Федеральная служба технического экспортного контроля (ФСТЭК) предложила критически значимым компаниям, куда водят операторы, банки и структуры ТЭК, запретить при использовании корпоративных почтовых систем взаимодействие с иностранными IP-адресами. Об этом узнал «Коммерсантъ» из февральской презентации ФСТЭК, посвященной особенностям обеспечения безопасности критической информационной инфраструктуры.

Так, ФСТЭК предлагает отключить удаленный доступ к критичным узлам и сетям, запретить open relay (серверы, позволяющие бесконтрольно пропускать через себя почту), а также взаимодействие через электронную почту с иностранными IP-адресами. При этом защиту следует устанавливать и от «внутренних нарушителей». Предлагается реализовать запись действий привилегированных пользователей и не допускать пересечений прав администратора и работников. Впрочем, такие меры распределения прав доступа в значимых компаниях должны уже давно использоваться.

Источник изображения: «МойОфис» / mailion.ru

Объясняет ФСТЭК свое решение тем, что в ходе экспертизы выявил ряд проблем КИИ в части кибербезопасности. К примеру, компании не учитывают взаимодействие с другими объектами КИИ и занижают размеры ущерба от нарушений работы даже после масштабных кибератак на все отрасли российской экономики в 2022 году и принятых ранее мер.

Эксперты отнеслись к предложению ФСТЭК неоднозначно. С одной стороны, уже работает ограничение зарубежных адресов, с другой — компании могут взаимодействовать с контрагентами, которые используют зарубежные IP-адреса. Кроме того, принадлежность иностранных IP-адресов регулярно меняется.

Российский разработчик «МойОфис» объявил о выводе на рынок почтовой системы «Mailion. Сертифицированный».

Продукт предназначен для работы с конфиденциальной информацией в крупных коммерческих и государственных организациях, которые предъявляют повышенные требования к информационной безопасности в части обязательной аттестации информационных систем согласно законодательству РФ.

Почтовая система «Mailion. Сертифицированный» получила сертификат ФСТЭК России, который подтверждает соответствие требованиям безопасности по 4 уровню доверия и реализацию более 60 мер защиты информации. Согласно техническим условиям, продуктом обеспечиваются меры по идентификации и аутентификации, управлению доступом, регистрации событий безопасности, ограничению программной среды, контролю защищённости и целостности информации, обеспечению доступности информации и защите информационной системы.

Источник изображения: «МойОфис» / mailion.ru

«Mailion. Сертифицированный» может применяться для защиты информации в значимых объектах критической информационной инфраструктуры (КИИ), в государственных информационных системах (ГИС), в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) и в информационных системах персональных данных (ИСПДн).

Отмечается, что в настоящий момент «Mailion. Сертифицированный» — единственное сертифицированное почтовое решение на отечественном рынке с действующим сертификатом ФСТЭК России.

Delta Сomputers завершила сертификационные испытания микропрограммного обеспечения Delta BMC и получила от ФСТЭК сертификат соответствия четвертому уровню доверия к средствам технической защиты данных и обеспечения безопасности информационных технологий.

Программный продукт предназначен для мониторинга и удаленного администрирования серверного оборудования. Он используется для управления компонентами аппаратного обеспечения независимо от основной и гостевой операционной системы.

Источник: Delta Сomputers

Основные функции Delta BMC включают в себя мониторинг состояния аппаратных компонентов и получение инвентарной информации; удаленный доступ (KVM) и управление системой (питание, охлаждение, индикация). Delta Computers разрабатывает продукты на базе открытых стандартов и является членом консорциума Open Compute Project (OCP).

«Сертификат ФСТЭК свидетельствует о высоком уровне безопасности Delta BMC. Теперь продукт может принести дополнительную пользу в различных чувствительных к безопасности проектах, а также объектах критической информационной инфраструктуры. Это очень важно ввиду повышенных рисков информационной безопасности, с которыми им приходится сегодня сталкиваться, и самых строгих требований, предъявляемых ими к защите» — отмечает Delta Computers.

Группа компаний «Цифра» сообщила о сертификации Федеральной службой по техническому и экспортному контролю системы мониторинга работы промышленного оборудования и производственного персонала «Диспетчер».

Система «Диспетчер» представляет собой программно-аппаратный комплекс, позволяющий осуществлять мониторинг работы оборудования в реальном времени, выполнять классификацию и анализ простоев оборудования, проводить своевременную диспетчеризацию сервисных служб, выполнять передачу программ на станки с ЧПУ, проводить отчётность и аналитику, работать с системами управления производством ТОиР, EAM, MES, ERP, в частности, с системами 1С:ERP и 1С:УПП. В состав решения включены различные модули и функции, позволяющие руководителям разных уровней предприятия анализировать ключевые показатели эффективности работы предприятия, принимать оптимальные управленческие решения и отслеживать экономический эффект от внедрения таких решений.

Выданный ФСТЭК России сертификат подтверждает соответствие продукта требованиям безопасности информации по 6 уровню доверия. Комплекс «Диспетчер» может использоваться на значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищённости персональных данных.

По словам разработчика, на текущий момент «Диспетчер» является единственной отечественной платформой, прошедшей сертификацию ФСТЭК России в категории систем мониторинга оборудования.

Компания Astra Linux сообщила о завершении первого этапа сертификации своих программных решений на соответствие требованиям безопасности информации ФСТЭК России к средствам виртуализации: защищённая платформа всей продуктовой экосистемы вендора, операционная система специального назначения Astra Linux Special Edition, получила сертификат, подтверждающий её возможности в части защиты среды виртуализации.

Напомним, что 22 декабря 2022 года вступили в силу новые «Требования по безопасности информации к средствам виртуализации», утверждённые приказом ФСТЭК России от 27.10.2022 № 187 (программные продукты, реализующие функции средств виртуализации, должны быть сертифицированы по одному из шести классов защиты). Astra Linux Special Edition стала первой и пока единственной ОС, которая прошла сертификацию по первому, максимальному, классу защиты.

ОС Astra Linux Special Edition в составе программного комплекса средств виртуализации «Брест»

Выданный ведомством документ подтверждает, что ОС Astra Linux Special Edition является сертифицированным ФСТЭК России средством, разрешённым к применению в целях создания и защиты виртуальной инфраструктуры в информационных системах, обрабатывающих любую информацию ограниченного доступа, в том числе в государственных информационных системах, информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры и др.

В ближайших планах разработчика — сертификация программного комплекса средств виртуализации «Брест» и остального стека решений на соответствие требованиям ФСТЭК России в части средств виртуализации.

Компания «Форсайт» сообщила о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса «Форсайт. Аналитическая платформа».

Платформа «Форсайт» предназначена для создания приложений класса Business Intelligence и решения аналитических задач в корпоративной среде. Она позволяет разрабатывать настольные, веб- и мобильные приложения для визуализации и оперативного анализа данных, формирования отчётности, автоматизации бизнес-процессов, моделирования и прогнозирования показателей по различным сценариям. В активе продукта значатся широкие возможности интеграции с различными системами документооборота и управления предприятием, а также поддержка Hadoop Hive — инфраструктуры распределённого хранения и обработки «больших данных».

Архитектура аналитической платформы «Форсайт»

Выданный ведомством документ подтверждает соответствие продукта 4 уровню доверия (согласно 76 приказу ФСТЭК России), 5 классу защиты (согласно руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации») и техническим условиям.

Сертификат позволяет использовать «Форсайт. Аналитическая платформа» в качестве средства защиты информации (не составляющей государственную тайну) от несанкционированного доступа в системах всех классов защищённости, в том числе в государственных информационных системах (ГИС), на объектах критической информационной инфраструктуры (КИИ), а также для построения систем по работе с источниками информации ограниченного доступа, персональными данными, служебной, коммерческой и иными видами конфиденциальной информации.

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил о сертификации Федеральной службой по техническому и экспортному контролю сразу двух решений — DLP-системы для защиты и предотвращения утечек конфиденциальной информации «Гарда предприятие» и программного комплекса для защиты баз данных «Гарда БД».

Оба продукта обеспечивают защиту конфиденциальной информации и персональных данных и соответствуют требованиям безопасности информации по 4 уровню доверия.

Пользовательский интерфейс системы защиты баз данных «Гарда БД»

Выданные ФСТЭК России сертификаты допускают применение систем «Гарда предприятие» и «Гарда БД» для защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных высших категорий и классов.

«Гарда предприятие» и «Гарда БД» зарегистрированы в реестре российского софта и могут представлять интерес для организаций, реализующих проекты в рамках программы импортозамещения ПО.

Федеральная служба по техническому и экспортному контролю разработала рекомендации по безопасной настройке операционных систем Linux и обеспечению их защиты от хакерских атак.

Соответствующий документ опубликован на сайте ведомства в форматах PDF и RTF. Представленные в нём инструкции подлежат исполнению в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием несертифицированных по требованиям безопасности ОС Linux, до их замены на сертифицированные отечественные решения.

Источник изображения: MasterTux / pixabay.com

Предложенные ФСТЭК России рекомендации затрагивают аспекты, связанные с настройками авторизации пользователей, ограничением механизмов получения привилегий, конфигурированием прав доступа к объектам файловой системы и средств защиты ядра Linux. Отдельное внимание авторами документа уделено настройкам защиты пользовательского окружения программной платформы от цифровых угроз.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Российский провайдер IT-инфраструктуры Selectel провёл оценку эффективности принимаемых мер и соответствия системы защиты своей облачной платформы требованиям по обеспечению безопасности персональных данных согласно приказу ФСТЭК России № 21 от 18 февраля 2013 г. Оценка их эффективности была проведена в форме приёмочных испытаний платформы.

По результатам приведённой оценки была подтверждена эффективность принимаемых мер по обеспечению безопасности хранения и обработки персональных данных до первого уровня защищённости (УЗ-1) облачной платформы. Это означает, что клиенты смогут размещать на платформе Selectel персональные данные всех категорий при использовании его облачных серверов, объектного хранилища S3, кластеров Kubernetes и облачных баз данных.

Меры по обеспечению безопасности согласно требованиям УЗ-1 необходимы для обработки и хранения специальных категорий персональных данных при превышении субъектов персональных данных 100 тыс. человек. При соответствии мер провайдера требованиям УЗ-1 заказчик освобождается от необходимости оценки потенциальных угроз при использовании его сервисов, поскольку Selectel сам проводит оценку. При этом клиенту предоставляется выписка из модели угроз в соответствии с требованиями ФСТЭК.

Согласно регламенту обязанности Selectel и клиентов по обеспечению безопасности распределяются следующим образом:

• Selectel обеспечивает безопасность инфраструктуры на физическом уровне в дата-центрах за счёт реализации систем контроля и управления доступом, видеонаблюдения, резервирования инженерных систем и охранной и пожарной сигнализаций.
• Заказчик при этом берет на себя ответственность за создание, управление и построение системы защиты своего проекта, включая объекты внутри него, в том числе операционные системы и приложения, размещаемые на платформе.

Компания «Газинформсервис» сообщила о получении обновлённого сертификата соответствия Федеральной службы по техническому и экспортному контролю на систему управления базами данных Jatoba.

Платформа Jatoba разработана на базе свободной объектно-реляционной системы управления базами данных PostgreSQL и предназначена для высоконагруженных IT-инфраструктур крупных предприятий. Особенностями отечественной СУБД являются расширенные функциональные возможности, увеличенная синтаксическая совместимость с процедурным языком PL/SQL, а также встроенные средства предотвращения анализа и изменения исходных кодов процедур и функций.

СУБД Jatoba аккредитована ФСТЭК России по 4 уровню доверия. Выданный ведомством документ допускает использование продукта на значимых объектах критической информационной инфраструктуры 1 категории, а также в государственных информационных системах 1 класса защищённости, автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных (например, в медицинских информационных системах) и информационных системах общего пользования II класса.

Сертификат соответствия действителен до ноября 2025 года.