Общие вопросы по аттестации и лицензированию деятельности по защите информации
Нужна ли оператору ПДн лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации (Лицензия ТЗКИ)?
В Информационном сообщении ФСТЭК России от 30 мая 2012 г. № 240/22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» допускает возможность работы без лицензии на ТЗКИ, если деятельность организации не направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации.
То есть, Лицензия ТЗКИ оператору ПДн не обязательна, если работы проводятся в рамках внутренней деятельности организации для защиты ПДн, оператором которых она является.
Кто осуществляет оценку эффективности реализованных мер защиты?
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК РОССИИ от 15 июля 2013 г. N 240/22/2637
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Кто имеет право на инсталляцию и настройку сертифицированного ПО?
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и может осуществляться специалистами организации-заказчика или любой другой организацией, являющейся лицензиатом ФСТЭК России. После инсталляции сертифицированное ПО должно быть настроено в соответствии с эксплуатационной документацией (Руководством по безопасности, руководством администратора и т.д.).
Какие СЗИ применяются для защиты ГИС и ИСПДн?
Состав СЗИ определяется классом (уровнем) защищенности ИС и моделью угроз для конкретной системы. Рекомендации по составу СЗИ, поставляемых компанией АЛТЭКС-СОФТ, для реализации мер защиты ГИС и ИСПД приведены в таблице
В каких случаях требуется аттестация по требованиям безопасности систем защиты ИСПДн?
В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.
Вместе с тем, Указом Президента РФ от 06.03.1997 N 188 ''Об утверждении Перечня сведений конфиденциального характера'') персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера.
Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)». В п. 2.17 СТР-К указано «Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации». Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
Вместе с тем, необходимо учесть, что в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора».
Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех организационно-технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением Лицензиатов ФСТЭК и (или) ФСБ России (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он получает уверенность, что все меры выполнены, а в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.
Организация не является лицензиатом ФСТЭК и ФСБ России, имеем ли мы право заниматься поставкой средств защиты конфиденциальной информации и персональных данных?
Указом Президента РФ от 06.03.1997 N 188 ''Об утверждении Перечня сведений конфиденциального характера'' персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Для защиты конфиденциальной информации должны применяться средства защиты прошедшие обязательную сертификацию в рамках системы сертификации средств защиты информации (системы сертификации ФСБ и ФСТЭК России).
Федеральный закон № 99 от 4 мая 2011 г. «О лицензировании отдельных видов деятельности» определяет, что лицензированию подлежит только деятельность по распространению шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, а также специальные технические средства, предназначенные для негласного получения информации (данный Закон не распространяется на деятельность по защите государственной тайны). Таким образом, можно сделать вывод, что лицензия на реализацию средств защиты конфиденциальной информации, включая и персональные данные, не требуется.
Кто имеет право на инсталляцию и настройку сертифицированного ПО?
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и осуществляется специалистами организации-заказчика. После инсталляции сертифицированное ПО должно быть настроено в соответствии с Руководством по безопасной настройке и контролю сертифицированного ПО (Руководство входит в состав Media Kit, который поставляется в составе комплектов поставки сертифицированного ПО). Настройка также выполняется специалистами организации-заказчика.
Общие вопросы по сертифицированным продуктам Microsoft и их приобретению
Для какого класса АС, ГИС и ИСПДн можно использовать сертифицированные версии Microsoft?
Для АС: класса 1Г включительно (максимальный класс АС, обрабатывающих конфиденциальную информацию).
ИСПДн - 3 и 4 уровня защищенности, для которых отсутствуют угрозы 1 и 2 типа (угрозы связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении).
ГИС - 3 и 4 класса защищенности (п. 26 Приказа ФСТЭК России № 17 от 11 февраля 2013 г)
Что такое сертифицированные версии ПО Microsoft и в чем их отличие от обычных (лицензионных)?
Сертифицированным ПО Microsoft является лицензионное ПО со встроенными механизмами защиты, прошедшими сертификацию в системе сертификации средств защиты информации, что подтверждено сертификатом соответствия ФСТЭК России, а также настроенное и эксплуатируемое в соответствии с сертифицированными параметрами.
Сертификацию проходят заявленные Microsoft встроенные средства (механизмы) защиты программного обеспечения, к которым относятся:
• аутентификации и идентификации,
• контроля доступа,
• регистрации и учета,
• аудита,
• обеспечения целостности,
• блокирования запуска вредоносных программ,
• обеспечения функций межсетевого экранирования,
• и другие.
В бинарном коде сертифицированные продукты ни чем не отличаются от стандартного лицензионного программного обеспечения. Отличия состоят в условиях эксплуатации ПО, пакете предоставляемых дополнительных сервисов, сопроводительной документации и сертификационной поддержке, являющейся обязательным условиями действия сертификата.
Кому можно рекомендовать использовать сертифицированное ПО Microsoft для защиты информации?
Это государственные и коммерческие организации обрабатывающие конфиденциальную информацию в АС классов до 1Г включительно. Все организации обрабатывающие персональные данные до 2-го класса включительно.
Практически в каждой организации России основной рабочей IT-средой является Windows. На сегодняшний момент сертифицированы ФСТЭК России все самые распространенные пользовательские и серверные операционные системы, которые могут являться эффективным и экономичным решением для защиты информации. Для построения системы защиты на платформе сертифицированных продуктов Microsoft не требуется изменения технологии обработки информации, использование наложенных средств защиты, специальной подготовки персонала, больших финансовых затрат. Все эти факторы позволяют организациям больше сосредоточиться на решении бизнес-задач, нежели на создании некой «надстройке» безопасности . При этом, сертифицированные продукты Microsoft являются самыми современными и совершенными средствами защиты информации, которым доверяют во всем мире.
Чем отличаются пакеты поставки сертифицированного ПО Microsoft (базовый от полного)?
В отличии от базового пакета в состав полного пакета входит программно-аппаратный комплекс усиления функций аутентификации пользователей (дополнительная защита от НСД), включающий сертифицированный электронный USB-ключ (или смарт-карту) eToken 5 и сертифицированную программу eToken Network Logon.
Зачем нужен опросный лист?
Опросный лист необходим для регистрации покупателей и внесения данных о конечных пользователях в базу данных держателей сертифицированного ПО, доступную проверяющим органам: ФСТЭК России.
Существуют ли ограничения по применению сертифицированных версий ПО Microsoft?
В большинстве Сертификатов на ПО Microsoft имеются следующие ограничения по применению:
1. При использовании ПО должны соблюдаться условия, определенные для среды функционирования, описанные в Задании по безопасности или ТУ.
2. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с Руководство по безопасной настройке и контролю.
3. ПО должно пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
4. На ПО должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Несмотря на то, что в Сертификатах на более ранние версии, данные ограничения отсутствуют, в соответствии с Нормативными документами ФСТЭК выполнение вышеприведенных требований также обязательно.
Какое количество пакетов необходимо приобретать? Состав заказа при сертификации ПО Microsoft?
Количество пакетов сертификации определяется количеством компьютеров (рабочих мест), которые буду участвовать в процессе защиты обрабатываемой конфиденциальной информации или персональных данных. Состав заказа: Лицензия на ПО Microsoft (по количеству рабочих мест), дистрибутив ПО Microsoft (один или несколько, в зависимости от типа лицензирования Microsoft), пакет сертификации и лицензия на Check (по количеству рабочих мест), электронный USB-ключ для получения обновлений (один на организацию или филиал организации-пользователя).
Где взять инсталляционный диск Windows (или другого продукта Microsoft) и почему нельзя верифицировать записанную на «болванку» копию дистрибутива Windows?
В соответствии с технологией, при серийном производстве сертифицированных продуктов Microsoft проводится несколько этапов контроля. На одном из таких этапов осуществляется входной контроль, заключающийся в проверке соответствия верифицируемых дистрибутивов тем, которые были представлены на сертификационные испытания, по внешнему виду и партийным/серийным номерам. Сертифицируются, а затем эталонируются дистрибутивы установленного фирменного образца, произведенные официальным репликатором Microsoft и распространяемые через сеть дистрибьюторов Microsoft. Именно такие диски (т.е. приобретенные у любого официального поставщика Microsoft) необходимо предоставлять на сертификацию. Диски, полученные иным путем будут иметь отличие от проходивших сертификацию (эталонированные) и, следовательно, вышеописанный этап контроля пройти не могут.
Входит ли установочный дистрибутив в комплект пакета сертификации Microsoft?
Нет, установочный комплекты Microsoft (дистрибутив) в пакеты сертификации не входит. Сертификация ПО Microsoft организована по схеме серийного производства, при котором дистрибутив не тиражируется, а проверяется (верифицируется) фирменный дистрибутив, произведенный официальным репликатором Microsoft. Сертификации подлежат только русскоязычные версии дистрибутивов ПО Microsoft. Перед оформлением заказа рекомендуется уточнить у нашего менеджера, выслав фото или скан, возможность его сертификации.
Зачем приобретать/передавать лицензионное ПО Вам на сертификацию?
Сертификация ПО Microsoft организована по схеме серийного производства, при котором верифицированный дистрибутив не тиражируется, а проверяется фирменный дистрибутив Microsoft. Проверка осуществляется методом контрольного суммирования по сертифицированным алгоритмам и последующего сравнения значений с эталонными. Для целей верификации подходит фирменный дистрибутив русскоязычной версии ПО Microsoft, имеющийся у пользователя или приобретенный у любого официального дистрибьютора Microsoft.
Входит ли ключ для получения обновлений в пакет или его надо приобретать отдельно?
Ключ для получения доступа к центру сертифицированных обновлений (USB-ключ для обновлений) - это отдельная позиция в заказе, которая в состав Пакет сертификации не входит. Ключ необходим организации-пользователю сертифицированного ПО Microsoft (как минимум в одном экземпляре) для получения информации по всем сертифицированным обновлениям на свои продукты. Если организация пользователь уже является пользователем сертифицированного ПО Microsoft, то дополнительные ключи приобретаются по желанию. Если организация приобретает свой первый комплект сертифицированного ПО Microsoft, ключ для получения обновлений будет поставлен в заказ автоматически.
Что значит даунгрейд?
Даунгрейд (англ. downgrade) – право использования ПО более старых версий по лицензии на более новый и современный продукт. Примером могут являться продукты Microsoft, политикой лицензирования которых, предусмотрена возможность использования ПО, версия которого предшествует версии ПО, на которое куплена лицензия. Например, приобретая лицензию для Windows 7 Профессиональная, пользователь имеет право использовать Windows Vista Business или Windows XP Professional. Пользователь может выбрать версию ПО, которая больше всего подходит для его задач или аппаратные возможности оборудования, несмотря на то.
Как убедиться в том, что я использую именно сертифицированный экземпляр Windows (или другой сертифицированный продукт)?
Основными показателями того, что эксплуатируемое ПО является сертифицированным:
• ПО установлено с верифицированного дистрибутива. Номер носителя на верифицированном дистрибутиве (упаковке с носителем) соответствует номеру в Формуляре,
• наличие заверенной заявителем копии сертификата соответствия ФСТЭК России и комплекта документации установленного образца (Формуляр или Паспорт на изделие),
• соответствующий продукт промаркирован голографическим знаком соответствия ФСТЭК России,
• выполнены условия функционирования, требования и ограничения по эксплуатации, указанные в сертификате соответствия и документации на продукт,
• развернутое ПО настроено и успешно прошло контроль с помощью программ “Check”,
• корректное выполнение всех организационных мер с соответствующим заполнением Формуляра.
• ПО установлено с верифицированного дистрибутива. Номер носителя на верифицированном дистрибутиве (упаковке с носителем) соответствует номеру в Формуляре,
• наличие заверенной заявителем копии сертификата соответствия ФСТЭК России и комплекта документации установленного образца (Формуляр или Паспорт на изделие),
• соответствующий продукт промаркирован голографическим знаком соответствия ФСТЭК России,
• выполнены условия функционирования, требования и ограничения по эксплуатации, указанные в сертификате соответствия и документации на продукт,
• развернутое ПО настроено и успешно прошло контроль с помощью программ “Check”,
• корректное выполнение всех организационных мер с соответствующим заполнением Формуляра.
Требуется ли иметь ключ для получения сертифицированных обновлений для каждого компьютера, на котором будет эксплуатироваться сертифицированная версия Windows?
В общем случае необходим один ключ на организацию-пользователя. Электронный ключ для получения сертифицированных обновлений является носителем с уникальным идентификатором организации-пользователя сертифицированного ПО Microsoft. При помощи ключа пользователь может получать доступ к личному кабинету в Центре сертифицированных обновлений, производить загрузку и обновление программ “Check” и получать информацию по сертифицированным обновлениям для продуктов. Так же при помощи ключа пользователь может просматривать on-line отчеты из программ «Check» и «Net_Check». У организации пользователя должен быть как минимум один ключ для получения сертифицированных обновлений (вне зависимости от типа и количества эксплуатирующихся сертифицированных продуктов Microsoft). В ситуации, когда у организации сертифицированное ПО Microsoft используется в территориально-распределенных информационных системах (например офисы/филиалы организации), либо имеется несколько сотрудников (администраторов безопасности), которым необходим персональный доступ в Центр сертифицированных обновлений, рекомендуется приобретение ключей по количеству офисов/филиалов или администраторов безопасности.
Мы приобрели пакет сертифицированного программного обеспечения Microsoft, что дальше?
1. Проверьте комплектность Вашего программного обеспечения (ПО)согласно разде-лу 4 Формуляра «Комплектность поставки». В случае недокомплекта или других недостатков в поставленной Вам продукции, свя-житесь с организацией-поставщиком и предъявите претензию в письменном виде.
2. Установите на компьютер программное обеспечение с дистрибутива, прошедшего верификацию. Если на вашем компьютере уже имеется данное ПО, произведите пол-ное его удаление. Перед установкой операционной системы очистите раздел жесткого диска, на который будет установлено ПО, желательно его отформатировав
3. Ключи для продуктов ПО Microsoft находятся: - для ОЕМ, GGK, FPP лицензий на наклейках сертификатов подлинности Microsoft, - для корпоративных лицензий (OLP) ключи VLK см. на вебстранице https://www.microsoft.com/licensing/servicecenter При отсутствии наклеек подлинности или лицензий Open License с вопросами недо-поставки обращайтесь в организацию, поставившую Вам ПО. В случае возникновения проблем с ключами или активацией ПО обращайтесь в компанию Microsoft. Вэб-адрес: www.microsoft.ru Телефоны: +7 (495) 916-7171 в Москве 8 (800) 200-8001 Регионы РФ.
4. Ознакомьтесь с Руководством по контролю и настройке сертифицированной версии. Документ находится на диске Media Kit, который входит в состав поставки сертифи-цированного ПО.
5. Сделайте настройку и контроль параметров безопасности в соответствии с Руководством по безопасной настройке и контролю сертифицированной версии.
6. Проведите установку сертифицированных обновлений используя Центр сертифи-цированных обновлений: www.update.altx-soft.ru. Порядок получения и установки сертифицированных обновлений описан в инструкции по получению сертифицированных обновлений. (находится на диске Media Kit)
7. Следите за появлением новых сертифицированных обновлений для Вашего программного обеспечения.
Успехов в работе!
2. Установите на компьютер программное обеспечение с дистрибутива, прошедшего верификацию. Если на вашем компьютере уже имеется данное ПО, произведите пол-ное его удаление. Перед установкой операционной системы очистите раздел жесткого диска, на который будет установлено ПО, желательно его отформатировав
3. Ключи для продуктов ПО Microsoft находятся: - для ОЕМ, GGK, FPP лицензий на наклейках сертификатов подлинности Microsoft, - для корпоративных лицензий (OLP) ключи VLK см. на вебстранице https://www.microsoft.com/licensing/servicecenter При отсутствии наклеек подлинности или лицензий Open License с вопросами недо-поставки обращайтесь в организацию, поставившую Вам ПО. В случае возникновения проблем с ключами или активацией ПО обращайтесь в компанию Microsoft. Вэб-адрес: www.microsoft.ru Телефоны: +7 (495) 916-7171 в Москве 8 (800) 200-8001 Регионы РФ.
4. Ознакомьтесь с Руководством по контролю и настройке сертифицированной версии. Документ находится на диске Media Kit, который входит в состав поставки сертифи-цированного ПО.
5. Сделайте настройку и контроль параметров безопасности в соответствии с Руководством по безопасной настройке и контролю сертифицированной версии.
6. Проведите установку сертифицированных обновлений используя Центр сертифи-цированных обновлений: www.update.altx-soft.ru. Порядок получения и установки сертифицированных обновлений описан в инструкции по получению сертифицированных обновлений. (находится на диске Media Kit)
7. Следите за появлением новых сертифицированных обновлений для Вашего программного обеспечения.
Успехов в работе!
Вопросы по решениям, организации и поддержке решений на платформе Microsoft
У нас большая информационная система, в которой эксплуатируется значительное количество различных версий сертифицированных продуктов Microsoft (Windows XP, 7, Server 2003, 2008, 2008 R2). Как автоматизировать получение и распространение сертифицированных
Самым оптимальным вариантом в таком случае является использование программы “Net_Check”, позволяющей реализовать централизованную настройку, обновление и контроль всех типов сертифицированных ОС Microsoft Windows в сети организации. Более подробно о программе “Net_Check” Вы сможете узнать по ссылке
Достаточно ли сертифицированной операционной системы Microsoft Windows XP (Vista, server 2003) для аттестации АС по классу 1Д/1Г включительно в соответствии с требованиями РД «Автоматизированные системы. Защита от несанкционированного доступа к информации
Вопрос поставлен не корректно. Сертифицированные операционные системы могут использоваться для построения автоматизированных систем (АС) до класса защищенности 1Г включительно, что подтверждено соответствующими сертификатами.
Средство вычислительной техники (СВТ), на которое установлена сертифицированная операционная система является лишь одной из составных частей автоматизированной системы (АС). Кроме СВТ АС включает в себя персонал организации, обеспечивающий ее функционирование, помещения, бумажные документы и т. д. Поэтому, при аттестации АС рассматриваются вопросы не только защиты от НСД, но и организационные меры защиты, вопросы физического доступа и т. д.
Однако если в АС используется сертифицированная операционная система, то большинство вопросов, связанных с защитой СВТ от несанкционированного доступа (НСД), может быть решено. Встроенные механизмы защиты сертифицированного ПО, настроенные в соответствии с Руководством по безопасной настройке и контролю, входящим в комплект поставки, в основном обеспечивают необходимый уровень защиты требуемый РД. Необходимость дополнительных средств защиты от НСД определяется условиями эксплуатации АС, характером угроз, наличием подключений к сетям общего пользования и т.д.
Решение об аттестации АС (о достаточности принятых технических и организационных мер по защите конфиденциальной информации, обрабатываемой АС) принимает аттестационная комиссия.
Если ЛВС построена на базе сервера с ОС MS Windows 2003 Server, то ограничено ли количество ПЭВМ, входящих в домен?
Все ограничения связаны с функциями самой ОС Windows Server 2003. Сертификация никаких ограничений по количеству ПЭВМ, входящих в домен, не накладывает
На компьютере установлена сертифицированная версия ОС MS Windows Vista, есть ли необходимость установки сертифицированной версии офисного программного комплекса MS Office 2007?
Да, если офисный программный комплекс MS Office 2007 применяется для обработки конфиденциальной информации или персональных данных.
Как автоматизировать получение и распространение сертифицированных обновлений с помощью WSUS, если наша организация не планирует использование «Net_Check»?
Механизмов предусматривающих взаимодействие сервера Центра сертифицированных обновлений с серверами WSUS не предусмотрено. Обновления, распространяемые Microsoft через сервисы WSUS, отличаются от обновлений, опубликованных в официальном центре обновлений и центре безопасности Microsoft. Состав получаемых WSUS обновлений (а следовательно и контрольные суммы) отличается от тех, которые публикуются в центре безопасности Microsoft и которые проходят процедуру инспекционного контроля (сертификации).
Необходимо ли устанавливать сертифицированную ОС на контроллер домена, если он не входит в состав ИСПДн, но обеспечивает работу всех сегментов сети предприятия?
Да, необходимо. Пользователи, обрабатывающие персональные данные на своих рабочих станциях, при входе в систему проходят аутентификацию и последующую авторизации на сервере контроллере домена. Механизмы безопасности контролера домена напрямую участвуют в реализации системы защиты и, следовательно, соответствующая ОС должна быть сертифицирована.
Нужно ли защищать сервер контроллера домена, почтовый, файловый сервер как описано на сайте, если никаких персональных данных там не хранится и не обрабатывается?
Необходимо, если на серверах непосредственно обрабатываются персональные данные или же механизмы защиты, которых входят в состав системы защиты ИСПДн, например, сервер является контролером домена ИСПДн.
На официальном сайте компании АЛТЭКС-СОФТ предложены решения для защиты ИСПДн 2 и 3 классов, где описаны различные варианты. В решениях предлагается на рабочие станции устанавливать сертифицированный Office, а на сервере баз данных установить сертифициров
В наших решениях приводится пример построения ИСПДн, в которой обработка и защита информации обеспечивается на платформе безопасности Microsoft, при этом используются механизмы безопасности серверных ОС, пользовательских ОС, прикладного ПО (Office) и СУБД (SQL). В таких случаях необходимо использовать средства, сертифицированные ФСТЭК России.
Сертификация серверных и пользовательских ОС, прикладного ПО и СУБД не требуется в том случае, когда эти сервера, пользовательские рабочие станции и прикладное ПО не участвуют в технологическом процессе обработки защищаемой информации, и их механизмы безопасности не обеспечивают защиту обрабатываемой пользователями информации. При этом сеть должна быть сегментирована с использованием средств межсетевого взаимодействия (межсетевых экранов).
Нужно ли после получения от Вас пакетов сертификации переустанавливать ОС?
Требования о переустановке СЗИ в руководящих документах отсутствуют, поэтому заявлять о необходимости переустановки невозможно. В соответствии с ограничениями, указанными в сертификатах соответствия, программное обеспечение должно пройти процедуру контроля соответствия (верификацию) эталонному экземпляру. Верификацию проходит дистрибутив на ПО, который предоставляется либо потребителем, либо приобретается для потребителя у официального дистрибьютора Microsoft. По исходному коду сертифицированное и лицензионное ПО Microsoft не отличается, поэтому можно рекомендовать провести процедуру переустановки всем потребителям, которые установили ПО Microsoft с нелицензионного дистрибутива. Остальные этапа контроля автоматизированы и проводятся на развернутом ПО с использованием программы Check.
У пользователя нет выхода в интернет, зачем ему ключ для получения обновлений? Зачем необходимо обновление ПО Microsoft?
Необходимость обновления указана в ограничениях по использованию сертифицированного ПО (ограничения приводятся на оборотных сторонах сертификатов соответствия), в частности – Microsoft. Вся информация по сертифицированным обновлениям безопасности для продуктов Microsoft доступна пользователям в личных кабинетах Центра сертифицированных обновлений. Доступ к личному кабинету пользователя организован по электронным ключам. Пользователю достаточно приобрести всего один ключ для организации, вне зависимости от масштабов информационной системы, но всегда есть возможность приобрести дополнительные при необходимости.
Стоит отметить, что безопасность информационной системы во многом зависит от того, на сколько своевременно осуществляется установка обновлений безопасности.
Что такое Центр сертифицированных обновлений и как получить к нему доступ?
Центр сертифицированных обновлений – доверенный Интернет ресурс, где представлены:
- информация по всем актуальным сертифицированным обновлениям безопасности для сертифицированных ФСТЭК России продуктов Microsoft,
- актуальные версии Руководств по безопасной настройке и контролю,
- актуальные версии программ контроля «Check» и др.
Все официально выпущенные Microsoft обновления безопасности и пакеты обновлений (Service Pack) к сертифицированному ПО, подлежат исследованиям в испытательной лаборатории, осуществляющей инспекционный контроль за этими продуктами. На прошедшие испытания обновления и дополнения в Центре сертифицированных обновлений публикуется вся необходимая информация: необходимость установки, контрольная сумму, наименование обновление и ссылка на центр загрузки Microsoft для получения обновления. Доступ к Центру сертифицированных обновлений осуществляется при помощи индивидуального USB-ключа пользователя с записанным на него электронным сертификатом.
- информация по всем актуальным сертифицированным обновлениям безопасности для сертифицированных ФСТЭК России продуктов Microsoft,
- актуальные версии Руководств по безопасной настройке и контролю,
- актуальные версии программ контроля «Check» и др.
Все официально выпущенные Microsoft обновления безопасности и пакеты обновлений (Service Pack) к сертифицированному ПО, подлежат исследованиям в испытательной лаборатории, осуществляющей инспекционный контроль за этими продуктами. На прошедшие испытания обновления и дополнения в Центре сертифицированных обновлений публикуется вся необходимая информация: необходимость установки, контрольная сумму, наименование обновление и ссылка на центр загрузки Microsoft для получения обновления. Доступ к Центру сертифицированных обновлений осуществляется при помощи индивидуального USB-ключа пользователя с записанным на него электронным сертификатом.
Закончился срок действия сертификата на электронном ключе для доступа в Центр сертифицированных обновлений. Что делать дальше?
Для возобновления доступа вы можете воспользоваться механизмом продления сертификата, зайдя по ссылке «Продлить просроченный сертификат», появляющейся на странице ошибкипри просроченном сертификате. При возникновении сложностей или ошибок перезаписи, пользователь может обратиться в службу технической поддержки АЛТЭКС-СОФТ по адресу support@altx-soft.ru, указав наименование сертификата и описав проблему.
Какие обновления можно устанавливать без проведения контроля?
Все обновления сертифицированного программного обеспечения Microsoft, не являющиеся обновлениями безопасности (например: обновления для WMP (
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=f234ef4f-2610-4ffa-9f99-b...), обновления для Windows XP(
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=d3ac165e-d7c4-4bdf-83f0-e...) и т.д.) могут быть установлены пользователем без проведения процедуры контроля.
Microsoft публикует в центре безопасности Security TechCenter ( http://technet.microsoft.com/en-us/security/bulletin/) информацию по всем выпускаемым обновлениям безопасности. Каждый второй вторник месяца, эта информация обновляется, появляются новые обновления безопасности, которые отправляются в испытательную лабораторию. Затем, информация по сертифицированным обновлениям попадает в Центр сертифицированных обновлений. Обновления, не затрагивающие безопасность, не относятся к бюллетеням безопасности и могут быть установлены пользователем на их усмотрение.
Microsoft публикует в центре безопасности Security TechCenter ( http://technet.microsoft.com/en-us/security/bulletin/) информацию по всем выпускаемым обновлениям безопасности. Каждый второй вторник месяца, эта информация обновляется, появляются новые обновления безопасности, которые отправляются в испытательную лабораторию. Затем, информация по сертифицированным обновлениям попадает в Центр сертифицированных обновлений. Обновления, не затрагивающие безопасность, не относятся к бюллетеням безопасности и могут быть установлены пользователем на их усмотрение.
Как произвести обновление сертифицированного ПО Microsoft?
Наиболее простым способом обновления сертифицированного ПО Microsoft является использование соответствующего функционала программ «Check». Модуль сканирования автоматически определит установленные на системе обновления и сформирует отчет, который может быть загружен в Центр сертифицированных обновлений как в ручном режиме (off-line режим работы Check), так и автоматически (при наличии подключения к Интернет). Пользователю останется лишь произвести загрузку указанных обновлений, проконтролировать файлы и установить их на систему. Установка производится пользователем любым удобным способом.
При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу «Net_Check», позволяющую провести все операции связанные с обновлением ПО централизованно из единой консоли.
Как произвести настройку и контроль сертифицированного ПО Microsoft?
Самым оптимальным вариантом настройки сертифицированного ПО Microsoft является использование соответствующего функционала программ «Check». Модуль настройки параметров безопасности позволяет изменить параметры безопасности на системе нажатием одной клавиши, так и произвести избирательную настройку каждого из параметров, в соответствии со значениями сертифицированных конфигураций, либо заданных пользователем. Помимо этого программы «Check» позволяют легко произвести сопоставление (контроль) действующих значений параметров безопасности и их значений с сертифицированной конфигурацией, создать свою конфигурацию безопасности, построить отчеты и осуществить другие операции с параметрами ПО Microsoft.
При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу «Net_Check», позволяющую провести все операции связанные с настройкой ПО централизованно из единой консоли.
Так же настройку можно произвести в ручном режиме прочитав Руководство по безопасной настройке и контролю. Входящей в состав поставки ПО.
Какие особенности эксплуатации сертифицированных версий ПО Microsoft?
Эксплуатация сертифицированных версий ПО Microsoft практически ни чем не отличается от лицензионного ПО. Отличие заключается:
• Настройке механизмов защиты безопасности ПО должны быть настроены в соответствие с Руководство по безопасной настройке и контролю.
• На ПО должны быть установлены все актуальные обязательные обновления безопасности с Центра сертифицированных обновлений производителей сертифицированных версий.
• Настройке механизмов защиты безопасности ПО должны быть настроены в соответствие с Руководство по безопасной настройке и контролю.
• На ПО должны быть установлены все актуальные обязательные обновления безопасности с Центра сертифицированных обновлений производителей сертифицированных версий.
Вопросы по программам Check и конфигурациям безопасности
Что такое программы «Check» и для чего они необходимы?
Программы семейства «Check» - инструмент администратора (администратора безопасности), который позволяет автоматизировать процесс приведения в соответствие ПО Microsoft условиям действия Сертификатов. Программы “Check” предназначены для автоматической настройки и контроля ПО согласно Руководству по безопасной настройке, автоматизированной установки обновления, фиксации состояния и других операций с сертифицированными версиями продуктов Microsoft. Программы контроля семейства «Check» являются одной из компонент Пакетов сертифицированных версий ПО Microsoft.
Программы «Check» обеспечивают:
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии,
• формирование отчетов об установленных и неустановленных сертифицированных обновлениях безопасности,
• проверку загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft,
• фиксацию и контроль целостности файлов методом контрольного суммирования по уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства «ФИКС-библиотека 1.0», Сертификат ФСТЭК России №677,
• контроль и настройку параметров безопасности в автоматизированном (на основании сертифицированных конфигураций) и ручном (установка значений отдельных параметров безопасности) режимах,
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации,
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы,
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии,
• формирование отчетов об установленных и неустановленных сертифицированных обновлениях безопасности,
• проверку загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft,
• фиксацию и контроль целостности файлов методом контрольного суммирования по уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства «ФИКС-библиотека 1.0», Сертификат ФСТЭК России №677,
• контроль и настройку параметров безопасности в автоматизированном (на основании сертифицированных конфигураций) и ручном (установка значений отдельных параметров безопасности) режимах,
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации,
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы,
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.
Что такое программа «Net_Check» и для чего она необходима?
Net_Check — программное средство для централизованного контроля, настройки и обновления механизмов безопасности сертифицированных версий продуктов Microsoft в сети предприятия. Используется при организации обработки конфиденциальной информации и персональных данных в защищенных системах, построенных на платформе безопасности Microsoft.
Программа Net_Check не входит в состав пакетов сертификации ПО Microsoft, является отдельно лицензируемым продуктом и представляет собой дальнейшее развитие локальных Программ настройки и контроля сертифицированных версий продуктов Microsoft (семейство программ ''Check'') и предназначена для централизованного выполнения следующих действий:
• контроль сертифицированных версий программных продуктов Microsoft,
• контроль и установка сертифицированных обновлений безопасности,
• фиксация и контроль исполняемых файлов и библиотек,
• настройка параметров безопасности в соответствие с сертифицированными конфигурациями,
• формирование отчетов о соответствии контролируемых ЭВМ требованиям к функционированию сертифицированных версий программ.
Более подробно узнать о программе «Net_Check» Вы можете у наших менеджеров отдела продаж, либо на странице продукта
Программа Net_Check не входит в состав пакетов сертификации ПО Microsoft, является отдельно лицензируемым продуктом и представляет собой дальнейшее развитие локальных Программ настройки и контроля сертифицированных версий продуктов Microsoft (семейство программ ''Check'') и предназначена для централизованного выполнения следующих действий:
• контроль сертифицированных версий программных продуктов Microsoft,
• контроль и установка сертифицированных обновлений безопасности,
• фиксация и контроль исполняемых файлов и библиотек,
• настройка параметров безопасности в соответствие с сертифицированными конфигурациями,
• формирование отчетов о соответствии контролируемых ЭВМ требованиям к функционированию сертифицированных версий программ.
Более подробно узнать о программе «Net_Check» Вы можете у наших менеджеров отдела продаж, либо на странице продукта
Что такое сертифицированные конфигурации параметров безопасности?
Использование сертифицированных продуктов предполагает их функционирование в определенных конфигурациях, при которых программное обеспечение проходило сертификационные испытания и обеспечивает требуемый уровень безопасности. Перечень параметров и их значения приведены в Руководствах по безопасной настройке сертифицированных версий. Данные конфигурации разработаны на основе результатов сертификационных испытаний и рекомендаций, приведенных в Руководствах по безопасности Microsoft.
Конфигурации определяются набором эталонных значений параметров безопасности. Применительно к продуктам Microsoft таких конфигураций, как правило, две:
• конфигурация «Корпоративный клиент» - аналог шаблона параметров безопасности «Enterprise Client», рекомендуемого для большинства защищенных автоматизированных систем,
• конфигурация «Безопасная среда» - аналог шаблона параметров безопасности SSLF (Specialized Security - Limited Functionality), рекомендуемого для создания высокозащищенных систем с ограничением функционала ПО. Для эффективного и удобного применения указанных конфигураций компанией АЛТЭКС-СОФТ разработаны программы контроля и настройки сертифицированных продуктов Мicrosoft (семейство программ «Check»).
• конфигурация «Корпоративный клиент» - аналог шаблона параметров безопасности «Enterprise Client», рекомендуемого для большинства защищенных автоматизированных систем,
• конфигурация «Безопасная среда» - аналог шаблона параметров безопасности SSLF (Specialized Security - Limited Functionality), рекомендуемого для создания высокозащищенных систем с ограничением функционала ПО. Для эффективного и удобного применения указанных конфигураций компанией АЛТЭКС-СОФТ разработаны программы контроля и настройки сертифицированных продуктов Мicrosoft (семейство программ «Check»).
Допускается ли изменение параметров безопасности, приведенных Руководствах по безопасной настройке сертифицированных версий?
Да, допускается. С параметрами безопасности, приведенными в Руководствах по безопасной настройке, сертифицированные версии ПО Microsoft прошли испытания, и данные параметры в Руководствах приведены как рекомендуемые. В зависимости от технологии обработки информации и модели угроз допускается их изменение. Функционал программ “Check” позволяет как применение сертифицированных конфигураций в автоматическом режиме по нажатию одной кнопки, так и ручную корректировку параметров через единый удобный интерфейс. Необходимо помнить, что все изменения параметров безопасности (от сертифицированных конфигураций) должны согласовываться с организацией (лицензиатом ФСТЭК России) аттестующей автоматизированную систему.