Федеральная служба по техническому и экспортному контролю (ФСТЭК России) подготовила рекомендации для операторов объектов критической информационной инфраструктуры (КИИ), рассматривающих варианты перевода своих сотрудников на дистанционный режим работы в связи пандемией коронавируса.

В опубликованном регулятором документе, в частности, говорится о принятии таких мер, как:

• проведение инструктажа удалённых работников;
• определение перечня вычислительной техники, допущенной для дистанционной работы с объектами КИИ;
• определение перечня информационных ресурсов, расположенных на серверах объектов критической IT-инфраструктуры, к которым будет предоставляться удалённый доступ;
• назначение минимально необходимых прав и привилегий пользователям при удалённой работе;
• идентификация удалённых рабочих станций по МАС-адресам и предоставление им доступа к информационным ресурсам объектов КИИ методом «белого списка»;
• исключение возможности эксплуатации удалённых средств доступа посторонними лицами;
• обеспечение всесторонней защиты удалённых рабочих станций, предполагающей применение технологии виртуальных частных сетей (VPN) и антивирусного ПО, средств многофакторной аутентификации, организацию мониторинга и контроля действий работающих в дистанционном режиме сотрудников.

Кроме того, в разработанном ФСТЭК России документе акцентируется внимание на недопущении удалённого администрирования автоматизированными системами управления производственными/технологическими процессами (АСУ ТП), являющимися значимыми объектами критической информационной инфраструктуры.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов критической информационной инфраструктуры государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Компания «Код безопасности» сообщила о завершении процедуры сертификации аппаратно-программного комплекса шифрования «Континент» версии 3.9 на соответствие требованиям Федеральной службы по техническому и экспортному контролю к межсетевым экранам и средствам обнаружения вторжений.

АПКШ «Континент» представляет собой комплексное решение, сочетающее VPN-шлюз, межсетевой экран, маршрутизатор, детектор атак и центр управления. В состав продукта входит программный VPN-клиент, который предназначен для предоставления сотрудникам удалённого доступа к ресурсам корпоративной сети.

Подчёркивается, что «Континент» 3.9 стал первым межсетевым экраном, сертифицированным ФСТЭК России не только по профилям защиты, но и по уровням доверия, введёнными в 2018 году документом «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

Выданный ФСТЭК России сертификат подтверждает, что аппаратно-программный комплекс шифрования «Континент» версии 3.9 соответствует требованиям к средствам обеспечения безопасности информационных технологий по 3 уровню доверия, а также требованиям к межсетевому экрану типа А 3 класса защиты и требованиям к системам обнаружения вторжений уровня сети 3 класса защиты.

АПКШ «Континент» 3.9 может применяться для защиты объектов критической информационной инфраструктуры (КИИ) до 1 категории включительно, автоматизированных систем (АС) до класса 1В включительно (защита гостайны с грифом «секретно»), информационных систем персональных данных (ИСПДн) до УЗ1 включительно, государственных информационных систем (ГИС) до 1 класса включительно, автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до 1 класса включительно.

Компания «Ред Софт» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) операционной системы «Ред ОС» версии 7.2.

Программная платформа «Ред ОС» разработана на основе ядра Linux с прицелом на обеспечение безопасности обрабатываемых данных. Система поставляется на рынок в конфигурациях для рабочих станций и серверов.

Сертификат ФСТЭК России удостоверяет, что «Ред ОС» 7.2 является операционной системой общего назначения типа А со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну.

Продукт соответствует:

• требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (приказ ФСТЭК России от 30 июля 2018 г. №131) - по 4 уровню доверия;
• требованиям безопасности информации к операционным системам (приказ ФСТЭК России от 19 августа 2016 г., №119), «Профиль защиты ОС типа «А» четвёртого класса защиты. ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017).

Допускается использование сертифицированной редакции «Ред ОС» 7.2 для защиты объектов критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС), автоматизированных систем управления производственными и технологическими процессами (АСУ ТП), информационных систем персональных данных (ИСПДн) до 1 класса (категории значимости, уровня) защищённости включительно, а также информационных систем общего пользования (ИСОП) 2 класса.

Система «Ред ОС» включена в реестр российского ПО как рекомендованная для закупки российскими компаниями и госструктурами. Дополнительные сведения о продукте опубликованы на сайте red-soft.ru.

Компания Zecurion сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс Zecurion Enterprise RV.

Представленный отечественным разработчиком продукт относится к классу систем Data Loss Prevention (DLP) и предназначен для предотвращения утечек конфиденциальной информации в корпоративных сетях, управления рисками и всесторонней защиты бизнеса от внутренних угроз.

Особенностью Zecurion Enterprise RV является полноценная поддержка Linux.

В рамках сертификации DLP-система Zecurion Enterprise RV прошла испытания и получила подтверждение на соответствие новым требованиям ФСТЭК России к программному обеспечению по 4 уровню контроля, установленным в документах «Требования к средствам контроля съёмных машинных носителей информации» и «Профиль защиты средств контроля подключения съёмных машинных носителей информации четвёртого класса защиты».

Сертификат действителен до февраля 2025 года. Дополнительные сведения о продукте можно найти на сайте zecurion.ru/solution/dlp/data-loss-prevention.

Компания «Гарда технологии» сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс защиты от DDoS-атак «Периметр».

Система «Периметр» позволяет обнаруживать большой спектр событий на устройствах сети, выявлять вредоносную активность на высоких скоростях и блокировать её с помощью современных эвристических и алгоритмических методов подавления атак.

Выданный ФСТЭК России сертификат удостоверяет, что «Периметр» является программным средством защиты информации, не содержащей сведений, составляющих государственную тайну, от воздействий, направленных на отказ в обслуживании информационных (автоматизированных) систем. Продукт соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля.

Сертификат действителен до января 2025 года. Дополнительные сведения о программном решении можно найти на сайте gardatech.ru/produkty/perimetr.

DDoS-атаки являются доступным и эффективным инструментом, позволяющим преступникам частично или полностью блокировать работу веб-сервисов. Так, по данным «Ростелекома», только за прошедший год количество таких атак на российские компании увеличилось в два раза. По мнению экспертов, столь серьёзный рост числа распределённых атак, направленных на отказ в обслуживании, обусловлен их дешевизной и эффективностью. Эти два фактора будут способствовать кратному увеличению количества атак и в текущем году.

Чаще всего жертвами этого вида угроз в нашей стране становятся предприятия электронной коммерции, финансовые учреждения, государственные органы, а также средства массовой информации. Кроме того, зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, в том числе участники телекоммуникационного сектора и компании, специализирующиеся на IT-безопасности.

Компания «Код безопасности» сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс Secret Net LSP версии 1.9.

Продукт обеспечивает защиту от несанкционированного доступа на рабочих станциях и серверах под управлением ОС Linux, а также позволяет контролировать доступ пользователей к защищаемым файлам и устройствам.

Особенностью обновлённой версии Secret Net LSP является возможность контроля запуска приложений и скриптов на защищаемых компьютерах с помощью модуля «Замкнутая программная среда».

Программный комплекс Secret Net LSP 1.9 прошёл инспекционный контроль ФСТЭК России в подтверждение выданного ранее сертификата № 2790. Согласно указанному документу, продукт соответствует требованиям по 5 классу защищённости средств вычислительной техники и по 4 уровню контроля отсутствия недекларированных возможностей. Решение может использоваться для защиты информационных систем персональных данных до 1 уровня защищённости, государственных информационных систем до 1 класса защищённости, автоматизированных систем управления технологическими процессами до 1 класса защищённости, а также автоматизированных систем до класса защищённости 1Г включительно.

Система Secret Net LSP включена в реестр российского ПО и может применяться в органах безопасности и иных государственных ведомствах. Подробная информация о продукте представлена на сайте securitycode.ru/products/szi_secret_net.

Компания «Элвис-Плюс», системный интегратор в области обеспечения IT-безопасности и разработчик средств защиты информации, сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю на программный VPN/FW-комплекс «Застава-Управление».

Данный комплекс выполняет функции удалённого администрирования и является терминалом управления для программных и аппаратно-программных межсетевых экранов производства «Элвис-Плюс».

«Застава-Управление» позволяет создавать единую политику безопасности — набор правил для защищаемой сети на уровне бизнес-объектов и ролей. Политика формируется в графической консоли и включает в себя сведения о топологии сетевой инфраструктуры (описания объектов с их идентификационной информацией) и правила взаимодействия объектов.

Выданный ФСТЭК России сертификат удостоверяет, что VPN/FW-комплекс «Застава-Управление» версии 6 является средством удалённого управления межсетевыми экранами, обрабатывающим информацию, не содержащую составляющих государственную тайну сведений. Продукт соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля.

Сертификат действителен до января 2025 года. Дополнительные сведения о программном решении можно найти на сайте zastava.ru.

Компания «1С» сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на защищённый программный комплекс «1С:Предприятие 8s».

Выданный ведомством документ допускает использование упомянутой платформы автоматизации делопроизводства и электронного документооборота в IT-системах, обрабатывающих информацию, составляющую государственную тайну.

Согласно сертификату ФСТЭК России, продукт соответствует требованиям по безопасности информации, установленным в руководящем документе «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля и техническим условиям.

Программный комплекс «1С:Предприятие 8s» имеет встроенные средства защиты от несанкционированного доступа к информации, реализует функции идентификации и аутентификации пользователей, управления доступом, регистрации событий безопасности, восстановления информации, очистки памяти и контроля целостности конфиденциальных данных.

«1С:Предприятие 8s» функционирует в среде операционной системы специального назначения Astra Linux Special Edition 1.6 РУСБ.10015-01 с использованием СУБД PostgresSQL 9.6.

Сертификат ФСТЭК России на систему электронного документооборота действителен до конца 2024 года. С дополнительной информацией о продукте можно ознакомиться по этой ссылке.

Компания «Интеллектуальная безопасность» сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) программного комплекса Security Vision.

Платформа Security Vision предназначена для сбора, мониторинга и анализа потока событий в корпоративных IT-средах, выявления инцидентов информационной безопасности и реагирования на них.

Решение аккумулирует данные из различных источников, анализирует их, фиксирует инциденты и оповещает о них заинтересованных лиц. Поддерживается интеграция со сторонними SIEM-системами, такими, как IBM QRadar, FortiSIEM, RSA NetWitness, McAfee ESM, MP SIEM, RuSIEM, ArcSight и другими. Также в продукте реализовано согласованное взаимодействие с ФинЦЕРТ и НКЦКИ (ГосСОПКА).

Выданный ФСТЭК России сертификат подтверждает соответствие Security Vision нормам действующих нормативных-правовых актов РФ (в частности, по 4-му уровню контроля отсутствия недекларированных возможностей) и допускает применение платформы в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), автоматизированных системах управления технологическими процессами (АСУ ТП) до 1-го класса/уровня защищённости включительно.

Программный комплекс Security Vision зарегистрирован в реестре российского ПО как рекомендованный для закупки российскими компаниями и государственными структурами. Дополнительные сведения о продукте опубликованы на сайте securityvision.ru.

Компания «Логика бизнеса», занимающаяся созданием систем автоматизации делопроизводства и электронного документооборота, а также программных продуктов класса ЕСМ (Enterprise Content Management), сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю на платформу «Логика СЭД.БП.СПО.ПРО».

Выданный ФСТЭК России сертификат соответствия допускает возможность работы программного комплекса «Логика СЭД.БП.СПО.ПРО» с защищённой информацией — документами и данными, не составляющими государственную тайну.

Система «Логика: СЭД» предназначена для управления корпоративным контентом и контент-ориентированными бизнес-процессами в средних и крупных коммерческих и государственных предприятиях, имеющих большое количество территориально распределённых подразделений и множество контрагентов.

Продукт управляет полным жизненным циклом входящих, исходящих, внутренних, организационно-распорядительных и нормативных документов, резолюций, поручений, договоров и протоколов, а также организует совместную работу над ними и автоматизирует бизнес-процессы. Решение включено в реестр отечественного ПО и использует для работы СУБД Postgres Pro российского происхождения.