Общие вопросы по аттестации и лицензированию деятельности по защите информации
В Информационном сообщении ФСТЭК России от 30 мая 2012 г. № 240/22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» допускает возможность работы без лицензии на ТЗКИ, если деятельность организации не направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации.
То есть, Лицензия ТЗКИ оператору ПДн не обязательна, если работы проводятся в рамках внутренней деятельности организации для защиты ПДн, оператором которых она является.
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК РОССИИ от 15 июля 2013 г. N 240/22/2637
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и может осуществляться специалистами организации-заказчика или любой другой организацией, являющейся лицензиатом ФСТЭК России. После инсталляции сертифицированное ПО должно быть настроено в соответствии с эксплуатационной документацией (Руководством по безопасности, руководством администратора и т.д.).
Состав СЗИ определяется классом (уровнем) защищенности ИС и моделью угроз для конкретной системы. Рекомендации по составу СЗИ, поставляемых компанией АЛТЭКС-СОФТ, для реализации мер защиты ГИС и ИСПД приведены в таблице
В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.
Вместе с тем, Указом Президента РФ от 06.03.1997 N 188 »Об утверждении Перечня сведений конфиденциального характера») персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера.
Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)». В п. 2.17 СТР-К указано «Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации». Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
Вместе с тем, необходимо учесть, что в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора».
Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех организационно-технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением Лицензиатов ФСТЭК и (или) ФСБ России (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он получает уверенность, что все меры выполнены, а в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.
Указом Президента РФ от 06.03.1997 N 188 »Об утверждении Перечня сведений конфиденциального характера» персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Для защиты конфиденциальной информации должны применяться средства защиты прошедшие обязательную сертификацию в рамках системы сертификации средств защиты информации (системы сертификации ФСБ и ФСТЭК России).
Федеральный закон № 99 от 4 мая 2011 г. «О лицензировании отдельных видов деятельности» определяет, что лицензированию подлежит только деятельность по распространению шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, а также специальные технические средства, предназначенные для негласного получения информации (данный Закон не распространяется на деятельность по защите государственной тайны). Таким образом, можно сделать вывод, что лицензия на реализацию средств защиты конфиденциальной информации, включая и персональные данные, не требуется.
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и осуществляется специалистами организации-заказчика. После инсталляции сертифицированное ПО должно быть настроено в соответствии с Руководством по безопасной настройке и контролю сертифицированного ПО (Руководство входит в состав Media Kit, который поставляется в составе комплектов поставки сертифицированного ПО). Настройка также выполняется специалистами организации-заказчика.
Общие вопросы по сертифицированным продуктам Microsoft и их приобретению
Для АС: класса 1Г включительно (максимальный класс АС, обрабатывающих конфиденциальную информацию).
ИСПДн — 3 и 4 уровня защищенности, для которых отсутствуют угрозы 1 и 2 типа (угрозы связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении).
ГИС — 3 и 4 класса защищенности (п. 26 Приказа ФСТЭК России № 17 от 11 февраля 2013 г)
Сертифицированным ПО Microsoft является лицензионное ПО со встроенными механизмами защиты, прошедшими сертификацию в системе сертификации средств защиты информации, что подтверждено сертификатом соответствия ФСТЭК России, а также настроенное и эксплуатируемое в соответствии с сертифицированными параметрами.
Сертификацию проходят заявленные Microsoft встроенные средства (механизмы) защиты программного обеспечения, к которым относятся:
• аутентификации и идентификации,
• контроля доступа,
• регистрации и учета,
• аудита,
• обеспечения целостности,
• блокирования запуска вредоносных программ,
• обеспечения функций межсетевого экранирования,
• и другие.
В бинарном коде сертифицированные продукты ни чем не отличаются от стандартного лицензионного программного обеспечения. Отличия состоят в условиях эксплуатации ПО, пакете предоставляемых дополнительных сервисов, сопроводительной документации и сертификационной поддержке, являющейся обязательным условиями действия сертификата.
Это государственные и коммерческие организации обрабатывающие конфиденциальную информацию в АС классов до 1Г включительно. Все организации обрабатывающие персональные данные до 2-го класса включительно.
Практически в каждой организации России основной рабочей IT-средой является Windows. На сегодняшний момент сертифицированы ФСТЭК России все самые распространенные пользовательские и серверные операционные системы, которые могут являться эффективным и экономичным решением для защиты информации. Для построения системы защиты на платформе сертифицированных продуктов Microsoft не требуется изменения технологии обработки информации, использование наложенных средств защиты, специальной подготовки персонала, больших финансовых затрат. Все эти факторы позволяют организациям больше сосредоточиться на решении бизнес-задач, нежели на создании некой «надстройке» безопасности . При этом, сертифицированные продукты Microsoft являются самыми современными и совершенными средствами защиты информации, которым доверяют во всем мире.
В отличии от базового пакета в состав полного пакета входит программно-аппаратный комплекс усиления функций аутентификации пользователей (дополнительная защита от НСД), включающий сертифицированный электронный USB-ключ (или смарт-карту) eToken 5 и сертифицированную программу eToken Network Logon.
Опросный лист необходим для регистрации покупателей и внесения данных о конечных пользователях в базу данных держателей сертифицированного ПО, доступную проверяющим органам: ФСТЭК России.
В большинстве Сертификатов на ПО Microsoft имеются следующие ограничения по применению:
1. При использовании ПО должны соблюдаться условия, определенные для среды функционирования, описанные в Задании по безопасности или ТУ.
2. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с Руководство по безопасной настройке и контролю.
3. ПО должно пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
4. На ПО должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
Несмотря на то, что в Сертификатах на более ранние версии, данные ограничения отсутствуют, в соответствии с Нормативными документами ФСТЭК выполнение вышеприведенных требований также обязательно.
Количество пакетов сертификации определяется количеством компьютеров (рабочих мест), которые буду участвовать в процессе защиты обрабатываемой конфиденциальной информации или персональных данных. Состав заказа: Лицензия на ПО Microsoft (по количеству рабочих мест), дистрибутив ПО Microsoft (один или несколько, в зависимости от типа лицензирования Microsoft), пакет сертификации и лицензия на Check (по количеству рабочих мест), электронный USB-ключ для получения обновлений (один на организацию или филиал организации-пользователя).
В соответствии с технологией, при серийном производстве сертифицированных продуктов Microsoft проводится несколько этапов контроля. На одном из таких этапов осуществляется входной контроль, заключающийся в проверке соответствия верифицируемых дистрибутивов тем, которые были представлены на сертификационные испытания, по внешнему виду и партийным/серийным номерам. Сертифицируются, а затем эталонируются дистрибутивы установленного фирменного образца, произведенные официальным репликатором Microsoft и распространяемые через сеть дистрибьюторов Microsoft. Именно такие диски (т.е. приобретенные у любого официального поставщика Microsoft) необходимо предоставлять на сертификацию. Диски, полученные иным путем будут иметь отличие от проходивших сертификацию (эталонированные) и, следовательно, вышеописанный этап контроля пройти не могут.
Нет, установочный комплекты Microsoft (дистрибутив) в пакеты сертификации не входит. Сертификация ПО Microsoft организована по схеме серийного производства, при котором дистрибутив не тиражируется, а проверяется (верифицируется) фирменный дистрибутив, произведенный официальным репликатором Microsoft. Сертификации подлежат только русскоязычные версии дистрибутивов ПО Microsoft. Перед оформлением заказа рекомендуется уточнить у нашего менеджера, выслав фото или скан, возможность его сертификации.
Сертификация ПО Microsoft организована по схеме серийного производства, при котором верифицированный дистрибутив не тиражируется, а проверяется фирменный дистрибутив Microsoft. Проверка осуществляется методом контрольного суммирования по сертифицированным алгоритмам и последующего сравнения значений с эталонными. Для целей верификации подходит фирменный дистрибутив русскоязычной версии ПО Microsoft, имеющийся у пользователя или приобретенный у любого официального дистрибьютора Microsoft.
Ключ для получения доступа к центру сертифицированных обновлений (USB-ключ для обновлений) — это отдельная позиция в заказе, которая в состав Пакет сертификации не входит. Ключ необходим организации-пользователю сертифицированного ПО Microsoft (как минимум в одном экземпляре) для получения информации по всем сертифицированным обновлениям на свои продукты. Если организация пользователь уже является пользователем сертифицированного ПО Microsoft, то дополнительные ключи приобретаются по желанию. Если организация приобретает свой первый комплект сертифицированного ПО Microsoft, ключ для получения обновлений будет поставлен в заказ автоматически.
Даунгрейд (англ. downgrade) – право использования ПО более старых версий по лицензии на более новый и современный продукт. Примером могут являться продукты Microsoft, политикой лицензирования которых, предусмотрена возможность использования ПО, версия которого предшествует версии ПО, на которое куплена лицензия. Например, приобретая лицензию для Windows 7 Профессиональная, пользователь имеет право использовать Windows Vista Business или Windows XP Professional. Пользователь может выбрать версию ПО, которая больше всего подходит для его задач или аппаратные возможности оборудования, несмотря на то.
Основными показателями того, что эксплуатируемое ПО является сертифицированным:
• ПО установлено с верифицированного дистрибутива. Номер носителя на верифицированном дистрибутиве (упаковке с носителем) соответствует номеру в Формуляре,
• наличие заверенной заявителем копии сертификата соответствия ФСТЭК России и комплекта документации установленного образца (Формуляр или Паспорт на изделие),
• соответствующий продукт промаркирован голографическим знаком соответствия ФСТЭК России,
• выполнены условия функционирования, требования и ограничения по эксплуатации, указанные в сертификате соответствия и документации на продукт,
• развернутое ПО настроено и успешно прошло контроль с помощью программ “Check”,
• корректное выполнение всех организационных мер с соответствующим заполнением Формуляра.
В общем случае необходим один ключ на организацию-пользователя. Электронный ключ для получения сертифицированных обновлений является носителем с уникальным идентификатором организации-пользователя сертифицированного ПО Microsoft. При помощи ключа пользователь может получать доступ к личному кабинету в Центре сертифицированных обновлений, производить загрузку и обновление программ “Check” и получать информацию по сертифицированным обновлениям для продуктов. Так же при помощи ключа пользователь может просматривать on-line отчеты из программ «Check» и «Net_Check». У организации пользователя должен быть как минимум один ключ для получения сертифицированных обновлений (вне зависимости от типа и количества эксплуатирующихся сертифицированных продуктов Microsoft). В ситуации, когда у организации сертифицированное ПО Microsoft используется в территориально-распределенных информационных системах (например офисы/филиалы организации), либо имеется несколько сотрудников (администраторов безопасности), которым необходим персональный доступ в Центр сертифицированных обновлений, рекомендуется приобретение ключей по количеству офисов/филиалов или администраторов безопасности.
1. Проверьте комплектность Вашего программного обеспечения (ПО)согласно разде-лу 4 Формуляра «Комплектность поставки». В случае недокомплекта или других недостатков в поставленной Вам продукции, свя-житесь с организацией-поставщиком и предъявите претензию в письменном виде.
2. Установите на компьютер программное обеспечение с дистрибутива, прошедшего верификацию. Если на вашем компьютере уже имеется данное ПО, произведите пол-ное его удаление. Перед установкой операционной системы очистите раздел жесткого диска, на который будет установлено ПО, желательно его отформатировав
3. Ключи для продуктов ПО Microsoft находятся: — для ОЕМ, GGK, FPP лицензий на наклейках сертификатов подлинности Microsoft, — для корпоративных лицензий (OLP) ключи VLK см. на вебстранице
Телефоны: +7 (495) 916-7171 в Москве 8 (800) 200-8001 Регионы РФ.
4. Ознакомьтесь с Руководством по контролю и настройке сертифицированной версии. Документ находится на диске Media Kit, который входит в состав поставки сертифи-цированного ПО.
5. Сделайте настройку и контроль параметров безопасности в соответствии с Руководством по безопасной настройке и контролю сертифицированной версии.
6. Проведите установку сертифицированных обновлений используя Центр сертифи-цированных обновлений:
. Порядок получения и установки сертифицированных обновлений описан в инструкции по получению сертифицированных обновлений. (находится на диске Media Kit)
7. Следите за появлением новых сертифицированных обновлений для Вашего программного обеспечения.
Успехов в работе!
Вопросы по решениям, организации и поддержке решений на платформе Microsoft
Самым оптимальным вариантом в таком случае является использование программы “Net_Check”, позволяющей реализовать централизованную настройку, обновление и контроль всех типов сертифицированных ОС Microsoft Windows в сети организации. Более подробно о программе “Net_Check” Вы сможете узнать по ссылке
Вопрос поставлен не корректно. Сертифицированные операционные системы могут использоваться для построения автоматизированных систем (АС) до класса защищенности 1Г включительно, что подтверждено соответствующими сертификатами.
Средство вычислительной техники (СВТ), на которое установлена сертифицированная операционная система является лишь одной из составных частей автоматизированной системы (АС). Кроме СВТ АС включает в себя персонал организации, обеспечивающий ее функционирование, помещения, бумажные документы и т. д. Поэтому, при аттестации АС рассматриваются вопросы не только защиты от НСД, но и организационные меры защиты, вопросы физического доступа и т. д.
Однако если в АС используется сертифицированная операционная система, то большинство вопросов, связанных с защитой СВТ от несанкционированного доступа (НСД), может быть решено. Встроенные механизмы защиты сертифицированного ПО, настроенные в соответствии с Руководством по безопасной настройке и контролю, входящим в комплект поставки, в основном обеспечивают необходимый уровень защиты требуемый РД. Необходимость дополнительных средств защиты от НСД определяется условиями эксплуатации АС, характером угроз, наличием подключений к сетям общего пользования и т.д.
Решение об аттестации АС (о достаточности принятых технических и организационных мер по защите конфиденциальной информации, обрабатываемой АС) принимает аттестационная комиссия.
Все ограничения связаны с функциями самой ОС Windows Server 2003. Сертификация никаких ограничений по количеству ПЭВМ, входящих в домен, не накладывает
Да, если офисный программный комплекс MS Office 2007 применяется для обработки конфиденциальной информации или персональных данных.
Механизмов предусматривающих взаимодействие сервера Центра сертифицированных обновлений с серверами WSUS не предусмотрено. Обновления, распространяемые Microsoft через сервисы WSUS, отличаются от обновлений, опубликованных в официальном центре обновлений и центре безопасности Microsoft. Состав получаемых WSUS обновлений (а следовательно и контрольные суммы) отличается от тех, которые публикуются в центре безопасности Microsoft и которые проходят процедуру инспекционного контроля (сертификации).
Да, необходимо. Пользователи, обрабатывающие персональные данные на своих рабочих станциях, при входе в систему проходят аутентификацию и последующую авторизации на сервере контроллере домена. Механизмы безопасности контролера домена напрямую участвуют в реализации системы защиты и, следовательно, соответствующая ОС должна быть сертифицирована.
Необходимо, если на серверах непосредственно обрабатываются персональные данные или же механизмы защиты, которых входят в состав системы защиты ИСПДн, например, сервер является контролером домена ИСПДн.
В наших решениях приводится пример построения ИСПДн, в которой обработка и защита информации обеспечивается на платформе безопасности Microsoft, при этом используются механизмы безопасности серверных ОС, пользовательских ОС, прикладного ПО (Office) и СУБД (SQL). В таких случаях необходимо использовать средства, сертифицированные ФСТЭК России.
Сертификация серверных и пользовательских ОС, прикладного ПО и СУБД не требуется в том случае, когда эти сервера, пользовательские рабочие станции и прикладное ПО не участвуют в технологическом процессе обработки защищаемой информации, и их механизмы безопасности не обеспечивают защиту обрабатываемой пользователями информации. При этом сеть должна быть сегментирована с использованием средств межсетевого взаимодействия (межсетевых экранов).
Требования о переустановке СЗИ в руководящих документах отсутствуют, поэтому заявлять о необходимости переустановки невозможно. В соответствии с ограничениями, указанными в сертификатах соответствия, программное обеспечение должно пройти процедуру контроля соответствия (верификацию) эталонному экземпляру. Верификацию проходит дистрибутив на ПО, который предоставляется либо потребителем, либо приобретается для потребителя у официального дистрибьютора Microsoft. По исходному коду сертифицированное и лицензионное ПО Microsoft не отличается, поэтому можно рекомендовать провести процедуру переустановки всем потребителям, которые установили ПО Microsoft с нелицензионного дистрибутива. Остальные этапа контроля автоматизированы и проводятся на развернутом ПО с использованием программы Check.
Необходимость обновления указана в ограничениях по использованию сертифицированного ПО (ограничения приводятся на оборотных сторонах сертификатов соответствия), в частности – Microsoft. Вся информация по сертифицированным обновлениям безопасности для продуктов Microsoft доступна пользователям в личных кабинетах Центра сертифицированных обновлений. Доступ к личному кабинету пользователя организован по электронным ключам. Пользователю достаточно приобрести всего один ключ для организации, вне зависимости от масштабов информационной системы, но всегда есть возможность приобрести дополнительные при необходимости.
Стоит отметить, что безопасность информационной системы во многом зависит от того, на сколько своевременно осуществляется установка обновлений безопасности.
Центр сертифицированных обновлений – доверенный Интернет ресурс, где представлены:
— информация по всем актуальным сертифицированным обновлениям безопасности для сертифицированных ФСТЭК России продуктов Microsoft,
— актуальные версии Руководств по безопасной настройке и контролю,
— актуальные версии программ контроля «Check» и др.
Все официально выпущенные Microsoft обновления безопасности и пакеты обновлений (Service Pack) к сертифицированному ПО, подлежат исследованиям в испытательной лаборатории, осуществляющей инспекционный контроль за этими продуктами. На прошедшие испытания обновления и дополнения в Центре сертифицированных обновлений публикуется вся необходимая информация: необходимость установки, контрольная сумму, наименование обновление и ссылка на центр загрузки Microsoft для получения обновления. Доступ к Центру сертифицированных обновлений осуществляется при помощи индивидуального USB-ключа пользователя с записанным на него электронным сертификатом.
Наиболее простым способом обновления сертифицированного ПО Microsoft является использование соответствующего функционала программ «Check». Модуль сканирования автоматически определит установленные на системе обновления и сформирует отчет, который может быть загружен в Центр сертифицированных обновлений как в ручном режиме (off-line режим работы Check), так и автоматически (при наличии подключения к Интернет). Пользователю останется лишь произвести загрузку указанных обновлений, проконтролировать файлы и установить их на систему. Установка производится пользователем любым удобным способом.
При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу «Net_Check», позволяющую провести все операции связанные с обновлением ПО централизованно из единой консоли.
Самым оптимальным вариантом настройки сертифицированного ПО Microsoft является использование соответствующего функционала программ «Check». Модуль настройки параметров безопасности позволяет изменить параметры безопасности на системе нажатием одной клавиши, так и произвести избирательную настройку каждого из параметров, в соответствии со значениями сертифицированных конфигураций, либо заданных пользователем. Помимо этого программы «Check» позволяют легко произвести сопоставление (контроль) действующих значений параметров безопасности и их значений с сертифицированной конфигурацией, создать свою конфигурацию безопасности, построить отчеты и осуществить другие операции с параметрами ПО Microsoft.
При необходимости работы в сети с большим количеством компьютеров , рекомендуется использовать программу «Net_Check», позволяющую провести все операции связанные с настройкой ПО централизованно из единой консоли.
Так же настройку можно произвести в ручном режиме прочитав Руководство по безопасной настройке и контролю. Входящей в состав поставки ПО.
Эксплуатация сертифицированных версий ПО Microsoft практически ни чем не отличается от лицензионного ПО. Отличие заключается:
• Настройке механизмов защиты безопасности ПО должны быть настроены в соответствие с Руководство по безопасной настройке и контролю.
• На ПО должны быть установлены все актуальные обязательные обновления безопасности с Центра сертифицированных обновлений производителей сертифицированных версий.
Оставьте заявку на консультацию по средствам защиты информации
Программы семейства «Check» — инструмент администратора (администратора безопасности), который позволяет автоматизировать процесс приведения в соответствие ПО Microsoft условиям действия Сертификатов. Программы “Check” предназначены для автоматической настройки и контроля ПО согласно Руководству по безопасной настройке, автоматизированной установки обновления, фиксации состояния и других операций с сертифицированными версиями продуктов Microsoft. Программы контроля семейства «Check» являются одной из компонент Пакетов сертифицированных версий ПО Microsoft.
Программы «Check» обеспечивают:
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии,
• формирование отчетов об установленных и неустановленных сертифицированных обновлениях безопасности,
• проверку загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft,
• фиксацию и контроль целостности файлов методом контрольного суммирования по уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства «ФИКС-библиотека 1.0», Сертификат ФСТЭК России №677,
• контроль и настройку параметров безопасности в автоматизированном (на основании сертифицированных конфигураций) и ручном (установка значений отдельных параметров безопасности) режимах,
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации,
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы,
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.
Net_Check — программное средство для централизованного контроля, настройки и обновления механизмов безопасности сертифицированных версий продуктов Microsoft в сети предприятия. Используется при организации обработки конфиденциальной информации и персональных данных в защищенных системах, построенных на платформе безопасности Microsoft.
Программа Net_Check не входит в состав пакетов сертификации ПО Microsoft, является отдельно лицензируемым продуктом и представляет собой дальнейшее развитие локальных Программ настройки и контроля сертифицированных версий продуктов Microsoft (семейство программ »Check») и предназначена для централизованного выполнения следующих действий:
• контроль сертифицированных версий программных продуктов Microsoft,
• контроль и установка сертифицированных обновлений безопасности,
• фиксация и контроль исполняемых файлов и библиотек,
• настройка параметров безопасности в соответствие с сертифицированными конфигурациями,
• формирование отчетов о соответствии контролируемых ЭВМ требованиям к функционированию сертифицированных версий программ.
Более подробно узнать о программе «Net_Check» Вы можете у наших менеджеров отдела продаж, либо на странице продукта
Использование сертифицированных продуктов предполагает их функционирование в определенных конфигурациях, при которых программное обеспечение проходило сертификационные испытания и обеспечивает требуемый уровень безопасности. Перечень параметров и их значения приведены в Руководствах по безопасной настройке сертифицированных версий. Данные конфигурации разработаны на основе результатов сертификационных испытаний и рекомендаций, приведенных в Руководствах по безопасности Microsoft.
Конфигурации определяются набором эталонных значений параметров безопасности. Применительно к продуктам Microsoft таких конфигураций, как правило, две:
• конфигурация «Корпоративный клиент» — аналог шаблона параметров безопасности «Enterprise Client», рекомендуемого для большинства защищенных автоматизированных систем,
• конфигурация «Безопасная среда» — аналог шаблона параметров безопасности SSLF (Specialized Security — Limited Functionality), рекомендуемого для создания высокозащищенных систем с ограничением функционала ПО.
Для эффективного и удобного применения указанных конфигураций компанией АЛТЭКС-СОФТ разработаны программы контроля и настройки сертифицированных продуктов Мicrosoft (семейство программ «Check»).
Да, допускается. С параметрами безопасности, приведенными в Руководствах по безопасной настройке, сертифицированные версии ПО Microsoft прошли испытания, и данные параметры в Руководствах приведены как рекомендуемые. В зависимости от технологии обработки информации и модели угроз допускается их изменение. Функционал программ “Check” позволяет как применение сертифицированных конфигураций в автоматическом режиме по нажатию одной кнопки, так и ручную корректировку параметров через единый удобный интерфейс. Необходимо помнить, что все изменения параметров безопасности (от сертифицированных конфигураций) должны согласовываться с организацией (лицензиатом ФСТЭК России) аттестующей автоматизированную систему.
Средства защиты информации
Средства защиты информации (СЗИ) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.
При защите информации, требования к защите которой определены действующим законодательством, применяемые СЗИ должны обладать сертификатами соответствия требованиям регуляторов. Для большинства СЗИ требуется наличие сертификатов, выданных Федеральной службой по техническому и экспортному контролю России, однако в случае необходимости применения средств криптографической защиты информации (СКЗИ) требуется наличие сертификатов, выданных Федеральной службой безопасности России.
Организация, устанавливающая данные СЗИ в виде услуги, должна обладать лицензиями, выданными соответствующими лицензирующими органами. КГ НИЦ является партнером ведущих производителей средств защиты информации, обладает необходимыми лицензиями и обширным опытом работы с ними
Мы поможем Вам подобрать комплексные решения, которые будут оптимальны именно для Вашей организации, организуем поставку, проведем установку и настройку в соответствии с особенностями Вашей информационной инфраструктуры и требованиями регуляторов.
Средства защиты от несанкционированного доступа (CЗИ от НСД) — это программные и/или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.
Функции СЗИ от НСД:
- идентификация и аутентификация пользователей и устройств;
- регистрация запуска (завершения) программ и процессов;
- реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
- управление информационными потоками между устройствами;
- учет носителей информации и другие функции.
Модуль доверенной загрузки (МДЗ) представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и выполняет следующие функции:
- идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.);
- контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы;
- блокировка несанкционированной загрузки операционной системы с внешних съемных носителей;
- функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ;
- контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.);
- регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).
В зависимости от реализации модули доверенной загрузки различаются на аппаратно-программные и программные. Функции исполняемые МДЗ в зависимости от вида могут различаться.
Межсетевой экран (файрвол, МЭ) — это локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.
Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.
Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности
Выделяют следующие виды межсетевых экранов:
межсетевой экран уровня сети;
межсетевой экран уровня логических границ;
межсетевой экран уровня узла;
межсетевой экран уровня веб-сервера колу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
межсетевой экран уровня промышленной сети.
Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.
К основным функциям систем IDS относятся:
- обнаружение вторжений и выявление сетевых атак,
- прогнозирование и поиск уязвимостей,
- распознавание источника атаки (взломщики или инсайдеры),
- обеспечение контроля качества системного администрирования.
Концептуальная схема систем обнаружения вторжений включает в себя:
- подсистему сбора событий, или сенсорную,
- подсистему анализа данных, полученных от сенсорной подсистемы,
- подсистему хранения событий,
- консоль администрирования.
Выделяют следующие виды систем обнаружения вторжений:
- СОВ уровня сети;
- СОВ уровня узла.
Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.
В нормативных требованиях сканеры уязвимости периодически называются средствами анализа и контроля защищенности информации.
Основные функции сканеров уязвимости:
- получения информации о системе;
- проверки сетевых устройств;
- проверки возможности осуществления атак типа «отказ в обслуживании» («Denial of Service»), «подмена» («Spoofing»);
- проверки паролей;
- проверки межсетевых экранов;
- проверки удаленных сервисов;
- проверки DNS;
- проверки учетных записей ОС;
- проверки сервисов ОС;
- проверки установленных patch’ей системы безопасности ОС и другие функции.
Системы мониторинга и управления событиями безопасности строятся на базе SIEM-систем. Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.
SIEM системы, вне зависимости от производителя, обладают следующим функционалом:
- агрегация данных — сбор, обработка и хранение логов с различных устройств и приложений;
- корреляция событий — поиск общих атрибутов события. Подобная технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в информацию с которой можно работать дальше;
- оповещение — SIEM системы поддерживают возможность оповещения о событиях по различным каналам связи;
- анализ и управления рисками безопасности;
- проведение расследования инцидентов;
- формирование отчётов;
- реакция на атаки.
Источниками данных для SIEM систем являются:
- IDS/IPS системы;
- антивирусные программы;
- журналы событий операционных систем и программного обеспечения;
- межсетевые экраны;
- сканеры уязвимостей;
- системы инвентаризации;
- прокси-сервера;
- системы аутентификации;
- средства защиты от несанкционированного доступа;
- сетевое оборудование.
Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Выделяет следующие виды средств антивирусной защиты:
- предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
- предназначенные для применения на серверах информационных систем;
- предназначенные для применения на автоматизированных рабочих местах информационных систем;
- предназначенные для применения на автономных автоматизированных рабочих местах.
Системы предотвращения утечек информации (Data Leak Prevention, DLP) — технические устройства (программные или программно-аппаратные), которые строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
- архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
- предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т. п.);
- предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
- предотвращение использования работниками казённых информационных ресурсов в личных целях;
- оптимизация загрузки каналов, экономия трафика;
- контроль присутствия работников на рабочем месте;
- контроль активности работника на рабочем месте;
- контроль записи информации в различные источники;
- контроль содержимого текстов;
- отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.
Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Выделяют следующие виды СКЗИ:
- СКЗИ для локального шифрования информации (для доверенного хранения на рабочем месте);
- СКЗИ для обеспечения юридической значимости электронных документов, подтверждения подлинности адресата и целостности информации (криптопровайдеры, иные криптокомбайны);
- СКЗИ для организации частных виртуальных сетей (криптомаршрутизаторы, крипто-клиенты, удостоверяющие ключевые центры и центры управления сетями);
- СКЗИ для организации защищенных сессий на основе отечественных алгоритмов шифрования протокола защиты транспортного уровня (TLS-сервера, tls-клиенты).
Средства унифицированного управления угрозами (Unified threat management — UTM) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. UTM — модификация обыкновенного файервола, продукт «все включено», объединяющий в себе множество функций, связанных с обеспечением сетевой связанной и безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус, средства анализа и инспектирования сетевого трафика.