu este critică, iar certificarea actualizărilor este exact la timp în momentul în care se ia decizia.
În versiunile certificate ale produselor 1C-Bitrix sistemul de actualizare standard nu este utilizatSiteUpdate prin intermediul internetului deoarece aceste actualizări nu sunt certificate. Actualizările certificate pot fi obținute dintr-o secțiune securizată a site-ului web Certified Information Systems Group, unde fiecare client are un cont personal cu actualizările disponibile.
Când descarcă actualizări certificate, clientul le descarcă ca fișiere într-un dialog special al sistemului de actualizare
