Материалы по тегу: сертификация
26.12.2024 [11:51], Сергей Карасёв
Минцифры может возобновить работу над регулированием рынка ЦОД в РоссииСенатор Артем Шейкин, по сообщению газеты «Коммерсантъ», направил в Минцифры России письмо с просьбой возобновить работу над законопроектом от 2022 года о регулировании деятельности дата-центров. Речь, в частности, идёт о внедрении отечественных стандартов по строительству и сертификации таких объектов. В письме Шейкина говорится о законопроекте о внесении изменений в ФЗ «О связи» в части регулирования деятельности ЦОД. Документ был принят Госдумой в первом чтении около трёх лет назад, но затем отправился на доработку: возникли вопросы в том числе в отношении определения ЦОД в законодательстве как «сооружения связи с комплексом систем». Как отмечает Шейкин, описанная в законе модель регулирования отрасли дата-центров необходима в свете активного импортозамещения. Кроме того, по мнению автора письма, в России требуется собственная система сертификации в области ЦОД. Дело в том, что российские коммерческие дата-центры сейчас проходят западную сертификацию Uptime Institute: при этом проектные документы и другая чувствительная информация отправляются в США. Сенатор заявляет, что использование ЦОД, сертифицированных по иностранным стандартам, и отсутствие собственной системы защиты «делают нашу инфраструктуру уязвимой для кибератак, шпионажа и утечки конфиденциальной информации». Госдума РФ рассчитывала принять изменения в закон «О связи», которые придадут дата-центрам официальный статус, ещё до конца 2023 года. Документом предусмотрена классификация ЦОД для определения уровня надёжности инженерной инфраструктуры. Это позволит отделять дата-центры от любых других помещений, в которых размещается IT- и телеком-оборудование. Участники рынка в целом согласны с тем, что в России необходимо ввести регулирующие законы в сфере ЦОД, а также внедрить отечественную сертификацию. Предполагается, что аттестацией дата-центров займутся уполномоченные организации, прошедшие квалификационный отбор и получившие аттестацию в Минцифры на ограниченный период времени.
28.11.2024 [10:00], Андрей Крупин
Selectel подтвердил соответствие государственному стандарту безопасности для организаций финансовой сферы и обновил действующие сертификаты безопасностиSelectel, крупнейший независимый провайдер сервисов IT-инфраструктуры в России, подтвердил соответствие продуктов требованиям ГОСТ Р 57580, который определяет требования по информационной безопасности для организаций финансовой сферы, и обновил сертификат международного стандарта безопасности данных платёжных карт до версии PCI DSS 4.0. Прохождение сертификации подтверждает высокий уровень обеспечения информационной безопасности продуктов и услуг облачного провайдера и расширяет возможности работы с инфраструктурой компаниям финансового сектора, включая кредитные и некредитные организации, а также организации, обрабатывающие данные держателей банковских карт. Выполнение требований ГОСТ Р 57580 является обязательным для большого количества компаний финансовой отрасли: банков, микрофинансовых организаций, операторов финансовых платформ и систем, выпускающих цифровые финансовые активы, негосударственных пенсионных фондов, страховых организаций и других. Для обеспечения надёжности работы компаний этого сектора инфраструктура провайдера также соответствует 152-ФЗ «О персональных данных», 17 приказу ФСТЭК для государственных информационных систем и международным стандартам ISO 27001, 27017, 27018 и SOC 2. ![]() Источник изображения: selectel.ru «Финтех-индустрия в России активно растёт и является одним из лидеров в процессах цифровой трансформации. При этом требования регулятора по обеспечению информационной безопасности распространяются на все большее количество участников финансового рынка. По итогам аудита мы получили заключение о соответствии требованиям по первому (усиленному) уровню защиты с итоговым пятым уровнем соответствия и оценкой 0,92. Такой результат означает, что, предоставляя стабильную и безопасную IT-инфраструктуру и сервисы, мы в полном объёме реализуем и непрерывно совершенствуем организационные и технические меры защиты информации», — отметил Антон Ведерников, руководитель направления продуктовой безопасности Selectel. Обновлённая версия стандарта PCI DSS 4.0 содержит уточнённые требования к безопасности и более полно описывает способы их реализации и контроля для компаний, работающих с данными держателей платёжных карт. Также стандарт теперь предусматривает содействие сервис-провайдера клиентам при проведении пентестов инфраструктуры. Действие сертификата распространяется на все ключевые IaaS и PaaS-решения Selectel: выделенные и облачные серверы, объектное хранилище S3, облачные базы данных, Managed Kubernetes и Container Registry. Также стандарту соответствует ряд ИБ и сетевых сервисов компании: сеть доставки контента (CDN), балансировщик нагрузки, глобальный роутер, выделенное сетевое оборудование, менеджер секретов и сервис управления идентификацией и доступом (IAM).
22.11.2024 [08:57], Сергей Карасёв
Positive Technologies получила сертификат ФСТЭК на межсетевой экран PT NGFW
positive technologies
брандмауэр
импортозамещение
информационная безопасность
сделано в россии
сертификация
сети
фстэк россии
Компания Positive Technologies, по сообщению газеты «Ведомости», первой среди отечественных разработчиков межсетевых экранов получила новый сертификат ФСТЭК России — «многофункциональный межсетевой экран уровня сети». Документ подтверждает соответствие требованиям ФСТЭК по четвёртому уровню доверия. Речь идёт о межсетевом экране нового поколения PT NGFW. Positive Technologies объявила о выпуске данного продукта несколько дней назад. Решение обеспечивает защиту корпоративной сети от атак и вредоносного ПО, а также предоставляет средства управления доступом к веб-ресурсам. PT NGFW предлагается в виртуальном исполнении, а также в составе программно-аппаратных комплексов на платформе Intel Xeon Sapphire Rapids. По заявлениям Positive Technologies, межсетевой экран позволяет закрыть потребности бизнеса по защите от актуальных угроз без потерь в производительности. В состав PT NGFW входят различные модули безопасности — IPS-система, потоковый антивирус, фильтрация URL и обогащение данными об угрозах. Четвёртый уровень доверия ФСТЭК означает, что PT NGFW может использоваться для защиты значимых объектов критической информационной инфраструктуры (ЗО КИИ), государственных информационных систем (ГИС), автоматизированных систем управления технологическими процессами (АСУ ТП) и информационных систем персональных данных (ИСПДн). PT NGFW может применяться в различных сценариях, таких как защита периметра, корпоративных сетей, дата-центров или облачных сервисов. Система определяет более 1500 приложений и подприложений, включая популярные российские решения, такие как «1С», «Госуслуги», «Яндекс», «VK» и «Битрикс».
12.11.2024 [10:00], Сергей Карасёв
Basis Virtual Security получил более ста новых функций и улучшений и подтвердил соответствие требованиям ФСТЭК по 4-му уровню доверияКомпания «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, представила обновленную версию своего продукта Basis Virtual Security, предназначенного для защиты данных в средах виртуализации. Релиз 3.2 получил 118 новых функций, различных улучшений и исправлений. Практически одновременно с этим Basis Virtual Security успешно прошел испытания на соответствие требованиям ФСТЭК к безопасности информации по четвертому уровню доверия (УД4). В новом релизе Basis Virtual Security 3.2 появилась возможность резервного копирования виртуальных машин (ВМ), в том числе инкрементального. Создание резервных копий возможно как для работающих, так и для остановленных виртуальных машин, а для их хранения можно использовать NFS-хранилище. Графический интерфейс Basis Virtual Security также был существенно доработан, чтобы сделать процесс резервного копирования и восстановления ВМ комфортным для администратора. Значительные изменения в свежем релизе коснулись также контроля целостности виртуальных машин и работы с контрольными суммами — обновленные инструменты помогают администратору своевременно замечать несанкционированные изменения в подконтрольных виртуальных средах и принимать меры. В частности, были обновлены политики целостности: реализованы уровни их применимости отдельно для вычислительных узлов и виртуальных машин на Linux и Windows, добавлены действия над запущенными ВМ при нарушении целостности, появилась возможность запрета запуска виртуальных машин при нарушении эталона контрольных сумм вычислительных узлов. Кроме того, появилось журналирование задачи подсчета контрольных сумм, а для их вычисления можно использовать отечественные алгоритмы национального стандарта ГОСТ Р 34.11–2012. Basis Virtual Security версии 3.2 успешно и, самое главное, быстро прошел испытания ФСТЭК, которые после каждого обновления обязаны проходить все решения, сертифицированные как средство защиты информации. Вместе с платформой виртуализации Basis Dynamix новый релиз подтвердил сертификацию по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Ранее «Базис» в два раза уменьшил — с 6 до 3 месяцев — срок прохождения испытаний ФСТЭК благодаря внедрению в компании современных инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН. «Новый релиз Basis Virtual Security важен для нас не только как возможность продемонстрировать функциональность продукта, которую от нас ждали партнеры, но и как еще одно подтверждение правильности выстроенного нами процесса безопасной разработки и проектирования ПО. Мы уже добились значительного сокращение сроков прохождения испытаний на соответствие стандартам ФСТЭК и продолжаем дальше оптимизировать этот процесс. Результаты этой работы позволяют заказчикам сертифицированных решений «Базиса» оперативно получать обновления, а вместе с ними не только новые возможности продукта, но и большое количество различных улучшений и исправлений», — отметил Дмитрий Сорокин, технический директор компании «Базис». В качестве средства защиты Basis Virtual Security позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды. Предлагаемые возможности были по достоинству оценены рынком, и в сентябре 2024 года продукт занял первое место в рейтинге CNews «Средства облачной защиты-2024».
21.10.2024 [15:11], Руслан Авдеев
Главе американского ЦОД грозит до 65 лет тюрьмы за подделку сертификатов Tier IV ради контракта с SECГлава одной из IT-компаний из Мэриленда, по данным Минюста США (DoJ), подделал документы о получении сертификата надёжности ЦОД уровня Tier IV в Белтсвилле (Мэриленд). The Register сообщает, что это было сделано ради контракта на размещение оборудования Комиссии по ценным бумагам и биржам США (SEC). Хотя такие сертификаты Uptime Institute выдаёт только после проверки, обвиняемый Дипак Джайн (Deepak Jain) выбрал другой путь. Его компания, по мнению властей, предоставила SEC поддельные документы о сертификации. Причём обвиняемый не просто скорректировал документы Uptime Institute, а «изобрёл» некую организацию Uptime Council, которая, похоже, вообще не существует. В Министерстве юстиции США заявили, что не потерпят схем, ставящих под угрозу безопасность данных правительства. Как власти выяснили, что Джайн сертификацию буквально выдумал, не говорится, но сообщается, что SEC столкнулась с проблемами с безопасностью, охлаждением и энергоснабжением в ЦОД. В своё время сотрудник компании помешал осмотру Beltsville Data Center до заключения контракта в 2012 году. После того, как срок сделки истёк в 2018 году, SEC отказалась продлевать договор. Всего Комиссия потратила на услуги данного ЦОД $10,7 млн. За подобную «изобретательность» Джайну грозит по 10 лет тюрьмы за каждое из шести обвинений в крупном мошенничестве, а также до пяти лет в связи с обвинением в ложных заявлениях. Хотя сама компания в судебных документах не называется, в Сети есть информация, что Дипак Джайн является основателем и генеральным директором белтсвилльской AiNET (именно она управляет ЦОД). Впрочем, доказательств того, что вся компания в целом замешана в махинациях, пока нет. При этом на сайте AiNET неоднократно упоминается, что её ЦОД имеет сертификацию Tier IV. Представляющие интересы Джайна юристы сообщили журналистам, что клиент отрицает вину, и говорят, что его компания выполнила все условия контракта с SEC, а доказательства утери данных или их компрометации по вине владельца ЦОД отсутствуют. Случай примечателен тем, что финансовые махинации, в том числе связанные с ЦОД, происходят довольно часто, но о столь наглых попытках подделать Tier-сертификаты известно немного.
16.10.2024 [15:39], Андрей Крупин
Deckhouse Kubernetes Platform получила сертификат ФСТЭК РоссииРоссийский разработчик Deckhouse сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на платформу контейнеризации Deckhouse Kubernetes Platform (DKP). Deckhouse Kubernetes Platform позволяет создавать идентичные кластеры и управлять ими в любой ИТ-инфраструктуре. Платформу можно разворачивать в публичных и приватных облаках, поверх любой виртуализации, на bare-metal-серверах, а также в гибридной модели. Платформа зарегистрирована в реестре отечественного ПО, в полной мере отвечает задачам импортозамещения и может использоваться организациями при реализации программ по переходу на отечественные продукты с решений зарубежных разработчиков. ![]() Выданный ФСТЭК России документ подтверждает, что новая редакция платформы DKP — Certified Security Edition — является средством контейнеризации 4-го класса защиты и соответствует требованиям по безопасности информации, предъявляемым к 4-му уровню доверия. Это первый на российском рынке оркестратор контейнеров, прошедший сертификационные испытания регулятора. DKP Certified Security Edition может применяться в организациях, в которых обязательно использование сертифицированных ФСТЭК России продуктов. В частности, это госкомпании, госкорпорации, банки, федеральные и региональные органы исполнительной власти, а также предприятия, работающие с критической информационной инфраструктурой. Сертифицированная редакция платформы включает все необходимые для полноценной оркестрации контейнеров инструменты. Среди них — управление сетью, автомасштабирование, балансировка входящего трафика, политики безопасности и операционные политики, сквозная авторизация и аутентификация, сбор и хранение журналов, мониторинг и алертинг.
07.10.2024 [15:24], Андрей Крупин
«Лаборатория Касперского» первой в России прошла сертификацию процессов безопасной разработки«Лаборатория Касперского» сообщила о получении сертификата ФСТЭК России, подтверждающего соответствие процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», Антивирусный вендор стал первым и единственным на сегодняшний день разработчиком в России, прошедшим данную сертификацию. Сертификация процессов безопасной разработки начала действовать в РФ 1 июня 2024 года — она предполагает проверку регулирующим органом соответствия ГОСТ не только на уровне отдельного ПО, но и на уровне организации. Первым аккредитованным и пока единственным органом по сертификации в данной области является Институт системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН). Требование соответствию ГОСТ Р 56939 уже включается во все проводимые заказчиками тендеры, оно прописано в документах всех значимых отраслей, таких как банковская сфера, КИИ, транспорт, медицина. ![]() Источник изображения: kaspersky.ru «"Лаборатория Касперского" начала внедрять практики безопасной разработки задолго до того, как стали предъявлять те или иные требования по этой части регуляторы и заказчики. Мы первыми поддержали ФСТЭК России, когда требования ГОСТ 2016 года стали обязательными к выполнению при сертификации продуктов. Мы вошли в рабочую группу с ИСП РАН и испытательной лабораторией НТЦ "Фобос-НТ", апробировали новые инструменты и подходы, на практике показали, что документ выполним. Но жизнь менялась, с каждым годом запрос на безопасность растёт, и пришла пора актуализировать ГОСТ, что мы и сделали в инициативном порядке. Поэтому мы особенно гордимся тем, что первыми в отрасли получили сертификат соответствия», — прокомментировала Карина Нападовская, руководитель центра сертификации и соответствия стандартам в «Лаборатории Касперского». В планах «Лаборатории Касперского» на ближайшие месяцы — разработка стандартов, сопутствующих ГОСТ Р 56939, таких как «Руководство по внедрению процессов разработки безопасного ПО» и «Методика оценки реализации процессов разработки безопасного ПО».
31.08.2024 [13:42], Андрей Крупин
ОС «МСВСфера» получила сертификат ФСТЭК России по 4-му уровню доверия
linux
softline
software
импортозамещение
информационная безопасность
сделано в россии
сертификация
фстэк россии
Российский поставщик оборудования и ПО для IT-инфраструктуры и информационной безопасности «Инферит» (входит в группу компаний Softline) сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на операционную систему «МСВСфера». Платформа «МСВСфера» построена на базе ядра Linux, зарегистрирована в реестре отечественного программного обеспечения Минцифры и является альтернативой зарубежным ОС уровня Enterprise Linux. Операционная система представлена в редакциях для рабочих станций и серверов и подходит для использования как в государственных, так и в коммерческих организациях. Продукт содержит встроенные инструменты миграции с Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux, Oracle Enterprise Linux и поддерживается производителем в рамках десятилетнего жизненного цикла, включая выпуск обновлений и исправлений безопасности, что гарантирует стабильность и защищённость IT-инфраструктуры клиента. ![]() Операционная система «МСВСфера» (источник изображения: inferit.ru/products/os) Выданный ФСТЭК России сертификат подтверждает соответствие «МСВСфера» требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (Требования доверия) — по 4 уровню доверия, «Требования безопасности информации к операционным системам» и «Профиль защиты операционных систем типа А четвёртого класса защиты. ИТ.ОС.А4.ПЗ». «МСВСфера» может использоваться при построении государственных информационных систем (ГИС) до I класса защищённости включительно, информационных систем для обработки персональных данных (ИСПДн) до I уровня защищённости включительно, автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до I класса защищённости включительно, информационных систем общего пользования (ИСОП) до II класса защищённости и объектов критических информационных инфраструктур (КИИ) до I категории значимости.
05.08.2024 [14:40], Андрей Крупин
Служба каталогов ALD Pro получила сертификат ФСТЭК России по 4-му уровню доверия
active directory
astra linux
software
импортозамещение
информационная безопасность
сделано в россии
сертификация
фстэк россии
«Группа Астра» сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на систему централизованного управления доменом ALD Pro. Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России. Выданный ФСТЭК России сертификат подтверждает соответствие ALD Pro требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт соответствует 4-му уровню доверия и располагает набором декларируемых в технических условиях функциональных возможностей. ![]() Источник изображения: aldpro.ru Решение подходит не только для информационных систем общего пользования (ИСОП) II класса, но также для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и автоматизированных систем управления техническими процессами (АСУ ТП) до 1-го класса защищённости включительно. Кроме того, программный комплекс можно применять на значимых объектах критической информационной инфраструктуры, в том числе 1-ой категории. «Сегодня заказчики активно переходят с зарубежных решений на отечественные. Мы понимаем, что внедряемый софт должен быть не только функциональным, но и надёжным, и получение сертификата ФСТЭК России — это документальное подтверждение безопасности ALD Pro. Защищённость всегда была и будет одним из ключевых приоритетов нашей команды, нам важно предоставлять клиентам стабильные и качественные решения», — говорится в сообщении «Группы Астра».
26.06.2024 [16:49], Андрей Крупин
Компания «Пассворк» получила лицензии ФСТЭК России на деятельность в сфере защиты информацииКомпания «Пассворк», занимающаяся разработкой и развитием одноимённого менеджера паролей для бизнеса, сообщила о получении лицензий Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации, а также на деятельность по её технической защите. Выданные ФСТЭК России лицензии подтверждают соответствие компании предъявляемым ведомством требованиям в области IT-безопасности. Согласно полученным документам, специалисты «Пассворка» вправе участвовать в разработке и доработке ПО и технических средств защиты информации, а также оказывать услуги по развёртыванию и настройке защитных решений. ![]() «Пассворк» повышает безопасность при работе с корпоративными паролями «Это важное событие для российского IT-сектора, так как теперь корпорации и госкомпании, для которых наличие упомянутых лицензий является обязательным условием, смогут обеспечивать сохранность своих данных, а также наладить удобный процесс работы с паролями, пользуясь отечественным решением», — говорится в заявлении компании-разработчика. «Пассворк» ведёт деятельность на российском IT-рынке с 2014 года. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации в зашифрованном виде. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. Решение зарегистрировано в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций. |
|