Компания Postgres Professional сообщила о переоформлении сертификатов соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) для СУБД Postgres Pro Enterprise редакций 11.13.1 и 13.4.1.

В обновлённых версиях систем управления базами данных устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229, заключалась в повышении прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к данным. Вторая уязвимость, CVE-2021-3677, позволяла злоумышленникам сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.

Postgres Pro Enterprise построена на базе свободной объектно-реляционной СУБД PostgreSQL и разработана специально для высоконагруженных IT-систем крупных предприятий.

Сертифицированная СУБД Postgres Pro Enterprise может применяться для защиты информации в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищённости; в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищённости; в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищённости персональных данных; в информационных системах общего пользования 2-го класса.

Компания Oracle сообщила о сертификации Федеральной службой по техническому и экспортному контролю объектно-реляционной системы управления базами данных Database 19c с опциональными компонентами Database Vault и Advanced Security по требованиям доверия.

Напомним, с 1 июня 2019 года вступили в силу новые требования по безопасности ФСТЭК России, устанавливающие уровни доверия к средствам защиты информации. СУБД Oracle Database 19c успешно прошла данную проверку по 6 уровню доверия.

Выданный ведомством сертификат допускает использование СУБД Oracle Database 19c с установленными модулями Database Vault и Advanced Security в системах ГИС 3 класса, КИИ 3 класса, ИСПДн (персональные данные) уровней (классов) 4 и 3, а также в системах АСУ ТП 3 класса, эксплуатируемых на Oracle Linux 7,8 и Red Hat Enterprise Linux версии 7.

«Успешная сертификация в России системы управления базами данных Oracle Database 19c по требованиям ФСТЭК является для нас очень важным событием, направленным на расширение областей использования технологий Oracle. Теперь наши заказчики имеют возможность использовать сертифицированный экземпляр СУБД Oracle Database на объектах, относящихся к критической информационной инфраструктуре», — говорится в заявлении корпорации Oracle.

Компания «Айдеко» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) шлюза безопасности Ideco Unified Threat Management 11, предназначенного для организации защищённого доступа в интернет в корпоративных и ведомственных сетях.

Выданный ведомством сертификат подтверждает соответствие продукта требованиям ФСТЭК России к межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений. Решение отвечает нормам действующих нормативных-правовых актов РФ и может быть использовано для обеспечения безопасности объектов критической информационной инфраструктуры и защиты персональных данных в ГИС, ИСПД, АСУ ТП.

Ideco UTM 11 обладает всеми функциями межсетевого экрана нового поколения, связанными с глубоким анализом трафика: контролем приложений (DPI), системой предотвращения вторжений, контент-фильтром, многоуровневой проверкой почтового трафика, антивирусной защитой.

Система Ideco UTM входит в перечень государственного реестра сертифицированных средств защиты информации, а также зарегистрирована в реестре российского ПО как рекомендованная для закупки отечественными компаниями и госструктурами.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты данных, сообщила о сертификации Федеральной службой по техническому и экспортному контролю программно-аппаратного комплекса ViPNet xFirewall 5.

ViPNet xFirewall 5 представляет собой семейство шлюзов безопасности, реализующих парадигму Next-Generation Firewall (NGFW) и позволяющих создавать гранулированные политики безопасности на основе учётных записей пользователей и списка приложений. Решение обеспечивает фильтрацию трафика на всех уровнях, антивирусную защиту и предотвращение обхода политик ИБ в сети организации.

Выданный ФСТЭК России сертификат удостоверяет, что ViPNet xFirewall 5 является программно-аппаратным средством защиты от несанкционированного доступа к информации, реализующим функции межсетевого экрана и системы обнаружения вторжений, и соответствует требованиям по безопасности информации, установленным в документах:

• «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) — по 4 уровню доверия;
• «Требования к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвёртого класса защиты. ИТ.МЭ.А4.ПЗ» (ФСТЭК России, 2016);
• «Требования к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа Б четвёртого класса защиты. ИТ.МЭ.Б4.ПЗ» (ФСТЭК России, 2016);
• «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвёртого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012).

Процесс сертификации по требованиям ФСТЭК России включает в себя детальное исследование исходного кода продукта и всесторонний анализ документации. Наличие сертификата подтверждает высокий уровень безопасности решения и является критически важным документом при рассмотрении вопросов о применении продукта в различных организациях.

Компания «Аванпост», занимающаяся разработкой систем идентификации и управления доступом к информационным ресурсам предприятия, сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный продукт Avanpost Federated Access Manager (FAM) по четвёртому уровню доверия.

Avanpost FAM представляет собой комплекс класса Single Sign-On (SSO), обеспечивающий единую аутентификацию сотрудников в корпоративных ресурсах организации. Решение поддерживает протоколы SAML, OpenID Connect, OAuth, RADIUS, работу с облачными приложениями и многофакторную аутентификацию с применением смарт-карт, одноразовых кодов, сертификатов электронной подписи, биометрии, а также прочих технологий и факторов идентификации личности.

Соответствие четвёртому уровню доверия, установленному ФСТЭК России, позволяет применять Avanpost FAM в государственных информационных системах до первого класса защищённости включительно, в информационных системах персональных данных до первого класса защищённости включительно, в автоматизированных системах управления критически важными объектами (КВО) до первого класса защищённости включительно. Кроме того, систему можно использовать в значимых объектах критических информационных инфраструктур (КИИ) до первой категории включительно.

Продукт включён в реестр российского ПО как рекомендованный к закупкам государственными предприятиями и органами власти.

Компания «Ред Софт» сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на операционную систему «Ред ОС» версии 7.3.

Программная платформа «Ред ОС» разработана на основе ядра Linux с прицелом на обеспечение безопасности обрабатываемых данных. Система поставляется на рынок в конфигурациях для рабочих станций и серверов, включена в реестр российского ПО и может быть использована для решения широко круга задач в корпоративной среде.

По результатам проведённых ФСТЭК России испытаний подтверждено, что «Ред ОС» 7.3 соответствует:

• требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий — по 4 уровню доверия;
• требованиям безопасности информации к операционным системам;
• профилю защиты операционных систем типа «А» четвёртого класса защиты.

Операционная система может применяться как средство защиты информации от несанкционированного доступа для защиты объектов критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС), автоматизированных систем управления производственными и технологическими процессами (АСУ ТП), информационных систем персональных данных (ИСПДн) до 1 класса (категории значимости, уровня) защищённости включительно, а также информационных систем общего пользования (ИСОП) 2 класса.

Сертификат действителен до января 2024 года.

Компания «Сертифицированные информационные системы» («СИС груп») сообщила о сертификации Федеральной службой по техническому и экспортному контролю аналитической платформы Visiology версии 2.22.

В рамках сертификации продукт прошёл проверку на соответствие требованиям безопасности и техническим условиям, а также на предмет отсутствия недекларированных разработчиком функциональных возможностей. Выданный ФСТЭК России сертификат подтверждает, что Visiology представляет собой решение со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей составляющих государственную тайну сведений, и что платформа соответствует российским требованиям по безопасности обрабатываемых данных.

Типовая архитектура внедрения Visiology

Платформа Visiology предназначена для построения информационно-аналитических систем, соответствующих предъявляемым к современным платформам бизнес-аналитики (Business Intelligence) требованиям. Решение позволяет собирать большие объёмы разнородных данных и обрабатывать их с применением математических методов анализа. Одна из особенностей продукта — поддержка не только настольных и мобильных дисплеев, но и экранов коллективного пользования или видеостен, которые используются в ситуационных центрах, центрах управления и диспетчерских. К преимуществам Visiology относится многомерная In-Memory база данных ViQube для быстрого выполнения запросов, возможность интеграции со стеком технологий Big Data и Data Science, встроенная система сбора данных через веб-формы и мобильные приложения на Android и iOS для самостоятельного исследования данных.

Продукт применяется в госсекторе, а также в компаниях из телекоммуникационной, энергетической, банковской, топливно-энергетической и торговой отраслей. Наличие сертификата подтверждает высокий уровень безопасности программного решения и является критически важным документом при рассмотрении вопросов о применении продукта в различных организациях.

Израильская компания CyberArk получила положительное заключение Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс Privileged Access Security Solution по 6-му уровню доверия.

CyberArk Privileged Access Security Solution относится к классу решений Privileged Access Management (PAM) и помогает организациям снижать риск угроз, которые связаны с действиями привилегированных пользователей, имеющих доступ к важным данным и IT-активам. Продукт собирает сведения обо всех действиях администраторов, происходящих в сети, и сохраняет их для последующего просмотра с целью аудита и расследования инцидентов.

Источник изображения: cyberark.com

Выданный ФСТЭК России сертификат допускает использование PAM-платформы для управления учётными данными в системах, содержащих персональные данные до 100 тысяч человек (субъектов), в организациях всех отраслей, кроме медицины. Кроме того, CyberArk Privileged Access Security Solution может применяться для администрирования систем субъектов критической информационной инфраструктуры.

На сегодняшний день CyberArk Privileged Access Security Solution является единственной сертифицированной зарубежной PAM-системой.

Группа компаний Astra Linux сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) программной платформы Astra Linux Special Edition для Arm-процессоров по второму уровню доверия.

В рамках сертификации операционная система прошла проверку на соответствие требованиям безопасности и техническим условиям, а также на предмет отсутствия недекларированных разработчиком функциональных возможностей.

Выданный ведомством сертификат допускает использование продукта в IT-инфраструктурах, обрабатывающих информацию ограниченного доступа, включая персональные данные, конфиденциальную информацию, сведения, составляющие служебную, коммерческую и государственную тайну, а также общедоступную информацию. ОС предназначена для устройств на базе архитектуры Arm, в том числе отечественных процессоров Baikal, востребованных среди заказчиков, реализующих программы импортозамещения.

«Соответствие Astra Linux Special Edition требованиям регулятора является серьёзным шагом к появлению отечественных доверенных программно-аппаратных платформ на набирающей все большую популярность во всем мире Arm-архитектуре. Сертификация подтверждает, что ОС позволяет обеспечить высокий уровень защиты информации и IT-систем, а её совместимость с современными процессорами Baikal и наличие функций СУБД и среды виртуализации открывает перед заказчиками новые возможности в части развития импортозамещенных инфраструктур», — говорится в заявлении разработчика.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты информации, сообщила о получении положительного заключения, подтверждающего соответствие программного комплекса ViPNet Coordinator VA требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

ViPNet Coordinator VA представляет собой ПО, предназначенное для развёртывания на популярных платформах виртуализации (KVM, VMware ESXi, Microsoft Hyper-V, Oracle VM) и защиты информации, передаваемой между сегментами виртуальной сети ViPNet, а также для фильтрации IP-трафика. Решение может использоваться для организации защищённого доступа удалённых пользователей (в том числе с мобильных устройств), а также для сегментации и разграничения доступа в локальных сетях и защиты мультисервисных сетей, включая IP-телефонию и видеоконференцсвязь.

Выданный ФСБ России сертификат допускает применение ViPNet Coordinator VA для защиты информации, не содержащей сведений, составляющих государственную тайну. Продукт может быть использован в широком спектре информационных систем, в том числе в государственных информационных системах, автоматизированных системах управления производственными и технологическими процессами и информационных системах персональных данных.

Сертификат действителен до июня 2024 года.