Сертификация ФСТЭК
Добрый день. Имеется небольшой офис 3 ПК с windows 7 PRO и сервер HP с Windows Server 2008 R2 Foundation.
По новому закону о защите Персональных данных (у нас класс К3) на ПК с персональными данными мы должны использовать сертифицированное ФСТЭК ПО.
Я так понимаю лицензионность ваших ОС еще не подтверждает для органов, что они сертифицированы — нужно покупать пакеты сертификации.
Отсюда 3 вопроса:
1. Могу ли я самостоятельно у вашего партнера купить «Базовый пакет для сертифицированной версии ОС Windows 7 проф» и провести верификацию или же это может только сертифицированный в ФСТЭК ваш партнер за отдельные деньги?
2. Нигде нет информации о сертификации Windows Server 2008 R2 Foundation в ФСТЭК. Насколько я понимаю это фактически версия Standart с небольшими ограничениями. Возможно ли её в принципе сертифицировать.
3. Увидел в продаже «Лицензия на использование программы контроля сертифицированной версии ОС Windows 7 Профессиональная» для каких случаев используется и нужно ли её покупать на каждый ПК?
Прежде всего, лицензия это право на использование продукта, а сертификаци это подтверждение соответствия конкретного экземпляра требованиям. Поэтому, сертификаты ФСТЭК и ФСБ подтверждают, что именно данный конкретный эеземпляр ПО состветствует требованиям предъявляемым Законодательством Российской Федерации к ПО допущенному для применения в системах со специальными требованиями к защите информации. Подробнее о сертификации ПО, и о том какие продукты Microsoft прошли сертификацию, Вы можете прочесть здесь: http://www.microsoft.com/rus/government/certificate/
1. Сертифицированные экземпляры ПО можно приобрести или непосредственно у компаний занимающихся сертификацие ПО, например у «АЛТЭКС-СОФТ» или «Сертифицированные информационные системы», либо заказать их через ресселеров.
2. Сертификация любого продукта очень длительный и дорогостоящий процесс. Насколько мне известно, редакция Windows Server 2008 R2 Foundation не сертифицирована и ее сертификация не планируется. В этом нет ничего удивительного потому, что спрос на сертифицированную версию этого продукта практически отсуствует, а цена сертифицированной версии получится значительно выше.
3. Лицензия на использование программы контроля сертифицированной версии ПО приобретается по количеству рабочих мест ( серверов), на которых устанавливается сертифицированное ПО.
Microsoft Windows 7 (Сертификат ФСТЭК)
В связи с особенностями лицензирования, цена на данный продукт предоставляется по запросу.
Операционная система Microsoft Windows 7 основана на функциях безопасности Windows Vista и содержит все процессы и технологии развертывания, которые сделали Windows Vista наиболее безопасной версией Windows на сегодняшний день. Кроме того, Windows 7 включает усовершенствования безопасности, необходимые для защиты данных в условиях быстро меняющейся структуры угроз. Фундаментальные возможности безопасности – защита от исправления ядра, ограниченный режим работы служб, предотвращение выполнения данных, случайное распределение адресного пространства и уровни целостности – реализуют улучшенную защиту от вредоносных программ и атак.
Компания «АЛТЭКС-СОФТ» представляет три сертифицированных ФСТЭК версии Windows 7 – «Профессиональную», «Корпоративную» и «Максимальную» (Сертификат ФСТЭК № 2180 от 05.10.2010г.). Все редакции соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 год) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
Приобретение любой из представленных ниже версий возможно только при покупке пакета (базового или полного) для сертифицированной версии операционной системы, лицензии на использование программы контроля сертифицированной версии ОС и ключа для получения сертифицированных обновлений eTokenPRO (одной организации достаточно одного ключа).
Версии продукта Windows 7:
- Windows 7 «Профессиональная» – версия Windows 7, направленная непосредственно на бизнес-пользователей и IT-специалистов. Благодаря короткому времени отклика и постоянной готовности персонального компьютера к работе повышается производительность и обеспечивается лучшая защита от угроз безопасности. Версия может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети.
- Windows 7 «Корпоративная» – операционная система, доступная клиентам программы Microsoft Software Assurance. С помощью Windows 7 «Корпоративная» удобно пользоваться преимуществами ряда функций, которые не входят в состав выпуска Windows 7 «Профессиональная». Данная ОС может применять для защиты конфиденциальной информации и персональных данных на пользовательских автоматизированных рабочих мест в составе сети.
- Windows 7 «Максимальная» – наиболее универсальный и производительный выпуск Windows 7. Сочетает в себе исключительное удобство использования, включая возможность запуска многих рабочих программ для Windows XP в режиме Windows XP. Версия «Максимальная» позволяет получать доступ ко всем возможностям и может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети.
Особенности сертификации ПО Microsoft
В комплект поставки программного обеспечения Microsoft, сертифицированного ФСТЭК, входят две обязательные позиции:
- Пакет для сертифицированной версии ПО для использования на определенном числе рабочих мест.
- Лицензия на использование программы контроля сертифицированной версии.
Вместе с серверным ПО могут поставляться комплекты сертифицированного клиентского и терминального доступа. При первой поставке сертифицированных версий Microsoft приобретается USB-ключ eToken PRO для получения сертифицированных обновлений. Для всех используемых сертифицированных версий Microsoft достаточно купить один ключ на организацию.
Если у предприятия-заказчика есть филиалы, или сеть имеет распределенную структуру, рекомендуется приобретать ключи по количеству филиалов/сетей. Для централизованной настройки и контроля сертифицированных продуктов Microsoft рекомендуется приобрести программу Net_Check.
Порядок приобретения ПО Microsoft с ФСТЭК-сертификатом
Для покупки ПО Microsoft с ФСТЭК-сертификатом нужно выслать письмо-заявку с указанием наименования и количества необходимых пакетов для сертифицированных версий ПО Microsoft, а также наименования и количества лицензионного ПО Microsoft, имеющегося у заказчика и планируемого к передаче на сертификацию.
После оплаты счета необходимо предоставить лицензионное ПО – лицензионные носители Microsoft установленного образца и документы, подтверждающие наличие лицензий (оригиналы лицензий или копии лицензионных соглашений, заверенные печатью организации-заказчика).
✅ Купите ПО Защита информации от компании СИС Груп на официальном сайте
✅ Лицензии на ПО Защита информации от компании СИС Груп по выгодной цене
✅ Защита информации, СИС Груп, лицензии купить в Москве и других городах России
ФСТЭК регламентировала дальнейшее использование сертифицированных версий Windows 7
Федеральная служба по техническому и экспортному контролю разместила информационное сообщение о применении сертифицированных операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в госорганах в связи с прекращением их технической поддержки.
Текст сообщения
Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
- операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
- операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
- программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
- программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
- программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
- программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
- программный комплекс «Microsoft Windows Server 2008» версии Datacenter в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
- установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
- установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
- провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
- по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
- при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP – систем), средств управления потоками информации);
- обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
- регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
- проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
- применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
- проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
- разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.