Procedura e certifikimit Fstek. certifikatat e fstek

Certifikimi në Shërbimin Federal të Kontrollit Teknik dhe Eksportit (FSTEC) kryhet kur është e nevojshme të konfirmohet përputhshmëria e produkteve të zhvilluara me kërkesat e sigurisë së informacionit.

Laboratori i testimit të CJSC "IBTrans" ka më shumë se dhjetë vjet që teston softuerin në sistemin e certifikimit të mjeteve të sigurisë së informacionit për kërkesat e sigurisë së informacionit. Testet kryhen për pajtueshmërinë me kërkesat e dokumenteve drejtuese të Komisionit Shtetëror Teknik të Rusisë dhe përfshijnë inspektime të produkteve dhe dokumentacionit për të.

Në transportin hekurudhor, si rregull, kontrollet e softuerit kryhen sipas kërkesave të dokumentit drejtues “Mbrojtja nga aksesi i paautorizuar në informacion Pjesa 1. Softueri i mjeteve të sigurisë së informacionit. Klasifikimi sipas nivelit të kontrollit të mungesës së aftësive të padeklaruara.

Gatishmëria e parashtruesit të kërkesës

Gatishmëria e dokumentacionit të programit në përputhje me GOST ESPD (ESKD)
Disponueshmëria e kodeve burimore të softuerit
Disponueshmëria e softuerit të plotë funksionalisht (versioni i qëndrueshëm i softuerit)
*Aplikanti është një organizatë zhvilluesish softuerësh, përdorues softueri, përfaqësues zyrtar i një kompanie të huaj zhvilluesish në Federatën Ruse, që aplikon për certifikim softueri

Mbledhja e informacionit

Përkufizimi i emrit dhe përcaktimi i produktit softuer
Përcaktimi i sasisë së kodit burimor që do të analizohet për mungesën e NDV
Adresat për testimin e softuerit
Mjetet e zhvillimit të harduerit dhe softuerit
*NDV - mundësi e padeklaruar

Transferimi i informacionit

Aplikanti aplikon në laboratorin e testimit me informacionin e mbledhur. Laboratori i testimit, bazuar në të dhënat e marra, vlerëson mundësinë e kryerjes së punës, kohën dhe koston.
*Laboratori i testimit - një organizatë e akredituar nga FSTEC e Rusisë për testimin e certifikimit të mjeteve të sigurisë së informacionit.

Ofertë komerciale

Laboratori i testimit formon një ofertë tregtare që tregon sekuencën e punës, procedurën e llogaritjeve, koston dhe kohën e testimit, të justifikuara nga dokumentet drejtuese dhe praktika e punës.

Përgatitja e Aplikacionit

Aplikanti (me mbështetje informative nga Laboratori i Testimit) harton një "Aplikacion për certifikimin e softuerit për mungesë të aftësive të padeklaruara" në një kokë me vulën e organizatës dhe ia dërgon atë FSTEC të Rusisë.
Informacioni që përmban aplikacioni: adresa; emrin dhe detajet bankare të aplikantit; emri i produkteve që i nënshtrohen certifikimit; skema e certifikimit; kërkesat për pajtueshmërinë me të cilat kryhet certifikimi; adresën e laboratorit tuaj të preferuar të testimit.
Formulari i aplikimit për certifikim mund të shkarkohet KËTU.
*FSTEC i Rusisë - Organi Federal për Certifikimin e Produkteve për Kërkesat e Sigurisë së Informacionit

Marrja e një vendimi

Organi Federal i Certifikimit (FSTEC i Rusisë) shqyrton kërkesën për certifikim brenda një muaji, përcakton skemën e certifikimit të mjeteve të sigurisë së informacionit, laboratorin e testimit, duke marrë parasysh propozimet e aplikantit dhe emëron organin e certifikimit.
Bazuar në rezultatet e shqyrtimit të Aplikimit, FSTEC i Rusisë i dërgon aplikantit, Trupit të Çertifikimit dhe Laboratorit të Testimit të caktuar për certifikim, Vendimet për aplikimin për certifikim. Vendimi i Çertifikimit specifikon emrin e produktit, skemën e certifikimit, Laboratorin e Testimit që teston produktet dhe Organin e Çertifikimit që kontrollon procesin e certifikimit.
*Organi certifikues - një organizatë (person) e autorizuar që monitoron ecurinë e testeve dhe kryen një ekzaminim të materialeve të testimit të certifikimit.

Përfundimi i një marrëveshjeje

Koordinimi i të gjitha kushteve të punës ndërmjet Aplikantit dhe Laboratorit të Testimit. Në bazë të konsultimeve ndërmjet palëve, formohet një orar pune. Nënshkrimi i kontratës përcakton fillimin e testeve të certifikimit.
Përveç kësaj, është lidhur një marrëveshje me Trupin e Çertifikimit për ekzaminimin e materialeve testuese. Një marrëveshje me Trupin e Çertifikimit mund të lidhet si nga Laboratori i Testimit ashtu edhe nga Aplikanti. Opsioni i rekomanduar është të lidhni një marrëveshje ndërmjet Laboratorit të Testimit dhe Trupit të Çertifikimit.

Analiza e dokumentacionit

Transferimi nga Aplikanti i dokumentacionit të programit për produktin që i nënshtrohet testimit të certifikimit në Laboratorin e Testimit.
Dokumentacioni i programit përfshin listën e mëposhtme të dokumenteve, të zhvilluara duke marrë parasysh kërkesat e standardeve ESPD (ESKD):
Formulari (GOST 19.501-78)
Specifikimi (GOST 19.202-78)
Përshkrimi i programit (GOST 19.402-78)
Përshkrimi i aplikacionit (GOST 19.502-78)
Teksti i programit (GOST 19.401-78)

Zhvillimi i një programi testimi

Bazuar në rezultatet e analizës së dokumentacionit, specialistët e Laboratorit të Testimit zhvillojnë një "Program dhe Metodologji për Kryerjen e Testeve të Çertifikimit" të produktit.
Programi i testimit dhe metodologjia përcakton sekuencën e kontrolleve të kryera nga specialistë laboratorikë për të vlerësuar përputhjen e një produkti softuer me kërkesat e dokumenteve rregullatore përkatëse të FSTEC të Rusisë.
Programi dhe metodologjia e testimit bien dakord me Aplikantin dhe miratohen nga Trupi Certifikimi.
Nëse produkti që certifikohet zhvillohet me pjesëmarrjen e një organizate të huaj, Programi dhe Metodat e Testimit bien dakord shtesë me Trupin Federal të Çertifikimit.

Duke testuar

Pas miratimit të Programit dhe Metodologjisë së Testimit, specialistët e laboratorit fillojnë testimin e produktit softuer. Testet përfshijnë hapat kryesorë të mëposhtëm:
analiza e dokumentacionit të softuerit,
rregullimi i gjendjes fillestare të softuerit,
testimi i produktit softuer (testimi statik i kodit burimor, analiza dinamike)
Specialistët e Laboratorit të Testimit vizitojnë vendin e testimit (në organizatën që zhvillon produktin softuer)

Rezultatet e testit

Bazuar në rezultatet e të gjitha inspektimeve të produkteve të certifikuara, laboratori i testimit formon një paketë dokumentesh, duke përfshirë:
raportet e testimit të produktit,
konkluzioni teknik,
akte kampionimi, ndërtime softuerësh dhe dokumente të tjera.
E gjithë paketa e dokumenteve, duke përfshirë edhe dokumentacionin e programit të aplikantit, i dorëzohet Trupit të Çertifikimit për ekzaminim. Mendimi teknik i Laboratorit të Testimit i dërgohet Aplikantit.

Sistemet operative "Microsoft Windows 8.1", "Microsoft Windows 8.1 Professional", "Microsoft Windows 8.1 Enterprise"

Certifikata nr.3263

11/07/2014 11/07/2020 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. Pajtohuni me kërkesat e dokumentit qeverisës "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së 5-të të sigurisë, me kusht që të gjitha të rëndësishmet Instalohen përditësime të detyrueshme të certifikuara të sigurisë dhe ndiqen udhëzimet e funksionimit, të dhëna në formularët 501110-001-82487552-2014 03 FO dhe 501110-001-82487552-2014 02 FO.

Kufizimet e aplikimit

1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin e konfigurimit të sistemit".
2. Paketa e softuerit duhet të kalojë procedurën e kontrollit (verifikimit) të konformitetit në standardin e certifikuar.

Sistemi operativ Microsoft Windows 7 (SP1) në edicionet Professional, Enterprise dhe Ultimate

Certifikata nr.2180/1

04.10.2011 04.10.2020 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. Pajtohuni me kërkesat e dokumentit qeverisës "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së 5-të të sigurisë dhe mund të përdoret gjatë krijimit sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe gjatë krijimit të sistemeve të informacionit të të dhënave personale deri në klasën 2 përfshirëse.

Kufizimet e aplikimit:

Sistemet operative të serverit

Paketa softuerike "Microsoft Windows Server 2012 Standard"

Certifikata nr.2949

09/06/2013 09/05/2019 Vegël softuerike për qëllime të përgjithshme me mjete të integruara të mbrojtjes kundër aksesit të paautorizuar në informacion. Në përputhje me kërkesat e dokumentit drejtues "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër akses i paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së 5-të të sigurisë, me kusht që të instalohen të gjitha përditësimet aktuale të detyrueshme të certifikuara të sigurisë dhe udhëzimet e funksionimit të dhëna në formularët 501110-002-82487552-2013 01 St FO dhe ndiqen 501110-002-82487552-2013 02 St FO.

Kufizimet e aplikimit

1. Kompleksi softuerik "Microsoft Windows Server 2012 Standard" duhet të kalojë procedurën e kontrollit të përputhshmërisë (verifikimit) me standardin e certifikuar.
2. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

seria SHA "Sistemet dokumentare"

Paketa softuerike "Microsoft Windows Server 2012 Datacenter"

Certifikata nr.2950

09/06/2013 09/06/2019 Vegël softuerike për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion Përputhet me kërkesat e dokumentit drejtues "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër akses i paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së sigurisë 5 dhe mund të përdoret kur krijoni sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe kur krijoni sisteme të informacionit të të dhënave personale deri në klasën 3 përfshirëse.

Kufizimet e aplikimit

1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin për konfigurimin e paketës softuerike".
2. Kompleksi softuerik "Microsoft Windows Server 2012 Datacenter" duhet të kalojë procedurën e kontrollit të përputhshmërisë (verifikimit) me standardin e certifikuar.
3. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

seria SHA "Sistemet dokumentare"

Paketa softuerike "Microsoft Windows Server 2008 Standard Edition"

Certifikata nr.1928

Kufizimet e aplikimit

1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin për konfigurimin e paketës softuerike".
2. Kompleksi softuer "Microsoft Windows Server 2008 Standard Edition" duhet të kalojë procedurën e kontrollit (verifikimit) të konformitetit tek standardi i certifikuar.
3. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

seria SHA "Sistemet dokumentare"

Paketa softuerike "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Certifikata nr.1928/1

Paketa softuerike "Microsoft Windows Server 2008 Enterprise Edition"

Certifikata nr.1929

27.10.2009 26.10.2018 Vegël softuerike për qëllime të përgjithshme me mjete të integruara të mbrojtjes kundër aksesit të paautorizuar në informacion Konform kërkesave të dokumentit drejtues "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë nga akses i paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së sigurisë 5 dhe mund të përdoret kur krijoni sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe kur krijoni sisteme të informacionit të të dhënave personale deri në klasën 3 përfshirëse.

Kufizimet e aplikimit

1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin për konfigurimin e paketës softuerike".
2. Kompleksi softuerik "Microsoft Windows Server 2008 Enterprise Edition" duhet të kalojë procedurën e kontrollit të konformitetit (verifikimit) në standardin e certifikuar.
3. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

seria SHA "Sistemet dokumentare"

Paketa softuerike "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Certifikata nr.1929/1

14/05/2010 14/05/2019 Vegël softuerike për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion Përputhet me kërkesat e dokumentit drejtues "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër akses i paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së sigurisë 5 dhe mund të përdoret kur krijoni sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe kur krijoni sisteme të informacionit të të dhënave personale deri në klasën 2 përfshirëse. seria SHA "Sistemet dokumentare"

Sistemi operativ Microsoft Windows Server 2008 R2 (SP1) në versionet Standard, Enterprise dhe Datacenter

Certifikata nr.2181/1

10/13/2011 10/13/2020 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. Pajtohuni me kërkesat e dokumentit qeverisës "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së 5-të të sigurisë dhe mund të përdoret gjatë krijimit sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe gjatë krijimit të sistemeve të informacionit të të dhënave personale deri në klasën 2 përfshirëse.

Kufizimet e aplikimit:
1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin e konfigurimit të sistemit".
2. Paketa softuerike duhet të kalojë procedurën e monitorimit të përputhshmërisë (verifikimit) me standardin e certifikuar.
3. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit. seria SHA "Sistemet dokumentare"

Paketa softuerike "Microsoft Windows Server 2008 Datacenter Edition"

Certifikata nr.1930

29.10.2009 28.10.2018 Vegël softuerike për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion Konform kërkesave të dokumentit qeverisës "Objektet kompjuterike. Mbrojtja nga aksesi i paautorizuar në informacion. Treguesit e sigurisë kundër akses i paautorizuar në informacion" (Komisioni Teknik Shtetëror i Rusisë, 1992) - sipas klasës së sigurisë 5 dhe mund të përdoret kur krijoni sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe kur krijoni sisteme të informacionit të të dhënave personale deri në klasën 3 përfshirëse.

Kufizimet e aplikimit

1. Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzuesin për konfigurimin e paketës softuerike".
2. Kompleksi softuerik "Microsoft Windows Server 2008 Datacenter Edition" duhet të kalojë procedurën e kontrollit (verifikimit) të konformitetit në standardin e certifikuar.
3. Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

Seria SHA "Sistemet dokumentare"

DBMS

Sistemi i menaxhimit të bazës së të dhënave Microsoft SQL Server 2014 (Edition Enterprise, Standard Edition, Business Intelligent, Web Express, Express me mjete)

Certifikata nr.3518

15.02.2016 15.02.2019 Një mjet softuerësh për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion që nuk përmban informacione që përbëjnë sekret shtetëror, i cili zbaton funksionet e kontrollit të aksesit, identifikimit dhe vërtetimit, regjistrimi i ngjarjeve të sigurisë dhe përputhet me kërkesat e serisë TU LLC "Unifikimi shkencor dhe prodhues i sistemeve kompjuterike"

Sistemi i menaxhimit të bazës së të dhënave Microsoft SQL Server 2012 (Edicioni Enterprise, Edicion Standard, Edicion Inteligjent i Biznesit, Botim Web)

Certifikata nr.2967

18.09.2013 18.09.2019 Një mjet softuerësh për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion që nuk përmban informacione që përbëjnë sekret shtetëror, i cili zbaton funksionet e kontrollit të aksesit, identifikimit dhe vërtetimit, regjistrimi i ngjarjeve të sigurisë dhe plotëson kërkesat e serisë TU të CJSC "Sistemet Dokumentare"

Sistemet e softuerit të zyrës

Paketa e softuerit Microsoft Office. Professional Plus 2016

Certifikata nr.3161

23/06/2014 23/06/2020 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. seria CJSC "Klio"

Paketa e softuerit Microsoft Office. Professional Plus 2013

Certifikata nr.3161

23/06/2014 23/06/2020 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. Përputhet me kërkesat e serisë TU 5029-007-82487522-2013 CJSC "Laboratori Mbretëror i Objekteve të Informacionit"

Paketa e softuerit Microsoft Office. Standardi 2007

Certifikata nr.1923

10/13/2009 13/10/2018 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacion

Korrespondon me ST "Microsoft Office Standard 2007. Security Target. MS.Office_ST_2007.ST. Version 1.0", ka një nivel vlerësimi të besimit EAL 1 (të përmirësuar) në përputhje me dokumentin udhëzues "Siguria e teknologjisë së informacionit. Kriteret për vlerësimin e teknologjisë së informacionit sigurisë" (Komisioni Teknik Shtetëror i Rusisë, 2002) dhe mund të përdoret për të krijuar sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse kur plotësohen kufizimet.

Kufizimet e aplikimit:

• Kur përdorni paketën e softuerit, duhet të respektohen kushtet e specifikuara për mjedisin e funksionimit në detyrën e sigurisë MS.Office 2007.ZB.
• Cilësimet dhe kontrolli i mekanizmave të mbrojtjes së sigurisë duhet të kryhen në përputhje me "Udhëzimet për konfigurimin e sigurt të paketës softuerike".
• Kompleksi softuer "Microsoft®Office. Standard 2007" duhet të kalojë procedurën e kontrollit (verifikimit) të konformitetit tek standardi i certifikuar.
• Të gjitha përditësimet aktuale të detyrueshme të sigurisë të certifikuara duhet të instalohen në paketën e softuerit.

Seria LLC "CBI"

Firewalls dhe Gateways

Paketa softuerike UserGate UTM

Certifikata nr.3905

23/03/2018 23/03/2021 Mbrojtja e softuerit dhe harduerit kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror Korrespondon me:
Kërkesat për muret e zjarrit” (FSTEC i Rusisë, 2016);
Profili i mbrojtjes së murit të zjarrit tip A i klasës së katërt të mbrojtjes. IT.ME.A4.P3”. (FSTEC i Rusisë, 2016);
Profili i mbrojtjes së murit të zjarrit tip B i klasës së katërt të mbrojtjes. IT.ME.B4.PZ”. (FSTEC i Rusisë, 2016);
Kërkesat për sistemet e zbulimit të ndërhyrjeve" (FSTEC i Rusisë, 2011);
Profili i mbrojtjes së sistemeve të zbulimit të ndërhyrjeve të nivelit të rrjetit të klasës së katërt të mbrojtjes. IT.SOV.S4.P3” (FSTEC i Rusisë, 2012).
Mund të përdoret si pjesë e sistemeve të automatizuara (AS) deri në klasën e sigurisë 1G dhe sistemet e informacionit të të dhënave personale (ISPD) dhe sistemet e informacionit shtetëror (GIS) deri në klasën (nivelin) e sigurisë përfshirëse. Në zbatim të kërkesave të FSTEC, gjatë certifikimit u kalua kontrolli i mungesës së aftësive të padeklaruara në nivelin e katërt të kontrollit. Seria SHA "OJF "Echelon"

Kontrollet e aksesit

DeviceLock 8 DLP Suite

Certifikata nr.3465

11/05/2015 11/05/2023 Një paketë softuerike e krijuar për të mbrojtur informacionin nga rrjedhjet, kontrollin dhe regjistrimin e aksesit të përdoruesit në pajisjet, portat I/O dhe protokollet e rrjetit. Paketa e softuerit përputhet me kërkesat e dokumenteve "Kërkesat për mjetet e kontrollit të transportuesve të të dhënave të makinerive të lëvizshme, FSTEC e Rusisë", miratuar me Urdhrin e FSTEC të Rusisë, datë 28 korrik 2014 N 87 - për klasën e 4-të të mbrojtjes dhe " Profili i mbrojtjes së mjeteve të kontrollit për lidhjen e transportuesve të të dhënave të makinerive të lëvizshme të klasës së katërt të mbrojtjes (IT.SKN.P4.PZ)" (FSTEC i Rusisë, 2014), dokumenti drejtues "Mbrojtja nga aksesi i paautorizuar në informacion. Pjesa 1. Softueri i sigurisë së informacionit. Klasifikimi sipas nivelit të kontrollit të mungesës së aftësive të padeklaruara" (Komisioni Teknik Shtetëror i Rusisë, 1999). Seria LLC "CBI"

Mjete rezervë dhe rikuperimi

Acronis Backup & Recovery 11. Stacioni i Avancuar i Punës

Certifikata nr.2678

Acronis Backup & Recovery 11. Server i avancuar

Certifikata nr.2677

16/07/2012 16/07/2021 Vegël softuerike për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacion që nuk përmban informacione që përbëjnë sekret shtetëror Përputhet me kërkesat e dokumentit qeverisës "Mbrojtja nga aksesi i paautorizuar në informacion. Pjesa 1. Softueri i sigurisë së informacionit. Klasifikimi sipas nivelit të kontrollit të mungesës së aftësive të padeklaruara" (Komisioni Teknik Shtetëror i Rusisë, 1999) - sipas nivelit të 4-të të kontrollit dhe kushteve teknike, dhe gjithashtu mund të përdoret për të krijoni sisteme të automatizuara deri në klasën e sigurisë 1G përfshirëse dhe për të mbrojtur informacionin në sistemet e informacionit të të dhënave personale deri në klasën 1 përfshirëse. Seria LLC "CBI"

Mjetet antivirus

Mjetet e shkatërrimit të të dhënave dhe kontrollit të fshirjes së informacionit

Mjetet e analizës së sigurisë

Mjet i analizës së sigurisë komplekse softuerike RedCheck

Certifikata nr.3172

06/23/2014 23/06/2020 Një mjet modern i analizës së sigurisë që ofron informacion të detajuar në lidhje me efektivitetin e masave për të mbrojtur informacionin në një rrjet korporate dhe elementet e tij individuale. Përputhet me kërkesat e dokumentit qeverisës "Mbrojtja nga aksesi i paautorizuar në informacion. Pjesa I. Softueri i sigurisë së informacionit. Klasifikimi sipas nivelit të kontrollit të mungesës së aftësive të padeklaruara" (Komisioni Teknik Shtetëror i Rusisë, 1999) - sipas 4-të niveli i kontrollit dhe kushtet teknike. seria LLC "CBI"

Mjetet e Virtualizimit

21/11/2016 21/11/2019 Vegël softuerike për qëllime të përgjithshme me mjete të integruara mbrojtjeje kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror Përputhet me kërkesat e specifikimeve teknike kur ndiqni udhëzimet e dhëna të funksionimit në formën ALMYu.501000.VMS06-01.30. seria LLC "CBI"

Paketa softuerike VMware Horizon 6 (edicione standarde, të avancuara dhe të ndërmarrjeve)

Certifikata nr.3660

21/11/2016 21/11/2019 Vegël softuerike për qëllime të përgjithshme me mbrojtje të integruar kundër aksesit të paautorizuar në informacione që nuk përmbajnë informacione që përbëjnë sekret shtetëror. Përputhet me kërkesat e TS kur ndjek udhëzimet e funksionimit të dhëna në formularin ALMYU.501000.VMX06-01.30. seria LLC "CBI"

Konsideroni një listë të përafërt të veprimeve për certifikim në FSTEC të Rusisë.

1. Paraqitja e një aplikacioni për certifikim në FSTEC të Rusisë.

   Aplikacioni specifikon:

   • emri i aplikantit
   • adresa e aplikantit
   • emrin e produktit që aplikanti dëshiron të certifikojë
   • një listë e dokumenteve rregullatore dhe metodologjike për të cilat aplikanti duhet të certifikojë produktet e tij për përputhjen me kërkesat.
   • skema e certifikimit (kampion i vetëm produkti ose prodhim serik)
   • laboratorin e testimit ku aplikanti dëshiron të testojë
   • kushte ose kërkesa shtesë

   Aplikanti tregon në aplikim se ai merr përsipër:

   • të përmbushë të gjitha kushtet e certifikimit;
   • të sigurojë qëndrueshmërinë e karakteristikave të certifikuara të produkteve të shënuara me shenjën e konformitetit;
   • paguaj të gjitha shpenzimet për certifikim.

   E rëndësishme: aplikanti duhet të ketë një licencë FSTEC për llojin përkatës të aktivitetit!

   Një shembull i një aplikacioni për certifikimin e një pakete softuerike është paraqitur në Figurën 5.1.

2. Zgjidhje për testimin e certifikimit

   FSTEC, brenda një muaji pas marrjes së aplikimit, i dërgon aplikantit, organit të caktuar certifikues dhe laboratorit të testimit një vendim për kryerjen e testeve të certifikimit, i cili përmban sa vijon:

   • emri i aplikantit, adresa e aplikantit;
   • emri i produkteve të certifikuara, kodi OKP, TU;
   • skema e çertifikimit (testimi i një kampioni të vetëm produkti / grupi i mostrave N / mostra e produktit për prodhim masiv);
   • laboratorin e caktuar të testimit dhe adresën e tij;
   • një listë e dokumenteve rregullatore dhe metodologjike për pajtueshmërinë me kërkesat e të cilave duhet të kryhet certifikimi;
   • laboratori testues i caktuar për kontrollin e mëpasshëm të inspektimit;
   • një organ certifikues i caktuar për të kryer një ekzaminim të rezultateve të testeve të certifikimit;
   • mënyra e pagesës për punën.

   Trupi certifikues dhe laboratori i testimit mund të ndryshohen në marrëveshje me Klientin. Vendimi shërben si bazë për fillimin e testimit dhe “arsye” për lidhjen e marrëveshjes ndërmjet aplikantit dhe laboratorit të testimit. Një shembull i një vendimi për kryerjen e certifikimit është paraqitur në Figurën 5.2.

3. Përfundimi i një marrëveshjeje me një laborator testimi

   Kontrata me laboratorin e testimit për testet e certifikimit përcakton kushtet, procedurën e kryerjes së testeve të certifikimit, si dhe koston e punës. Zakonisht, laboratori i testimit përgatit fillimisht një ofertë tregtare me justifikimin e kushteve dhe kostos së punës, si dhe një projekt-kontratë. Si rregull, grupi i dokumenteve kontraktuale përfshin: një kontratë, termat e referencës për punën, një deklaratë të performancës, një protokoll për të rënë dakord për një çmim. Përveç informacionit të specifikuar, rekomandohet që kontrata të parashikojë artikuj të tillë si përgjegjësia për dëmtimin e mostrave të provës ose procedurën për pezullimin e testeve në rast të ndonjë ndryshimi.

4. Përgatitja e të dhënave fillestare.

   Kjo fazë përfshin zhvillimin, koordinimin dhe miratimin e programit dhe metodologjisë së testeve të certifikimit.

   Laboratori i testimit zhvillon një program dhe metodologji për kryerjen e testeve, i transferon aplikantit informacione se cilat të dhëna nevojiten për testim. Gjithashtu, programi dhe metodologjia i dërgohen për miratim organit certifikues.

   Aplikanti merr nga laboratori i testimit një program testimi dhe metodologji, e koordinon atë dhe përgatit të gjitha të dhënat e nevojshme fillestare. Ai i siguron laboratorit të testimit mjetet e sigurisë së informacionit në një paketë që plotëson specifikimet teknike ose një formular, si dhe një grup të gjithë dokumentacionit të nevojshëm në përputhje me ESPD ose ESKD.

5. Testet e certifikimit.

   Laboratori i testimit përzgjedh mostrat e produkteve të certifikuara, i identifikon ato dhe kryen testet e certifikimit të produkteve sipas programit dhe metodologjisë së miratuar. Në të njëjtën kohë, aplikanti përgatit dhe ngre një stendë për testet e certifikimit. Është e rëndësishme të theksohet se gjatë testimeve është e ndaluar të bëhen ndryshime në përbërjen ose dizajnin e objektit të certifikimit, si dhe në dokumentacionin. Kjo mund të çojë në ndalimin e testeve dhe "rifillimin" e plotë të tyre, gjë që do të ndikojë në koston dhe kohën e punës.

6. Regjistrimi i rezultateve të testit

   Rezultatet e testimit dokumentohen në formën e raporteve të testit të certifikimit dhe raporteve teknike. Këto dokumente i dërgohen organit të certifikimit, dhe kopjet - aplikantit. Në mungesë të komenteve të arsyeshme për rezultatet e dhëna nga laboratori i testimit nga ana e aplikantit ose organit certifikues, puna e tij sipas kontratës konsiderohet e përfunduar.

7. Përfundimi i një marrëveshjeje me një organ certifikues

   Laboratori i testimit lidh një marrëveshje me organin certifikues për ekzaminimin e rezultateve të testeve të certifikimit, e cila specifikon afatet (zakonisht 1 muaj), procedurën dhe koston. Ndonjëherë organi certifikues kërkon të lidhë një marrëveshje me aplikantin, dhe jo me laboratorin e testimit. Kjo pikë është e diskutueshme dhe e parregulluar. Kjo çështje diskutohet më së miri fillimisht me laboratorin e testimit.

8. Ekzaminimi i rezultateve të testeve të certifikimit

   Organizmi certifikues, në përputhje me kontratën, kryen një ekzaminim të rezultateve të testeve të certifikimit, si dhe dokumenteve teknike dhe operacionale për produktet e certifikuara. Rezultati është ekzekutimi i një mendimi eksperti, i cili, së bashku me një mendim teknik, materialet e testeve të certifikimit, një sërë dokumentacioni të nevojshëm teknik dhe operacional për objektin e certifikimit, i paraqitet FSTEC të Rusisë për një vendim për lëshimin e një certifikate. .

9. vendimi për lëshimin e një certifikate.

   Bazuar në dokumentet e marra nga organi certifikues, përkatësisht mendimin teknik dhe ekspertizën, FSTEC merr vendim për lëshimin e një certifikate. Siç u përmend më lart, afati i certifikatës është 3 vjet. Një shembull i një certifikate konformiteti në Figurën 5.3.

Nëse, si rezultat i inspektimit, FSTEC zbulon një mospërputhje midis rezultateve të testimit dhe kërkesave të legjislacionit, do të merret një vendim për të refuzuar lëshimin e një certifikate. Në këtë rast, parashtruesit do t'i dërgohet një mendim i arsyetuar. Në rast mosmarrëveshjeje me refuzimin, aplikanti ka të drejtë t'i drejtohet Bordit të Apelimit të Organit Federal të Certifikimit për shqyrtim shtesë të materialeve të certifikimit. Ankimi shqyrtohet brenda një muaji me përfshirjen e palëve të interesuara dhe ekspertëve të pavarur. Për vendimin njoftohet ankuesi.

Pse nevojitet certifikimi

Pse keni nevojë për certifikim të softuerit?

Çështjet e mbrojtjes së informacionit konfidencial janë të ndërthurura ngushtë me interesat e shoqërisë, individit, biznesit dhe shtetit. Në kohën tonë, në kushtet e formimit të një hapësire të vetme informacioni, ato janë pjesa më e rëndësishme e detyrave të zgjidhura nga organet, institucionet dhe organizatat shtetërore në zhvillimin, krijimin, funksionimin e sistemeve të informacionit, bazave të të dhënave dhe bankës së të dhënave personale. të sistemeve të informacionit.

Çdo shtet kërkon të sigurojë kontroll mbi informacionin që lidhet me garantimin e sigurisë kombëtare. Dhe kështu me softuerin që sillet në treg dhe përdoret për të ndërtuar sistemet kryesore Infrastruktura e informacionit, ka kërkesa të veçanta.

Sistemet kryesore të infrastrukturës së informacionit

Këto sisteme kryesore përfshijnë:

• sistemet e informacionit të autoriteteve publike, organeve drejtuese dhe strukturave ligjzbatuese;
• sistemet e informacionit të veprimtarive financiaro-kreditore dhe bankare;
• sistemet e informacionit dhe telekomunikacionit për qëllime të veçanta;
• rrjetet e komunikimit të strukturave ligjzbatuese;
• rrjetet publike të komunikimit në zonat që nuk kanë lloje rezervë ose alternative të komunikimit;
• sisteme të automatizuara të kontrollit të furnizimit me energji elektrike;
• sisteme të automatizuara të kontrollit për transportin tokësor dhe ajror;
• sisteme të automatizuara të kontrollit për prodhimin dhe transportin e naftës dhe gazit;
• sisteme të automatizuara për parandalimin dhe likuidimin e situatave emergjente;
• sisteme të automatizuara të kontrollit për industritë e rrezikshme për mjedisin;
• sisteme të automatizuara të menaxhimit të furnizimit me ujë;
• sistemet gjeografike dhe të navigimit.

Dhe kjo nuk është një listë e plotë. Këto sisteme grumbullojnë, përpunojnë dhe transmetojnë informacione që lidhen me veprimtaritë prodhuese, organizative, ekonomike, shkencore, teknike, kreditore, financiare dhe të tjera të shtetit. Në një numër sistemesh dhe rrjetesh, qarkullon informacioni i dërgimit operacional dhe kontrollit teknologjik, i cili përcakton besueshmërinë dhe sigurinë e funksionimit të të gjithë kompleksit ekonomik të Rusisë dhe ka një ndikim të rëndësishëm në sigurimin e sigurisë së saj kombëtare në sferën e informacionit. Kjo është arsyeja pse këto sisteme janë kyçe.

Si rezultat, shitësit e softuerit duhet marrë parasysh kërkesat e vendosura nga ligjet ndërkombëtare dhe kombëtare për sistemet e informacionit të krijuara për të punuar me një informacion të tillë.

Për të verifikuar që softueri i plotëson këto kërkesa, kërkohen procedura certifikimi!

Kush kërkohet të përdorë softuer të certifikuar?

Të gjitha organizatat shtetërore, organizatat joshtetërore që punojnë me të ashtuquajturin "informacion zyrtar të organeve shtetërore", si dhe një numër organizatash të tjera në përputhje me ligjin rus (për shembull, organizatat që i nënshtrohen kërkesave përkatëse "Ligji për të dhënat personale").

Më poshtë janë fragmente nga dokumentet legjislative dhe rregullatore, nga të cilat, të marra së bashku, vijon nevoja për të përdorur mjete të certifikuara të sigurisë së informacionit:

• Në Ligjin Federal 149 (FZ), neni 14, pika 8 thuhet se "... mjetet teknike të destinuara për përpunimin e informacionit të përmbajtur në sistemet e informacionit shtetëror, duke përfshirë mjetet softuerike dhe harduerike dhe mjetet e sigurisë së informacionit, duhet të jenë në përputhje me kërkesat e legjislacionit të Federatës Ruse për rregullimin teknik".
• Në Ligjin Federal 184“Për rregullimin teknik” në nenin 4. "Autoritetet ekzekutive federale janë të autorizuara të nxjerrin akte detyruese në fushën e rregullimit teknik, në rastet e përcaktuara nga neni 5".
• Neni 5 i Ligjit Federal 184 ka të bëjë, ndër të tjera, për produktet e përdorura për të mbrojtur informacionin e klasifikuar si të mbrojtur në përputhje me legjislacionin e Federatës Ruse për informacionin me akses të kufizuar (përfshirë "informacionin zyrtar të organeve shtetërore")
• Një organ i autorizuar me të drejtën për të vendosur kërkesa të detyrueshme për mbrojtjen e informacionit, acc. nga neni 15 i Ligjit Federal 149 është FSTEC i Rusisë
• Në veçanti, në rregullore STR-K(Kërkesa të veçanta për mbrojtjen e informacionit konfidencial) FSTEC i Rusisë është miratuar
  • pika 2.3.“Kërkesat dhe rekomandimet e këtij dokumenti zbatohen për mbrojtjen e burimeve shtetërore të informacionit me metoda jokriptografike që synojnë parandalimin e rrjedhjes së informacionit të mbrojtur përmes kanaleve teknike, nga qasja e paautorizuar në të dhe nga ndikimet e veçanta në informacion me qëllim shkatërrimin, shtrembërimin dhe deformimin e informacionit. bllokoje atë.”
  • pika 2.16. “Për të mbrojtur informacionin konfidencial, përdoren mjete të sigurisë së informacionit të certifikuara për sigurinë e informacionit. Procedura e certifikimit përcaktohet nga legjislacioni i Federatës Ruse.
  • pika 2.17. "Objektet e informatizimit duhet të certifikohen për kërkesat e sigurisë së informacionit në përputhje me dokumentet rregullatore të FSTEC të Rusisë dhe kërkesat e këtij dokumenti."
• Ligji i Federatës Ruse N 5485-1 i 21 korrikut 1993. (“Ligji për sekretet shtetërore”) e përkufizon sigurinë e informacionit si “pjesë integrale e sistemeve apo produkteve të informacionit”.

Në përputhje me ligjet e mësipërme, organizatave përkatëse (veçanërisht ato shtetërore) u kërkohet të përdorin softuer dhe harduer me mjete të certifikuara të sigurisë së informacionit.

Organet e certifikimit

Kush e certifikon softuerin në Federatën Ruse?

Në vendin tonë, ekzistojnë disa sisteme të ndryshme certifikimi të fokusuara në lloje të ndryshme softuerësh (FSTEC, FSB, Ministria e Mbrojtjes, etj.).

Sistemet kryesore të certifikimit për shumicën e softuerit janë sistemet e certifikimit FSB dhe FSTEC.

• Certifikimi FSB është krijuar për të testuar nënsistemet e softuerit që përdorin mbrojtje kriptografike (vetëm algoritmet kriptografike ruse lejohen në vendin tonë). Kërkesat e sistemit të certifikimit të FSB nuk janë publike njohja me to kërkon praninë e tolerancave të veçanta.
• Certifikimi FSTEC synon të verifikojë sigurimin e mbrojtjes teknike të informacionit me metoda jokriptografike. Kërkesat e sistemit të certifikimit FSTEC janë të hapura dhe të publikuara më faqen zyrtare .

Produktet aktuale të softuerit 1C-Bitrix nuk përmbajnë mjete të integruara të mbrojtjes kriptografike, kështu që certifikimi FSB nuk kërkohet për to. Më tej në tekst, bëhet fjalë vetëm për certifikimin FSTEC.

Çfarë është një produkt i certifikuar në Federatën Ruse?

Sistemi rus i certifikimit është thelbësisht i ndryshëm nga sistemet e miratuara në vendet e tjera, dhe për të mirë. Çdo kopje e softuerit që aplikon për një certifikatë kontrollohet për pajtueshmërinë me atë që është testuar drejtpërdrejt gjatë certifikimit, d.m.th., në nivelin binar, të gjitha kopjet e certifikuara janë plotësisht identike. Shërbimet përgjegjëse për integritetin e këtyre produkteve mund të kontrollojnë në çdo kohë që përdoruesi ka të gjitha arnimet dhe përditësimet e nevojshme të certifikuara, si dhe të kontrollojnë produktet për mungesën e ndryshimeve të pacertifikuara.

Por sipas kushteve të sistemit ndërkombëtar të certifikimit Common Criteria, çdo kopje e licencuar e softuerit që ka kaluar certifikimin konsiderohet e certifikuar - identiteti i secilës kopje të shitur të atij që është certifikuar drejtpërdrejt nuk verifikohet. Por në fund të fundit, arnimet dhe versionet e reja të programeve lëshohen rregullisht, dhe versionet e softuerit të ofruar në treg sot thjesht mund të ndryshojnë nga kopja e testuar në atë kohë, e paraqitur për marrjen e një certifikate.

Çdo kopje e produktit të certifikuar 1C-Bitrix ka një paketë dokumentesh shtetërore që konfirmojnë se ky produkt është i çertifikuar. Për më tepër, ekziston një shenjë holografike e konformitetit FSTEC me një numër unik që identifikon këtë shembull në sistemin e kontabilitetit shtetëror për produktet e certifikuara.

Çdo organizatë që ka blerë produkte të certifikuara ka akses të sigurt në një faqe personale për këtë organizatë në një faqe interneti të specializuar, nga ku kjo organizatë do të marrë përditësime të certifikuara dhe informacione të tjera.

Çfarë është FSTEC e Rusisë dhe cilat janë funksionet e tij?

FSTEC i Rusisë (deri në 2004 - Komisioni Shtetëror Teknik i Rusisë) është një organ ekzekutiv federal me kompetencat e mëposhtme:

• sigurimi i sigurisë së informacionit në sistemet kyçe të infrastrukturës së informacionit dhe telekomunikacionit;
• kundërshtimi i inteligjencës teknike të huaj;
• sigurimin e mbrojtjes teknike të informacionit metoda jokriptografike;
• zbatimin e kontrollit të eksporteve.

Në përputhje me rregulloren për FSTEC të Rusisë, një nga detyrat e tij kryesore është të organizojë aktivitetet e sistemit shtetëror për të luftuar inteligjencën teknike dhe mbrojtjen teknike të informacionit në nivelet federale, ndërrajonale, rajonale, sektoriale dhe objekteve, si dhe menaxhimin e këtij sistemi shtetëror.

Të gjitha aktet rregullatore ligjore dhe dokumentet metodologjike të nxjerra mbi aktivitetet e FSTEC të Rusisë, të detyrueshme nga aparatet e autoriteteve shtetërore federale dhe autoriteteve shtetërore të entiteteve përbërëse të Federatës Ruse, autoriteteve ekzekutive federale, autoriteteve ekzekutive të subjekteve përbërëse të Federatës Ruse, qeverive dhe organizatave lokale.

Si kryhet certifikimi FSTEC?

FSTEC është vetëm një organizator certifikimi dhe një shërbim kontrolli i nivelit të lartë. Kryeni veprime të menjëhershme Licencuesit e FSTEC– laboratorët e testimit dhe organizatat e ekspertëve. Të parët kryejnë drejtpërdrejt kërkime softuerike, ndërsa të dytët janë të angazhuar në kontrollimin e cilësisë së këtyre testeve.

Klienti ka të drejtë të zgjedhë një laborator testimi (me pëlqimin e FSTEC), por FSTEC cakton në mënyrë të pavarur një organizatë eksperte për të verifikuar rezultatet.

Kështu, nga njëra anë, ekziston një mjedis konkurrues kur laboratorët e testimit luftojnë për një klient (kostoja e testimit, koha, etj.), Nga ana tjetër, cilësia e testeve kontrollohet qartë nga ekspertë të pavarur.

Për analogji, funksionon edhe sistemi i certifikimit FSB.

Përveç kësaj, në sistemin e certifikimit FSTEC ekziston gjithashtu instituti i aplikantëve. Këto kompani punojnë drejtpërdrejt me laboratorët e testimit dhe organizatat e ekspertëve, janë ato që krahasojnë kopjet e produkteve të shitura për pajtueshmërinë me mostrën e tyre të certifikuar. Ata gjithashtu lëshojnë dokumente të formularit të vendosur për çdo kopje të produkteve që kanë kaluar një krahasim të tillë dhe mbajnë shënime për produkte të tilla.

Aplikantët përballojnë kostot e kontrollit të produktit, lëshimin e dokumenteve përkatëse, mbajtjen e shënimeve të produkteve të certifikuara (ku dhe në çfarë gjendje ndodhen këto produkte), në disa raste, me marrëveshje me pronarët e produktit, ata gjithashtu certifikojnë të gjitha arnimet me shpenzimet e tyre. .

Certifikimi i produkteve 1C-Bitrix

Me cilat organizata bashkëpunon 1C-Bitrix në procesin e certifikimit dhe në çfarë formati?

Për momentin, 1C-Bitrix po bashkëpunon me kompaninë. Kjo kompani ka vepruar në rolin e mëposhtëm:

Aplikanti, të cilat

a. kryen të gjitha aktivitetet organizative lidhur me certifikimin;

b. bën shpenzime për kontabilitetin e vazhdueshëm të kopjeve të certifikuara të produkteve;

c. drejtpërdrejt shet produkte softuerike të çertifikuar "1C-Bitrix".

A mjafton përdorimi i produkteve të certifikuara 1C-Bitrix për certifikimin përfundimtar të një sistemi informacioni?

Sigurisht që jo. Përdorimi i softuerit të certifikuar është një kusht i domosdoshëm por jo i mjaftueshëm për certifikimin përfundimtar të sistemit të informacionit të klientit.

Së pari, si rregull, një produkt i certifikuar funksionon në një infrastrukturë IT. Për produktet 1C-Bitrix, ky është sistemi operativ i serverit në internet dhe serverit të bazës së të dhënave, serverit DBMS, serverit në internet, interpretuesit PHP, parakompiluesit PHP, etj. Prandaj, siguria e të gjithë sistemit mund të arrihet vetëm me sigurinë e të gjithë komponentëve të tij, e cila përcaktohet gjithashtu nga prania e certifikatave të përshtatshme në to.

Së dyti, gjatë fazës së zbatimit, mund të bëhen ndryshime në produktin që gjithashtu mund të zvogëlojë sigurinë e sistemit në tërësi, dhe këto ndryshime gjithashtu duhet të testohen dhe vërtetohen.

Së treti, grupi i versioneve të produktit të certifikuar përfshin një listë rekomandimesh për instalimin dhe përdorimin e tyre. Këto rekomandime përgatiten në laboratorin e testimit dhe respektimi i tyre garanton nivelin më të mirë dhe adekuat të mbrojtjes ndaj kërkesave të klientëve. Këto udhëzime janë të detyrueshme.

Kështu, në çdo rast, është i nevojshëm certifikimi përfundimtar i sistemit të informacionit për përputhjen me kërkesat e FSTEC dhe (ose) FSB.

Përdorimi i versioneve të certifikuara ju lejon të kurseni ndjeshëm në procedurën e certifikimit përfundimtar të sistemit të informacionit dhe (ose) vendeve të punës për përputhjen e tyre me kërkesat për mbrojtjen e informacionit të një kategorie të caktuar, megjithëse nuk kërkon certifikim automatik. Nëse përdoret softuer jo i certifikuar, do të jetë e nevojshme të blihen dhe zbatohen mjete shtesë të certifikuara të mbrojtjes, të cilat mund të rrisin shumë koston e certifikimit.

Si dhe kur i marrin klientët përditësimet për produktet e çertifikuara?

Kur lëshohet ndonjë përditësim produkti, kërkohet certifikimi i tij, përndryshe, duke instaluar një përditësim të pacertifikuar, përdoruesi përfundimtar cenon integritetin e sistemit të sigurisë së informacionit dhe sistemi i sigurisë së informacionit humbet statusin e tij të certifikuar.

Të gjitha përditësimet testohen në laboratorin e testimit. Më tej, të gjitha përditësimet e certifikuara bëhen të disponueshme në Portalin e përditësimeve të certifikuara të grupit SIS. Si rregull, kjo procedurë zgjat nga disa ditë në disa javë.

Sidoqoftë, si rregull, duke pasur parasysh konservatorizmin e klientëve të versioneve të çertifikuara dhe procedurat e tyre të brendshme të miratimit, një vonesë e tillë nuk është kritike dhe certifikimi i përditësimeve është në kohë në kohën kur merret vendimi.

Në versionet e certifikuara të produkteve 1C-Bitrix nuk përdoret sistemi standard i përditësimitPërditësimi i faqes përmes internetit sepse këto përditësime nuk janë të certifikuara. Përditësimet e certifikuara mund të merren nga një seksion i sigurt i faqes së internetit të Certified Information Systems Group, ku çdo klient ka një llogari personale me përditësime të disponueshme.

Kur shkarkon përditësime të certifikuara, klienti i shkarkon ato si skedarë në një dialog të veçantë të sistemit të përditësimit