Компания «РусБИТех-Астра» (входит в «Группу Астра»; занимается разработкой операционной системы Astra Linux и инфраструктурного ПО) сообщила о получении сертификата ФСТЭК России, подтверждающего соответствие процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Сертификация процессов безопасной разработки действует в России с 1 июня 2024 года — она предполагает проверку регулирующим органом соответствия ГОСТ не только на уровне отдельного ПО, но и на уровне организации. Первым аккредитованным и пока единственным органом по сертификации в данной области является Институт системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН). Требование соответствию ГОСТ Р 56939 включено во все проводимые заказчиками тендеры, оно прописано в документах всех значимых отраслей, таких как банковская сфера, критическая информационная инфраструктура, транспорт, медицина.

Источник изображения: DC Studio / freepik.com

Полученный сертификат подтверждает, что в штате компании «РусБИТех-Астра» трудятся квалифицированные ИБ-специалисты и выстроены надёжные процессы безопасной разработки, что позволяет самостоятельно проводить исследования, связанные с внесением изменений в сертифицированные продукты без привлечения испытательной лаборатории, что значительно сокращает срок выпуска обновлений.

«Пройденная сертификация — это важнейшее достижение и событие, которое демонстрирует всем клиентам и партнёрам высочайший уровень доверия регулятора к разработчику. Благодаря тому, что наши продукты проходят строгий контроль качества, их применение позволяет сделать инфраструктуру отказоустойчивой и обеспечить наиболее эффективную защиту от множества кибератак, которые реализуются через эксплуатацию уязвимостей. На сегодня такие сертификаты в России получили всего три вендора, включая «РусБИТех-Астра», и это служит дополнительным подтверждением того, что наше ПО отвечает самым серьёзным требованиям в части инфобезопасности, а в самой компании стандартизованы процессы безопасной разработки, масштабируемые на продукты «Группы Астра» в целом», — заявил Юрий Соснин, заместитель генерального директора «Группы Астра».

Компания «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, объявляет об успешном прохождении платформой Basis Workplace инспекционного контроля ФСТЭК России. Обновленная версия решения сертифицирована по 4 уровню доверия на соответствие требованиям к средствам виртуализации и может использоваться в государственных информационных системах различного уровня защищённости.

Basis Workplace — комплексное решение для создания и управления инфраструктурой виртуальных рабочих столов (VDI). Платформа обеспечивает безопасный доступ пользователей к виртуальным рабочим местам через защищённый шлюз, поддерживает различные сценарии использования, в том числе подключение к терминальным серверам и физическим ПК. Basis Workplace обеспечивает работу виртуальных рабочих мест в инфраструктуре крупнейших российских компаний, включая ВТБ и Газпромбанк, а в 2024 году отраслевое издание CNews назвало платформу лидером рейтинга ПО для управления VDI. Согласно результатам исследования, проведённого в 2024 году консалтинговым агентством iKS-Consulting, Basis Workplace занимает 52 % российского рынка VDI.

Источник изображения: «Базис»

Согласно требованиям регулятора, сертифицированные решения должны проходить инспекционный контроль после каждого значимого обновления, связанного с внесением изменений в средство защиты информации (СЗИ). Это обеспечивает постоянный контроль качества и безопасности программного обеспечения в процессе его развития.

Обновлённый сертификат подтверждает соответствие Basis Workplace требованиям регулятора и позволяет использовать решение в:

• Государственных информационных системах (ГИС) до 1 класса защищённости;
• Информационных системах персональных данных (ИСПДн) до 1 уровня защищённости;
• Автоматизированных системах управления технологическим процессом (АСУ ТП) до 1 уровня защищённости;
• Информационных системах общего пользования II класса;
• Значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

В составе решения реализованы ключевые функции безопасности, включая многофакторную аутентификацию, контроль доступа к рабочим столам, защищённое подключение пользователей, а также развитые механизмы мониторинга и управления инфраструктурой виртуальных рабочих мест.

«Успешное обновление сертификата ФСТЭК для новой версии Basis Workplace подтверждает высокое качество и безопасность нашего решения. Особенно важно, что благодаря внедрённым в компании процессам безопасной разработки нам удалось значительно ускорить процессы подготовки к прохождению сертификации. Это позволяет нашим заказчикам быстрее получать доступ к новой функциональности продукта при сохранении соответствия требованиям регулятора», — отметил Дмитрий Сорокин, технический директор «Базис».

Порядка 47 % из 170 российских организаций критической информационной инфраструктуры (КИИ), в том числе банки, операторы связи, промышленные объекты и т.д., имеют защиту от киберугроз в критическом состоянии, пишет «Коммерсантъ» со ссылкой на данные ФСТЭК России. Лишь у 13 % из них установлен минимальный базовый уровень защиты, а у около 40 % он относится к низким.

У 100 работающих государственных информационных систем (ГИС) было обнаружено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности. Причём о некоторых существующих уязвимостях регулятору известно уже несколько лет. В числе типовых недостатков в защите КИИ представитель ФСТЭК назвал отсутствие двухфакторной аутентификации и критические уязвимости на периметре IT-инфраструктур.

В Positive Technologies подтвердили, что в системах компаний есть уязвимости, которые не устраняются годами, позволяя хакерам «найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку». В компании отметили, что на практике устранить все уязвимости невозможно, и главное их правильно приоритизировать, занимаясь в первую очередь уязвимостями, которые наиболее активно используются злоумышленниками или с высокой долей вероятности будут использоваться.

Источник изображения: Scott Graham/unsplash.com

По словам эксперта из «Гарда», для устранения бреши в системе требуется технологическое окно, то есть полная остановка её работы, что в круглосуточном сервисе трудно организовать. Вместе с тем устанавливать одновременно все обновления неэффективно. Кроме того, как отметили в Innostage, у владельцев государственных информационных систем зачастую отсутствует чётко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки.

Несмотря на имеющиеся уязвимости, организации финансового сектора России отмечают в отчётах, что в значительной степени «закрыли» уязвимости внешнего контура. Главной проблемой у сектора глава комитета по ИБ Ассоциации российских банков называет DDoS-атаки, в ходе которых системы банков остаются доступными, но практически пользоваться ими затруднительно. Он также назвал обоснованным решение не ставить в высокий приоритет дорогостоящее закрытие внутренних уязвимостей, которые в целом недоступны извне.

Компания Positive Technologies, по сообщению газеты «Ведомости», первой среди отечественных разработчиков межсетевых экранов получила новый сертификат ФСТЭК России — «многофункциональный межсетевой экран уровня сети». Документ подтверждает соответствие требованиям ФСТЭК по четвёртому уровню доверия.

Речь идёт о межсетевом экране нового поколения PT NGFW. Positive Technologies объявила о выпуске данного продукта несколько дней назад. Решение обеспечивает защиту корпоративной сети от атак и вредоносного ПО, а также предоставляет средства управления доступом к веб-ресурсам.

PT NGFW предлагается в виртуальном исполнении, а также в составе программно-аппаратных комплексов на платформе Intel Xeon Sapphire Rapids. По заявлениям Positive Technologies, межсетевой экран позволяет закрыть потребности бизнеса по защите от актуальных угроз без потерь в производительности. В состав PT NGFW входят различные модули безопасности — IPS-система, потоковый антивирус, фильтрация URL и обогащение данными об угрозах.

Источник изображения: Positive Technologies

Четвёртый уровень доверия ФСТЭК означает, что PT NGFW может использоваться для защиты значимых объектов критической информационной инфраструктуры (ЗО КИИ), государственных информационных систем (ГИС), автоматизированных систем управления технологическими процессами (АСУ ТП) и информационных систем персональных данных (ИСПДн).

PT NGFW может применяться в различных сценариях, таких как защита периметра, корпоративных сетей, дата-центров или облачных сервисов. Система определяет более 1500 приложений и подприложений, включая популярные российские решения, такие как «1С», «Госуслуги», «Яндекс», «VK» и «Битрикс».

Компания «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, представила обновленную версию своего продукта Basis Virtual Security, предназначенного для защиты данных в средах виртуализации. Релиз 3.2 получил 118 новых функций, различных улучшений и исправлений. Практически одновременно с этим Basis Virtual Security успешно прошел испытания на соответствие требованиям ФСТЭК к безопасности информации по четвертому уровню доверия (УД4).

В новом релизе Basis Virtual Security 3.2 появилась возможность резервного копирования виртуальных машин (ВМ), в том числе инкрементального. Создание резервных копий возможно как для работающих, так и для остановленных виртуальных машин, а для их хранения можно использовать NFS-хранилище. Графический интерфейс Basis Virtual Security также был существенно доработан, чтобы сделать процесс резервного копирования и восстановления ВМ комфортным для администратора.

Источник изображений: «Базис»

Значительные изменения в свежем релизе коснулись также контроля целостности виртуальных машин и работы с контрольными суммами — обновленные инструменты помогают администратору своевременно замечать несанкционированные изменения в подконтрольных виртуальных средах и принимать меры. В частности, были обновлены политики целостности: реализованы уровни их применимости отдельно для вычислительных узлов и виртуальных машин на Linux и Windows, добавлены действия над запущенными ВМ при нарушении целостности, появилась возможность запрета запуска виртуальных машин при нарушении эталона контрольных сумм вычислительных узлов. Кроме того, появилось журналирование задачи подсчета контрольных сумм, а для их вычисления можно использовать отечественные алгоритмы национального стандарта ГОСТ Р 34.11–2012.

Basis Virtual Security версии 3.2 успешно и, самое главное, быстро прошел испытания ФСТЭК, которые после каждого обновления обязаны проходить все решения, сертифицированные как средство защиты информации. Вместе с платформой виртуализации Basis Dynamix новый релиз подтвердил сертификацию по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Ранее «Базис» в два раза уменьшил — с 6 до 3 месяцев — срок прохождения испытаний ФСТЭК благодаря внедрению в компании современных инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН.

«Новый релиз Basis Virtual Security важен для нас не только как возможность продемонстрировать функциональность продукта, которую от нас ждали партнеры, но и как еще одно подтверждение правильности выстроенного нами процесса безопасной разработки и проектирования ПО. Мы уже добились значительного сокращение сроков прохождения испытаний на соответствие стандартам ФСТЭК и продолжаем дальше оптимизировать этот процесс. Результаты этой работы позволяют заказчикам сертифицированных решений «Базиса» оперативно получать обновления, а вместе с ними не только новые возможности продукта, но и большое количество различных улучшений и исправлений», — отметил Дмитрий Сорокин, технический директор компании «Базис».

В качестве средства защиты Basis Virtual Security позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды. Предлагаемые возможности были по достоинству оценены рынком, и в сентябре 2024 года продукт занял первое место в рейтинге CNews «Средства облачной защиты-2024».

Российский разработчик Deckhouse сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на платформу контейнеризации Deckhouse Kubernetes Platform (DKP).

Deckhouse Kubernetes Platform позволяет создавать идентичные кластеры и управлять ими в любой ИТ-инфраструктуре. Платформу можно разворачивать в публичных и приватных облаках, поверх любой виртуализации, на bare-metal-серверах, а также в гибридной модели. Платформа зарегистрирована в реестре отечественного ПО, в полной мере отвечает задачам импортозамещения и может использоваться организациями при реализации программ по переходу на отечественные продукты с решений зарубежных разработчиков.

Выданный ФСТЭК России документ подтверждает, что новая редакция платформы DKP — Certified Security Edition — является средством контейнеризации 4-го класса защиты и соответствует требованиям по безопасности информации, предъявляемым к 4-му уровню доверия. Это первый на российском рынке оркестратор контейнеров, прошедший сертификационные испытания регулятора.

DKP Certified Security Edition может применяться в организациях, в которых обязательно использование сертифицированных ФСТЭК России продуктов. В частности, это госкомпании, госкорпорации, банки, федеральные и региональные органы исполнительной власти, а также предприятия, работающие с критической информационной инфраструктурой. Сертифицированная редакция платформы включает все необходимые для полноценной оркестрации контейнеров инструменты. Среди них — управление сетью, автомасштабирование, балансировка входящего трафика, политики безопасности и операционные политики, сквозная авторизация и аутентификация, сбор и хранение журналов, мониторинг и алертинг.

«Лаборатория Касперского» сообщила о получении сертификата ФСТЭК России, подтверждающего соответствие процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», Антивирусный вендор стал первым и единственным на сегодняшний день разработчиком в России, прошедшим данную сертификацию.

Сертификация процессов безопасной разработки начала действовать в РФ 1 июня 2024 года — она предполагает проверку регулирующим органом соответствия ГОСТ не только на уровне отдельного ПО, но и на уровне организации. Первым аккредитованным и пока единственным органом по сертификации в данной области является Институт системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН). Требование соответствию ГОСТ Р 56939 уже включается во все проводимые заказчиками тендеры, оно прописано в документах всех значимых отраслей, таких как банковская сфера, КИИ, транспорт, медицина.

Источник изображения: kaspersky.ru

«"Лаборатория Касперского" начала внедрять практики безопасной разработки задолго до того, как стали предъявлять те или иные требования по этой части регуляторы и заказчики. Мы первыми поддержали ФСТЭК России, когда требования ГОСТ 2016 года стали обязательными к выполнению при сертификации продуктов. Мы вошли в рабочую группу с ИСП РАН и испытательной лабораторией НТЦ "Фобос-НТ", апробировали новые инструменты и подходы, на практике показали, что документ выполним. Но жизнь менялась, с каждым годом запрос на безопасность растёт, и пришла пора актуализировать ГОСТ, что мы и сделали в инициативном порядке. Поэтому мы особенно гордимся тем, что первыми в отрасли получили сертификат соответствия», — прокомментировала Карина Нападовская, руководитель центра сертификации и соответствия стандартам в «Лаборатории Касперского».

В планах «Лаборатории Касперского» на ближайшие месяцы — разработка стандартов, сопутствующих ГОСТ Р 56939, таких как «Руководство по внедрению процессов разработки безопасного ПО» и «Методика оценки реализации процессов разработки безопасного ПО».

Ассоциация больших данных (АБД), объединяющая «Сбер», «Яндекс», VK и другие компании, по сообщению газеты «Коммерсантъ», обсуждает с Федеральной службой по техническому экспортному контролю России (ФСТЭК) снижение рисков «деобезличивания при обработке персональных данных».

В соответствии с Федеральным законом от 8 августа №233 (вносит изменения в закон «О персональных данных»), операторы персональных данных будут обязаны по требованию Минцифры обезличивать обрабатываемую информацию и предоставлять её в государственную информсистему. Вместе с тем на Минцифры возлагается обязанность по обеспечению конфиденциальности этих данных.

Источник изображения: pixabay.com

Предполагается, что обезличивание данных в рамках закона полностью исключит возможность установления личности человека. При этом, используя такую информацию, «государство сможет принимать более эффективные решения». Однако операторы персональных данных признают, что даже обезличенная информация может быть использована злоумышленниками с целью организации различных мошеннических схем. В частности, существуют риски сопоставления данных, риски определения лица на основе его уникальных характеристик и т. д.

АБД направила в профильный комитет по защите информации ФСТЭК предложения по созданию предварительных национальных стандартов «повышения конфиденциальности» данных. Предлагается закрепить технологии обработки и обмена данными, а также описание каждого класса технологий и подходы к оценке рисков. Модель оценки вероятности повторной идентификации будет учитывать все возможные риски.

Эксперты полагают, что стандарты повышения конфиденциальности данных и их обработки, вынесенные на уровень технических документов, будут легче корректироваться в зависимости от развития разработок в этой области.

Российский поставщик оборудования и ПО для IT-инфраструктуры и информационной безопасности «Инферит» (входит в группу компаний Softline) сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на операционную систему «МСВСфера».

Платформа «МСВСфера» построена на базе ядра Linux, зарегистрирована в реестре отечественного программного обеспечения Минцифры и является альтернативой зарубежным ОС уровня Enterprise Linux. Операционная система представлена в редакциях для рабочих станций и серверов и подходит для использования как в государственных, так и в коммерческих организациях. Продукт содержит встроенные инструменты миграции с Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux, Oracle Enterprise Linux и поддерживается производителем в рамках десятилетнего жизненного цикла, включая выпуск обновлений и исправлений безопасности, что гарантирует стабильность и защищённость IT-инфраструктуры клиента.

Операционная система «МСВСфера» (источник изображения: inferit.ru/products/os)

Выданный ФСТЭК России сертификат подтверждает соответствие «МСВСфера» требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (Требования доверия) — по 4 уровню доверия, «Требования безопасности информации к операционным системам» и «Профиль защиты операционных систем типа А четвёртого класса защиты. ИТ.ОС.А4.ПЗ».

«МСВСфера» может использоваться при построении государственных информационных систем (ГИС) до I класса защищённости включительно, информационных систем для обработки персональных данных (ИСПДн) до I уровня защищённости включительно, автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до I класса защищённости включительно, информационных систем общего пользования (ИСОП) до II класса защищённости и объектов критических информационных инфраструктур (КИИ) до I категории значимости.

«Группа Астра» сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на систему централизованного управления доменом ALD Pro.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России.

Выданный ФСТЭК России сертификат подтверждает соответствие ALD Pro требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт соответствует 4-му уровню доверия и располагает набором декларируемых в технических условиях функциональных возможностей.

Источник изображения: aldpro.ru

Решение подходит не только для информационных систем общего пользования (ИСОП) II класса, но также для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и автоматизированных систем управления техническими процессами (АСУ ТП) до 1-го класса защищённости включительно. Кроме того, программный комплекс можно применять на значимых объектах критической информационной инфраструктуры, в том числе 1-ой категории.

«Сегодня заказчики активно переходят с зарубежных решений на отечественные. Мы понимаем, что внедряемый софт должен быть не только функциональным, но и надёжным, и получение сертификата ФСТЭК России — это документальное подтверждение безопасности ALD Pro. Защищённость всегда была и будет одним из ключевых приоритетов нашей команды, нам важно предоставлять клиентам стабильные и качественные решения», — говорится в сообщении «Группы Астра».