Сертификация ФСТЭК
Добрый день. Имеется небольшой офис 3 ПК с windows 7 PRO и сервер HP с Windows Server 2008 R2 Foundation.
По новому закону о защите Персональных данных (у нас класс К3) на ПК с персональными данными мы должны использовать сертифицированное ФСТЭК ПО.
Я так понимаю лицензионность ваших ОС еще не подтверждает для органов, что они сертифицированы — нужно покупать пакеты сертификации.
Отсюда 3 вопроса:
1. Могу ли я самостоятельно у вашего партнера купить «Базовый пакет для сертифицированной версии ОС Windows 7 проф» и провести верификацию или же это может только сертифицированный в ФСТЭК ваш партнер за отдельные деньги?
2. Нигде нет информации о сертификации Windows Server 2008 R2 Foundation в ФСТЭК. Насколько я понимаю это фактически версия Standart с небольшими ограничениями. Возможно ли её в принципе сертифицировать.
3. Увидел в продаже «Лицензия на использование программы контроля сертифицированной версии ОС Windows 7 Профессиональная» для каких случаев используется и нужно ли её покупать на каждый ПК?
Прежде всего, лицензия это право на использование продукта, а сертификаци это подтверждение соответствия конкретного экземпляра требованиям. Поэтому, сертификаты ФСТЭК и ФСБ подтверждают, что именно данный конкретный эеземпляр ПО состветствует требованиям предъявляемым Законодательством Российской Федерации к ПО допущенному для применения в системах со специальными требованиями к защите информации. Подробнее о сертификации ПО, и о том какие продукты Microsoft прошли сертификацию, Вы можете прочесть здесь: http://www.microsoft.com/rus/government/certificate/
1. Сертифицированные экземпляры ПО можно приобрести или непосредственно у компаний занимающихся сертификацие ПО, например у «АЛТЭКС-СОФТ» или «Сертифицированные информационные системы», либо заказать их через ресселеров.
2. Сертификация любого продукта очень длительный и дорогостоящий процесс. Насколько мне известно, редакция Windows Server 2008 R2 Foundation не сертифицирована и ее сертификация не планируется. В этом нет ничего удивительного потому, что спрос на сертифицированную версию этого продукта практически отсуствует, а цена сертифицированной версии получится значительно выше.
3. Лицензия на использование программы контроля сертифицированной версии ПО приобретается по количеству рабочих мест ( серверов), на которых устанавливается сертифицированное ПО.
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 19 июня 2015 г. N 240/24/2497
| 206 КБ | 9076 | |
| 70 КБ | 3811 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОПЕРАЦИОННЫХ СИСТЕМ WINDOWS SERVER 2003 И WINDOWS SERVER 2003 R2 В УСЛОВИЯХ ПРЕКРАЩЕНИЯ ИХ ПОДДЕРЖКИ РАЗРАБОТЧИКОМ
от 19 июня 2015 г. N 240/24/2497
По информации, полученной от ООО «Майкрософт Рус», компанией Microsoft Corporation (США) с 15 июля 2015 г. прекращается поддержка и выпуск обновлений для операционных систем Windows Server 2003 и Windows Server 2003 R2, в том числе направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционных систем Windows Server 2003 и Windows Server 2003 R2:
Windows Server 2003 Standard Edition с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/4 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.);
Windows Server 2003 Standard Edition Release 2 с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/5 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.);
Windows Server 2003 Enterprise Edition Release 2 с пакетом обновлений Service Pack 2 (сертификат соответствия N 1017/7 от 5 августа 2008 г., срок действия – до 5 августа 2017 г.).
При этом в соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Windows Server 2003 и Windows Server 2003 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Windows Server 2003 и Windows Server 2003 R2, выпущенных разработчиком (компанией MicrosoftCorporation) и предоставляемых российским производителем операционной системы (заявителем).
В настоящее время значительная часть сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 продолжает применяться для защиты информации конфиденциального характера (в том числе персональных данных) в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций (далее – органы государственной власти и организации). Это обусловлено, в том числе, наличием большого количества разработанного под Windows Server 2003 и Windows Server 2003 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Windows Server 2003 и Windows Server 2003 R2 со стороны отдельных категорий нарушителей.
В целях поэтапного перехода органами государственной власти и организациями на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями, ФСТЭК России планируется продление до августа 2017 г. (переходный период) сроков действия выданных ранее сертификатов соответствия на операционные системы Windows Server 2003 и Windows Server 2003 R2 с учетом включения в эксплуатационную документацию ограничений на дальнейшее применение изделий в условиях прекращения выпуска обновлений и возможности реализации угроз безопасности информации.
Аттестация по требованиям защиты информации информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, должна проводиться с учетом ограничений на дальнейшее применение сертифицированных изделий, а также с учетом дополнительных угроз безопасности информации, связанных с окончанием обновления операционных систем Windows Server 2003 и Windows Server 2003 R2, и реализации дополнительных мер защиты информации, направленных на блокирование данных угроз. Для информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, аттестованных до 15 июля 2015 г., повторная аттестация не требуется. Оценка реализованных дополнительных мер защиты информации осуществляется путем проведения дополнительных аттестационных испытаний в рамках действующих аттестатов соответствия.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Windows Server 2003 и Windows Server 2003 R2, рекомендуется:
1. Спланировать мероприятия по переводу до августа 2017 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2;
провести настройку и обеспечивать периодический контроль механизмов защиты сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Windows Server 2003 и Windows Server 2003 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, на внешние носители информации;
регламентировать и обеспечивать контроль за применением съемных машинных носителей информации, исключив при этом использование не зарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Windows Server 2003 и Windows Server 2003 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Windows Server 2003 и Windows Server 2003 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Windows Server 2003 и Windows Server 2003 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
Сертификаты ФСТЭК
Клиентские операционные системы
Дата внесения в реестр: 07.11.2014 Срок действия сертификата: 07.11.2020 Краткая характеристика: Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствие требованиям РД: Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.
Ограничения по применению
- Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке системы».
- Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
- На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Схема сертификации: серия Испытательная лаборатория: ЗАО «Документальные системы»
Серверные операционные системы
Дата внесения в реестр: 17.03.2018 Срок действия сертификата: 17.03.2021 Краткая характеристика: Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствие требованиям РД: Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.
Ограничения по применению
- Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке программного комплекса».
- Программный комплекс «Microsoft Windows Server 2012 Essentials» должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
- На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Схема сертификации: серия Испытательная лаборатория: ЗАО «Документальные системы»
Дата внесения в реестр: 19.03.2015 Срок действия сертификата: 19.03.2021 Краткая характеристика: Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствие требованиям РД: Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
Ограничения по применению
- Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке системы».
- Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
- На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Схема сертификации: серия Испытательная лаборатория: ЗАО «Документальные системы»
Дата внесения в реестр: 28.02.2019 Срок действия сертификата: 28.02.2024 Краткая характеристика: Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к конфиденциальной информации Соответствие требованиям РД: Соответствуют требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.
Ограничения по применению
- Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с «Руководство по настройке СУБД».
- СУБД Microsoft SQL Server 2008 должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
- На СУБД должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Схема сертификации: серия Испытательная лаборатория: ООО «НПО ВС»