Поддержка
Продукция
Загрузить
Главная / Поддержка / Вопросы и ответы / Вопросы по решениям, организации и поддержке решений на платформе Microsoft

Вопросы и ответы

Вопросы по решениям, организации и поддержке решений на платформе Microsoft

 У нас большая информационная система, в которой эксплуатируется значительное количество различных версий сертифицированных продуктов Microsoft (Windows XP, 7, Server 2003, 2008, 2008 R2). Как автоматизировать получение и распространение сертифицированных обновлений, применение сертифицированных конфигураций и оптимизировать контроль за сертифицированным ПО Microsoft в сети организации?
Самым оптимальным вариантом в таком случае является использование программы “Net_Check”, позволяющей реализовать централизованную настройку, обновление и контроль всех типов сертифицированных ОС Microsoft Windows в сети организации. Более подробно о программе “Net_Check” Вы сможете узнать по ссылке: http://www.altx-soft.ru/groups/page-268.htm
 Нам необходимо аттестовать АС по требованиям класса 1Г (1Д). Каким требованиям РД в части НСД соответствует сертифицированная операционная система MS Windows Vista, MS Windows Server 2003 и т.д.?
Функциональные характеристик встроенных средств защиты сертифицированного ПО приведены в его Задании по безопасности.
 Как соотносится оценочный уровень доверия ОУД 1 усиленный (Руководящий документ "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (РД ОК)) с классом защищенности 1Г (Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации" (РД АС)), и с требованиями по обеспечению безопасности информационных систем персональных данных (ИСПДн)?

Оценочный уровень доверия РД ОК не имеет аналогов в требованиях РД АС и в методических документах по обеспечению безопасности ИСПДн, и является по отношению к ним дополнительными требованиями к процессу разработки средств защиты информации. Аналогом требований РД АС и методических документов по обеспечению безопасности ИСПДн являются функциональные требования из РД ОК и Заданий по безопасности (ЗБ).

Примеры сопоставления функциональных требований РД ОК, ЗБ требованиям РД АС для класса защищенности 1Г и ИСПДн 3 класса приведены в соответствующих таблицах:
 Достаточно ли сертифицированной операционной системы Microsoft Windows XP (Vista, server 2003) для аттестации АС по классу 1Д/1Г включительно в соответствии с требованиями РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации (Гостехкомиссия России, 1992).
Вопрос поставлен не корректно. Сертифицированные операционные системы могут использоваться для построения автоматизированных систем (АС) до класса защищенности 1Г включительно, что подтверждено соответствующими сертификатами.
Средство вычислительной техники (СВТ), на которое установлена сертифицированная операционная система является лишь одной из составных частей автоматизированной системы (АС). Кроме СВТ АС включает в себя персонал организации, обеспечивающий ее функционирование, помещения, бумажные документы и т. д. Поэтому, при аттестации АС рассматриваются вопросы не только защиты от НСД, но и организационные меры защиты, вопросы физического доступа и т. д.
Однако если в АС используется сертифицированная операционная система, то большинство вопросов, связанных с защитой СВТ от несанкционированного доступа (НСД), может быть решено. Встроенные механизмы защиты сертифицированного ПО, настроенные в соответствии с Руководством по безопасной настройке и контролю, входящим в комплект поставки, в основном обеспечивают необходимый уровень защиты требуемый РД. Необходимость дополнительных средств защиты от НСД определяется условиями эксплуатации АС, характером угроз, наличием подключений к сетям общего пользования и т.д.
Решение об аттестации АС (о достаточности принятых технических и организационных мер по защите конфиденциальной информации, обрабатываемой АС) принимает аттестационная комиссия.
 Если ЛВС построена на базе сервера с ОС MS Windows 2003 Server, то ограничено ли количество ПЭВМ, входящих в домен?
Все ограничения связаны с функциями самой ОС Windows Server 2003. Сертификация никаких ограничений по количеству ПЭВМ, входящих в домен, не накладывает
 На компьютере установлена сертифицированная версия ОС MS Windows Vista, есть ли необходимость установки сертифицированной версии офисного программного комплекса MS Office 2007?
Да, если офисный программный комплекс MS Office 2007 применяется для обработки конфиденциальной информации или персональных данных.
 Как автоматизировать получение и распространение сертифицированных обновлений с помощью WSUS, если наша организация не планирует использование "Net_Check"?
Механизмов предусматривающих взаимодействие сервера Центра сертифицированных обновлений с серверами WSUS не предусмотрено. Обновления, распространяемые Microsoft через сервисы WSUS, отличаются от обновлений, опубликованных в официальном центре обновлений и центре безопасности Microsoft. Состав получаемых WSUS обновлений (а следовательно и контрольные суммы) отличается от тех, которые публикуются в центре безопасности Microsoft и которые проходят процедуру инспекционного контроля (сертификации).
 Необходимо ли устанавливать сертифицированную ОС на контроллер домена, если он не входит в состав ИСПДн, но обеспечивает работу всех сегментов сети предприятия?
Да, необходимо. Пользователи, обрабатывающие персональные данные на своих рабочих станциях, при входе в систему проходят аутентификацию и последующую авторизации на сервере контроллере домена. Механизмы безопасности контролера домена напрямую участвуют в реализации системы защиты и, следовательно, соответствующая ОС должна быть сертифицирована.
 Нужно ли защищать сервер контроллера домена, почтовый, файловый сервер как описано на сайте, если никаких персональных данных там не хранится и не обрабатывается?
Необходимо, если на серверах непосредственно обрабатываются персональные данные или же механизмы защиты, которых входят в состав системы защиты ИСПДн, например, сервер является контролером домена ИСПДн.
 На официальном сайте компании АЛТЭКС-СОФТ предложены решения для защиты ИСПДн 2 и 3 классов, где описаны различные варианты. В решениях предлагается на рабочие станции устанавливать сертифицированный Office, а на сервере баз данных установить сертифицированную СУБД SQL Server. Для каких целей? Достаточно ли просто несертифицированных лицензионных версий данных продуктов?
В наших решениях приводится пример построения ИСПДн, в которой обработка и защита информации обеспечивается на платформе безопасности Microsoft, при этом используются механизмы безопасности серверных ОС, пользовательских ОС, прикладного ПО (Office) и СУБД (SQL). В таких случаях необходимо использовать средства, сертифицированные ФСТЭК России. Сертификация серверных и пользовательских ОС, прикладного ПО и СУБД не требуется в том случае, когда эти сервера, пользовательские рабочие станции и прикладное ПО не участвуют в технологическом процессе обработки защищаемой информации, и их механизмы безопасности не обеспечивают защиту обрабатываемой пользователями информации. При этом сеть должна быть сегментирована с использованием средств межсетевого взаимодействия (межсетевых экранов).
 Нужно ли после получения от Вас пакетов сертификации переустанавливать ОС?
Требования о переустановке СЗИ в руководящих документах отсутствуют, поэтому заявлять о необходимости переустановки невозможно. В соответствии с ограничениями, указанными в сертификатах соответствия, программное обеспечение должно пройти процедуру контроля соответствия (верификацию) эталонному экземпляру. Верификацию проходит дистрибутив на ПО, который предоставляется либо потребителем, либо приобретается для потребителя у официального дистрибьютора Microsoft. По исходному коду сертифицированное и лицензионное ПО Microsoft не отличается, поэтому можно рекомендовать провести процедуру переустановки всем потребителям, которые установили ПО Microsoft с нелицензионного дистрибутива. Остальные этапа контроля автоматизированы и проводятся на развернутом ПО с использованием программы Check.
 У пользователя нет выхода в интернет, зачем ему ключ для получения обновлений? Зачем необходимо обновление ПО Microsoft?
Необходимость обновления указана в ограничениях по использованию сертифицированного ПО (ограничения приводятся на оборотных сторонах сертификатов соответствия), в частности – Microsoft. Вся информация по сертифицированным обновлениям безопасности для продуктов Microsoft доступна пользователям в личных кабинетах Центра сертифицированных обновлений. Доступ к личному кабинету пользователя организован по электронным ключам. Пользователю достаточно приобрести всего один ключ для организации, вне зависимости от масштабов информационной системы, но всегда есть возможность приобрести дополнительные при необходимости. Стоит отметить, что безопасность информационной системы во многом зависит от того, на сколько своевременно осуществляется установка обновлений безопасности.
 Что такое Центр сертифицированных обновлений и как получить к нему доступ?
Центр сертифицированных обновлений – доверенный Интернет ресурс, где представлены:
- информация по всем актуальным сертифицированным обновлениям безопасности для сертифицированных ФСТЭК России продуктов Microsoft;
- актуальные версии Руководств по безопасной настройке и контролю;
- актуальные версии программ контроля "Check" и др.
Все официально выпущенные Microsoft обновления безопасности и пакеты обновлений (Service Pack) к сертифицированному ПО, подлежат исследованиям в испытательной лаборатории, осуществляющей инспекционный контроль за этими продуктами. На прошедшие испытания обновления и дополнения в Центре сертифицированных обновлений публикуется вся необходимая информация: необходимость установки, контрольная сумму, наименование обновление и ссылка на центр загрузки Microsoft для получения обновления. Доступ к Центру сертифицированных обновлений осуществляется при помощи индивидуального USB-ключа пользователя с записанным на него электронным сертификатом.
 Закончился срок действия сертификата на электронном ключе для доступа в Центр сертифицированных обновлений. Что делать дальше?
Для возобновления доступа вы можете воспользоваться механизмом продления сертификата, зайдя по ссылке "Продлить просроченный сертификат", появляющейся на странице ошибкипри просроченном сертификате. При возникновении сложностей или ошибок перезаписи, пользователь может обратиться в службу технической поддержки АЛТЭКС-СОФТ по адресу support@altx-soft.ru, указав наименование сертификата и описав проблему.
 Какие обновления можно устанавливать без проведения контроля?
Все обновления сертифицированного программного обеспечения Microsoft, не являющиеся обновлениями безопасности (например: обновления для WMP(http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=f234ef4f-2610-4ffa-9f99-b1cc06594954), обновления для Windows XP(http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=d3ac165e-d7c4-4bdf-83f0-e249ecbe873b) и т.д.) могут быть установлены пользователем без проведения процедуры контроля. Microsoft публикует в центре безопасности Security TechCenter (http://technet.microsoft.com/en-us/security/bulletin/) информацию по всем выпускаемым обновлениям безопасности. Каждый второй вторник месяца, эта информация обновляется, появляются новые обновления безопасности, которые отправляются в испытательную лабораторию. Затем, информация по сертифицированным обновлениям попадает в Центр сертифицированных обновлений. Обновления, не затрагивающие безопасность, не относятся к бюллетеням безопасности и могут быть установлены пользователем на их усмотрение.
 Как произвести обновление сертифицированного ПО Microsoft?
Наиболее простым способом обновления сертифицированного ПО Microsoft является использование соответствующего функционала программ "Check". Модуль сканирования автоматически определит установленные на системе обновления и сформирует отчет, который может быть загружен в Центр сертифицированных обновлений как в ручном режиме (off-line режим работы Check), так и автоматически (при наличии подключения к Интернет). Пользователю останется лишь произвести загрузку указанных обновлений, проконтролировать файлы и установить их на систему. Установка производится пользователем любым удобным способом. При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу "Net_Check", позволяющую провести все операции связанные с обновлением ПО централизованно из единой консоли.
 Как произвести настройку и контроль сертифицированного ПО Microsoft?
Самым оптимальным вариантом настройки сертифицированного ПО Microsoft является использование соответствующего функционала программ "Check". Модуль настройки параметров безопасности позволяет изменить параметры безопасности на системе нажатием одной клавиши, так и произвести избирательную настройку каждого из параметров, в соответствии со значениями сертифицированных конфигураций, либо заданных пользователем. Помимо этого программы "Check" позволяют легко произвести сопоставление (контроль) действующих значений параметров безопасности и их значений с сертифицированной конфигурацией, создать свою конфигурацию безопасности, построить отчеты и осуществить другие операции с параметрами ПО Microsoft. При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу "Net_Check", позволяющую провести все операции связанные с настройкой ПО централизованно из единой консоли. Так же настройку можно произвести в ручном режиме прочитав Руководство по безопасной настройке и контролю. Входящей в состав поставки ПО.
 Какие особенности эксплуатации сертифицированных версий ПО Microsoft?
Эксплуатация сертифицированных версий ПО Microsoft практически ни чем не отличается от лицензионного ПО. Отличие заключается:
• Настройке механизмов защиты безопасности ПО должны быть настроены в соответствие с Руководство по безопасной настройке и контролю.
• На ПО должны быть установлены все актуальные обязательные обновления безопасности с Центра сертифицированных обновлений производителей сертифицированных версий.
© ЗАО "АЛТЭКС-СОФТ", 2008-2020
Создание и продвижение сайтов — www.alexfill.ru.
Top.Mail.Ru