В настоящее время только в трёх сертифицированных отечественных операционных Linux-системах задействовано ядро, поддерживаемое Технологическим центром исследования безопасности ядра Linux. Об этом на проходившей в Москве IX международной научно-практической конференции OS Day 2022 сообщил начальник второго управления Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Дмитрий Шевцов

«У нас есть три сертифицированные программные платформы, которые функционируют на базе отечественной ветки ядра Linux 5.10, выбранной в качестве основной и поддерживаемой специалистами Технологического центра. Остальные российские софтверные компании проводят соответствующие подготовительные работы и намерены перевести свои ОС на упомянутое ядро в скором времени», — заявил представитель ведомства.

По данным ФСТЭК России, наработки Технологического центра уже задействованы в дистрибутивах «Альт 8 СП», «Ред ОС» и «ОСнова». До конца 2023 года перевести свои продукты на рекомендованное регулятором безопасное ядро Linux планируют разработчики операционных систем Astra Linux Special Edition, «Роса Кобальт», AlterOS, «СинтезМ», «Циркон 37К», EMIAS OS. Не исключена вероятность подключения к российской ветке ядра Linux 5.10 компании «Открытая мобильная платформа», занимающейся развитием и продвижением ОС «Аврора» для портативных устройств.

Технологический центр исследования безопасности ядра Linux создан в 2021 году на базе Института системного программирования Российской академии наук (ИСП РАН) под эгидой ФСТЭК России в целях реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Главной задачей Технологического центра является повышение уровня безопасности отечественных Linux-систем.

Партнёрами проекта выступают множество российских IT-компаний, в числе которых «Московский центр SPARC-технологий» (МЦСТ), «Ред Софт», «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), «Байкал электроникс», «Базальт СПО», «РусБИТех-Астра» и многие другие организации.

Компания Postgres Professional сообщила о переоформлении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) для обновлённой системы управления базами данных Postgres Pro Certified.

Postgres Pro Certified построена на базе свободной объектно-реляционной СУБД PostgreSQL и предназначена для работы с персональными и конфиденциальными данными. В платформу включены средства защиты от несанкционированного доступа к информации, механизмы контроля целостности исполняемых файлов и другие важные с точки зрения безопасности функции.

Обновлённая Postgres Pro Certified поддерживает две версии ядра СУБД — 11.15.1 и 14.2.1. В релизе устранены ряд серьёзных уязвимостей, позволявших злоумышленникам обходить защитные механизмы программного комплекса. Во избежание проблем с информационной безопасностью рекомендуется не затягивать с развёртыванием выпущенных для системы управления базами данных апдейтов.

Сертифицированная СУБД Postgres Pro может применяться для защиты информации в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищённости; в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищённости; в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищённости персональных данных; в информационных системах общего пользования 2-го класса.

Компания BellSoft сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю на среду разработки и исполнения Java-приложений Axiom JDK по четвёртому уровню доверия.

Axiom JDK (прежнее название Liberica JDK) создана на основе проекта с открытым исходным кодом OpenJDK, соответствует спецификациям Java SE и является полноценной заменой Oracle Java. В состав платформы включены все инструменты, исполняемые и бинарные файлы, которые необходимы для компиляции, отладки и выполнения программных продуктов. Среда совместима с различными операционными системами, поддерживается российскими разработчиками и полностью отвечает принципам импортозамещения.

Источник изображения: Innova Labs / pixabay.com

Отмечается, что платформа Java впервые получила сертификат ФСТЭК России. В ходе проверки соответствия было подтверждено отсутствие в системе защиты Axiom JDK недокументированных возможностей и наличие требуемых функций безопасности, произведён контроль архитектуры продукта и полный анализ его исходного кода, включая фаззинг-тестирование.

Выданный ФСТЭК России сертификат допускает использование среды Axiom JDK при создании систем, требующих 4 уровня доверия. В числе таковых значатся: государственные информационные системы до 1 класса защищённости включительно, значимые объекты критической информационной инфраструктуры 1 категории, информационные системы персональных данных до 1 уровня защищённости включительно, а также автоматизированные системы управления производственными и технологическими процессами 1 класса защищённости.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) отзовёт сертификаты более 50 продуктов иностранных разработчиков, которые прекратили деятельность на территории Российской Федерации. Об этом сообщает газета «Коммерсантъ», ссылаясь на информацию в реестре ведомства.

Разработчики программных продуктов проходят сертификацию ФСТЭК для подтверждения, что они соответствуют требованиям по безопасности информации по разным классам защищённости.

В настоящее время ФСТЭК приостановила действие сертификатов на 56 продуктов иностранных поставщиков. В их число входят решения IBM, Microsoft, Oracle, SAP, VMware, ESET, Trend Micro и других компаний.

Источник изображения: pixabay.com / Elchinator

Отмечается, что сертификаты на продукты названных поставщиков будут полностью отозваны, если разработчики в течение 90 дней не гарантируют обеспечение технической поддержки своих решений.

«Согласно требованиям ФСТЭК, заявитель должен обеспечивать техническую поддержку средств защиты информации, проходящих сертификацию в России, в том числе и устранять выявляемые уязвимости», — говорится в публикации.

Участники рынка отмечают, что решение о прекращении сертификации может носить политический характер. Государственным информационным системам (ГИС) и объектам критической информационной инфраструктуры (КИИ) придётся ещё быстрее искать замену зарубежным продуктам, что должно способствовать импортозамещению в области программного обеспечения.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) подготовила рекомендации для операторов объектов критической информационной инфраструктуры (КИИ) по повышению защищённости обслуживаемых систем от кибератак.

«Анализ сведений об угрозах безопасности информации, проводимый специалистами ФСТЭК России в условиях сложившейся обстановки, показывает, что зарубежными хакерскими группировками ведётся подготовка и осуществляются масштабные компьютерные атаки на IT-инфраструктуру операторов автоматизированных систем управления производственными и технологическими процессами (АСУ ТП), применяемых на объектах критической информационной инфраструктуры Российской Федерации», — говорится в сообщении ведомства.

В опубликованном регулятором документе, в частности, сообщается о необходимости принятия таких мер, как:

• проведение инвентаризации общедоступных информационных ресурсов путём внешнего сканирования блока публичных IP-адресов, принадлежащих организации с целью определения сетевых служб, открытых на периметре IT-инфраструктуры;
• проведение анализа открытых портов и блокирование доступа извне к сетевым службам, для которых он не нужен, либо ограничение доступа по белому списку IP-адресов там, где это возможно исходя из назначения сервисов;
• ограничение доступа по белому списку IP-адресов для API-интерфейсов;
• усиление требований к парольной политике администраторов и пользователей промышленных систем, отключение заданных по умолчанию паролей и неиспользуемых учётных записей;
• обеспечение двухфакторной аутентификации сотрудников организации, осуществляющих удалённое подключение к информационной инфраструктуре;
• обеспечение удалённого доступа сотрудников организации к объектам КИИ с применением защищенных каналов передачи данных (HTTPS, SSH и других протоколов), а также VPN-сетей;
• исключение из публичного доступа информации и материалов, содержащих сведения по настройке и эксплуатации ПО и оборудования АСУ ТП;
• обеспечение фильтрации трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (Web Application Firewall, WAF), установленных в режим противодействия атакам;
• отказ на сетевом оборудовании (при наличии технической возможности) от использования незащищённых протоколов управления, таких как Telnet/HTTP/SNMP, и разрешение доступа к оборудованию только из доверенных сетей;
• активация функций защиты от распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), на средствах межсетевого экранирования и других защитных комплексах.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов КИИ государства включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Компания «Аванпост», занимающаяся разработкой систем идентификации и управления доступом к информационным ресурсам предприятия, сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю на программный комплекс Avanpost Web SSO по четвёртому уровню доверия.

Avanpost Web SSO позволяет реализовать в масштабах крупной территориально распределённой организации полный комплекс функций обычной и многофакторной аутентификации пользователей IT-систем предприятия, а также настроить их безопасный вход во все необходимые корпоративные приложения и сервисы после однократной аутентификации (Single Sign-On, SSO).

Как работает Avanpost Web SSO

Решение может быть развёрнуто в средах Windows/Linux и поддерживает работу со всеми современными информационными системами: тонкими клиентами, мобильными приложениями, SaaS-сервисами, настольными приложениями традиционного типа и сложноорганизованными веб-ресурсами, страницы которых открывают доступ к IT-системам одной или нескольких организаций.

Выданный ФСТЭК России сертификат удостоверяет, что комплекс Avanpost Web SSO может быть использован в государственных информационных системах до первого класса защищённости включительно, в информационных системах персональных данных до первого класса защищённости включительно, в автоматизированных системах управления критически важными объектами (КВО) до первого класса защищённости включительно. Кроме того, продукт можно использовать в значимых объектах критических информационных инфраструктур (КИИ) до первой категории включительно.

Компания «Ростелеком-Solar» получила положительное заключение Федеральной службы по техническому и экспортному контролю на программный комплекс Solar Dozor 7 по четвёртому уровню доверия.

Solar Dozor представляет собой полнофункциональную систему предотвращения утечек данных (Data Loss Prevention, DLP), обеспечивающую контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Также продукт может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе устойчивых паттернов поведения.

Отмечается, что сертификация DLP-системы Solar Dozor 7 длилась 1,5 года, при этом проверке на предмет отсутствия недекларированных разработчиком функциональных возможностей подверглись все входящие в состав программного комплекса модули. Продукт прошёл полный цикл предусмотренных регулятором экспертиз, по результатам которых испытательная лаборатория АО «Лаборатория ППШ» и орган по сертификации АО «НПО Эшелон» выдали заключение об успешном прохождении сертификации.

Выданный ФСТЭК России сертификат соответствия удостоверяет, что Solar Dozor 7 является программным средством защиты от неправомерной передачи из IT-систем информации, не содержащей сведений, составляющих гостайну. Продукт может быть использован на объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, а также в информационных системах общего пользования II класса.

Компания «Тионикс» (является дочерним подразделением ГК «Ростелеком-ЦОД») сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю на программный комплекс Tionix VDI Security по четвёртому уровню доверия.

Tionix VDI Security представляет собой решение для защищённого терминального подключения широкого спектра пользовательских рабочих мест к корпоративной IT-среде. При этом обеспечивается безопасное подключение как к развёрнутой в центре обработки данных инфраструктуре виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), так и к рабочему окружению пользовательских персональных компьютеров, которые физически находятся в офисе организации.

Функции безопасности Tionix VDI Security

Выданный ФСТЭК России сертификат допускает использование продукта для защиты информации от несанкционированного доступа в государственных информационных системах 1-го класса защищённости, автоматизированных системах управления производственными и технологическими процессами 1-го класса защищённости, на объектах критической информационной инфраструктуры первой категории значимости, а также в информационных системах персональных данных при необходимости обеспечения 1-го уровня их защищённости.

TIONIX VDI Security является лицензируемым программным обеспечением. Стоимость лицензии определяется количеством рабочих станций (терминалов), на которых предполагается функционирование продукта.

Компания Postgres Professional сообщила о переоформлении сертификатов соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) для СУБД Postgres Pro Enterprise редакций 11.13.1 и 13.4.1.

В обновлённых версиях систем управления базами данных устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229, заключалась в повышении прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к данным. Вторая уязвимость, CVE-2021-3677, позволяла злоумышленникам сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.

Postgres Pro Enterprise построена на базе свободной объектно-реляционной СУБД PostgreSQL и разработана специально для высоконагруженных IT-систем крупных предприятий.

Сертифицированная СУБД Postgres Pro Enterprise может применяться для защиты информации в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищённости; в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищённости; в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищённости персональных данных; в информационных системах общего пользования 2-го класса.

Компания Oracle сообщила о сертификации Федеральной службой по техническому и экспортному контролю объектно-реляционной системы управления базами данных Database 19c с опциональными компонентами Database Vault и Advanced Security по требованиям доверия.

Напомним, с 1 июня 2019 года вступили в силу новые требования по безопасности ФСТЭК России, устанавливающие уровни доверия к средствам защиты информации. СУБД Oracle Database 19c успешно прошла данную проверку по 6 уровню доверия.

Выданный ведомством сертификат допускает использование СУБД Oracle Database 19c с установленными модулями Database Vault и Advanced Security в системах ГИС 3 класса, КИИ 3 класса, ИСПДн (персональные данные) уровней (классов) 4 и 3, а также в системах АСУ ТП 3 класса, эксплуатируемых на Oracle Linux 7,8 и Red Hat Enterprise Linux версии 7.

«Успешная сертификация в России системы управления базами данных Oracle Database 19c по требованиям ФСТЭК является для нас очень важным событием, направленным на расширение областей использования технологий Oracle. Теперь наши заказчики имеют возможность использовать сертифицированный экземпляр СУБД Oracle Database на объектах, относящихся к критической информационной инфраструктуре», — говорится в заявлении корпорации Oracle.