Україна | Корзина 0 |
| Профессиональная работа с сертифицированными продуктами 1С-Битрикс невозможна без знакомства с основами сертификации программного обеспечения в Российской Федерации и технологии производства и поставки сертифицированных программных продуктов.
|
|
|
|
Вопросы защиты конфиденциальной информации тесно переплетены с интересами общества, личности, бизнеса и государства. В наше время, в условиях формирования единого информационного пространства, они являются важнейшей составной частью задач, решаемых государственными органами, учреждениями и организациями при разработке, создании, эксплуатации информационных систем, баз и банка персональных данных информационных систем.
Любое государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. И поэтому к программному обеспечению, которое поставляется на рынок и используется для построения ключевых систем информационной инфраструктуры, предъявляются особые требования.
К таким ключевым системам можно отнести [1]:
И это далеко не полный перечень. В указанных системах накапливается, обрабатывается и передается информация, связанная с производственной, организационно-экономической, научно-технической, кредитно-финансовой и другой деятельностью государства. В ряде систем и сетей циркулирует информация оперативно-диспетчерского и технологического управления, определяющая надежность и безопасность функционирования всего хозяйственного комплекса России и оказывающая существенное влияние на обеспечение ее национальной безопасности в информационной сфере. Именно поэтому эти системы являются ключевыми.
В связи с этим, производители программного обеспечения обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией.
Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации!
Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:
В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации. [2]
В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).
Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.
Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.
Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону [3]. Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.
А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, — идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата [3].
Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.
ФСТЭК России (до 2004 года – Гостехкомиссия России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями [1]:
В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.
Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.
Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов. [3]
Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.
По аналогии работает и система сертификации ФСБ.
Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей. Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.
Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей. [2]
В данный момент компания «1С-Битрикс» сотрудничает с компанией «ООО Сертифицированные информационные системы». Данная компания выступила в следующих ролях:
1) Испытательная лаборатория, которая осуществляла испытания наших программных продуктов
2) Заявитель, который
a. выполняет все организационные мероприятия, связанные с сертификацией;
b. несет затраты на постоянный учет сертифицированных копий продуктов;
c. непосредственно продает сертифицированные программные продукты «1С-Битрикс».
Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.
Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.
Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.
В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.
Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.
Аттестацию проводят организации, лицензированные для этого ФСТЭК.
Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию. В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.
При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.
Все обновления сертифицируются в испытательной лаборатории ООО Сертифицированные информационные системы. Как правило, это занимает от нескольких дней до нескольких недель.
Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.
В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет, поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «ООО Сертифицированные информационные системы», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.
Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений SiteUpdate.