Компания «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, представила обновленную версию своего продукта Basis Virtual Security, предназначенного для защиты данных в средах виртуализации. Релиз 3.2 получил 118 новых функций, различных улучшений и исправлений. Практически одновременно с этим Basis Virtual Security успешно прошел испытания на соответствие требованиям ФСТЭК к безопасности информации по четвертому уровню доверия (УД4).

В новом релизе Basis Virtual Security 3.2 появилась возможность резервного копирования виртуальных машин (ВМ), в том числе инкрементального. Создание резервных копий возможно как для работающих, так и для остановленных виртуальных машин, а для их хранения можно использовать NFS-хранилище. Графический интерфейс Basis Virtual Security также был существенно доработан, чтобы сделать процесс резервного копирования и восстановления ВМ комфортным для администратора.

Источник изображений: «Базис»

Значительные изменения в свежем релизе коснулись также контроля целостности виртуальных машин и работы с контрольными суммами — обновленные инструменты помогают администратору своевременно замечать несанкционированные изменения в подконтрольных виртуальных средах и принимать меры. В частности, были обновлены политики целостности: реализованы уровни их применимости отдельно для вычислительных узлов и виртуальных машин на Linux и Windows, добавлены действия над запущенными ВМ при нарушении целостности, появилась возможность запрета запуска виртуальных машин при нарушении эталона контрольных сумм вычислительных узлов. Кроме того, появилось журналирование задачи подсчета контрольных сумм, а для их вычисления можно использовать отечественные алгоритмы национального стандарта ГОСТ Р 34.11–2012.

Basis Virtual Security версии 3.2 успешно и, самое главное, быстро прошел испытания ФСТЭК, которые после каждого обновления обязаны проходить все решения, сертифицированные как средство защиты информации. Вместе с платформой виртуализации Basis Dynamix новый релиз подтвердил сертификацию по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Ранее «Базис» в два раза уменьшил — с 6 до 3 месяцев — срок прохождения испытаний ФСТЭК благодаря внедрению в компании современных инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН.

«Новый релиз Basis Virtual Security важен для нас не только как возможность продемонстрировать функциональность продукта, которую от нас ждали партнеры, но и как еще одно подтверждение правильности выстроенного нами процесса безопасной разработки и проектирования ПО. Мы уже добились значительного сокращение сроков прохождения испытаний на соответствие стандартам ФСТЭК и продолжаем дальше оптимизировать этот процесс. Результаты этой работы позволяют заказчикам сертифицированных решений «Базиса» оперативно получать обновления, а вместе с ними не только новые возможности продукта, но и большое количество различных улучшений и исправлений», — отметил Дмитрий Сорокин, технический директор компании «Базис».

В качестве средства защиты Basis Virtual Security позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды. Предлагаемые возможности были по достоинству оценены рынком, и в сентябре 2024 года продукт занял первое место в рейтинге CNews «Средства облачной защиты-2024».

Глава одной из IT-компаний из Мэриленда, по данным Минюста США (DoJ), подделал документы о получении сертификата надёжности ЦОД уровня Tier IV в Белтсвилле (Мэриленд). The Register сообщает, что это было сделано ради контракта на размещение оборудования Комиссии по ценным бумагам и биржам США (SEC).

Хотя такие сертификаты Uptime Institute выдаёт только после проверки, обвиняемый Дипак Джайн (Deepak Jain) выбрал другой путь. Его компания, по мнению властей, предоставила SEC поддельные документы о сертификации. Причём обвиняемый не просто скорректировал документы Uptime Institute, а «изобрёл» некую организацию Uptime Council, которая, похоже, вообще не существует.

В Министерстве юстиции США заявили, что не потерпят схем, ставящих под угрозу безопасность данных правительства. Как власти выяснили, что Джайн сертификацию буквально выдумал, не говорится, но сообщается, что SEC столкнулась с проблемами с безопасностью, охлаждением и энергоснабжением в ЦОД. В своё время сотрудник компании помешал осмотру Beltsville Data Center до заключения контракта в 2012 году. После того, как срок сделки истёк в 2018 году, SEC отказалась продлевать договор. Всего Комиссия потратила на услуги данного ЦОД $10,7 млн.

Источник изображения: Bermix Studio/unsplash.com

За подобную «изобретательность» Джайну грозит по 10 лет тюрьмы за каждое из шести обвинений в крупном мошенничестве, а также до пяти лет в связи с обвинением в ложных заявлениях. Хотя сама компания в судебных документах не называется, в Сети есть информация, что Дипак Джайн является основателем и генеральным директором белтсвилльской AiNET (именно она управляет ЦОД). Впрочем, доказательств того, что вся компания в целом замешана в махинациях, пока нет. При этом на сайте AiNET неоднократно упоминается, что её ЦОД имеет сертификацию Tier IV.

Представляющие интересы Джайна юристы сообщили журналистам, что клиент отрицает вину, и говорят, что его компания выполнила все условия контракта с SEC, а доказательства утери данных или их компрометации по вине владельца ЦОД отсутствуют. Случай примечателен тем, что финансовые махинации, в том числе связанные с ЦОД, происходят довольно часто, но о столь наглых попытках подделать Tier-сертификаты известно немного.

Российский разработчик Deckhouse сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на платформу контейнеризации Deckhouse Kubernetes Platform (DKP).

Deckhouse Kubernetes Platform позволяет создавать идентичные кластеры и управлять ими в любой ИТ-инфраструктуре. Платформу можно разворачивать в публичных и приватных облаках, поверх любой виртуализации, на bare-metal-серверах, а также в гибридной модели. Платформа зарегистрирована в реестре отечественного ПО, в полной мере отвечает задачам импортозамещения и может использоваться организациями при реализации программ по переходу на отечественные продукты с решений зарубежных разработчиков.

Выданный ФСТЭК России документ подтверждает, что новая редакция платформы DKP — Certified Security Edition — является средством контейнеризации 4-го класса защиты и соответствует требованиям по безопасности информации, предъявляемым к 4-му уровню доверия. Это первый на российском рынке оркестратор контейнеров, прошедший сертификационные испытания регулятора.

DKP Certified Security Edition может применяться в организациях, в которых обязательно использование сертифицированных ФСТЭК России продуктов. В частности, это госкомпании, госкорпорации, банки, федеральные и региональные органы исполнительной власти, а также предприятия, работающие с критической информационной инфраструктурой. Сертифицированная редакция платформы включает все необходимые для полноценной оркестрации контейнеров инструменты. Среди них — управление сетью, автомасштабирование, балансировка входящего трафика, политики безопасности и операционные политики, сквозная авторизация и аутентификация, сбор и хранение журналов, мониторинг и алертинг.

«Лаборатория Касперского» сообщила о получении сертификата ФСТЭК России, подтверждающего соответствие процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», Антивирусный вендор стал первым и единственным на сегодняшний день разработчиком в России, прошедшим данную сертификацию.

Сертификация процессов безопасной разработки начала действовать в РФ 1 июня 2024 года — она предполагает проверку регулирующим органом соответствия ГОСТ не только на уровне отдельного ПО, но и на уровне организации. Первым аккредитованным и пока единственным органом по сертификации в данной области является Институт системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН). Требование соответствию ГОСТ Р 56939 уже включается во все проводимые заказчиками тендеры, оно прописано в документах всех значимых отраслей, таких как банковская сфера, КИИ, транспорт, медицина.

Источник изображения: kaspersky.ru

«"Лаборатория Касперского" начала внедрять практики безопасной разработки задолго до того, как стали предъявлять те или иные требования по этой части регуляторы и заказчики. Мы первыми поддержали ФСТЭК России, когда требования ГОСТ 2016 года стали обязательными к выполнению при сертификации продуктов. Мы вошли в рабочую группу с ИСП РАН и испытательной лабораторией НТЦ "Фобос-НТ", апробировали новые инструменты и подходы, на практике показали, что документ выполним. Но жизнь менялась, с каждым годом запрос на безопасность растёт, и пришла пора актуализировать ГОСТ, что мы и сделали в инициативном порядке. Поэтому мы особенно гордимся тем, что первыми в отрасли получили сертификат соответствия», — прокомментировала Карина Нападовская, руководитель центра сертификации и соответствия стандартам в «Лаборатории Касперского».

В планах «Лаборатории Касперского» на ближайшие месяцы — разработка стандартов, сопутствующих ГОСТ Р 56939, таких как «Руководство по внедрению процессов разработки безопасного ПО» и «Методика оценки реализации процессов разработки безопасного ПО».

Российский поставщик оборудования и ПО для IT-инфраструктуры и информационной безопасности «Инферит» (входит в группу компаний Softline) сообщил о получении сертификата Федеральной службы по техническому и экспортному контролю на операционную систему «МСВСфера».

Платформа «МСВСфера» построена на базе ядра Linux, зарегистрирована в реестре отечественного программного обеспечения Минцифры и является альтернативой зарубежным ОС уровня Enterprise Linux. Операционная система представлена в редакциях для рабочих станций и серверов и подходит для использования как в государственных, так и в коммерческих организациях. Продукт содержит встроенные инструменты миграции с Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux, Oracle Enterprise Linux и поддерживается производителем в рамках десятилетнего жизненного цикла, включая выпуск обновлений и исправлений безопасности, что гарантирует стабильность и защищённость IT-инфраструктуры клиента.

Операционная система «МСВСфера» (источник изображения: inferit.ru/products/os)

Выданный ФСТЭК России сертификат подтверждает соответствие «МСВСфера» требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (Требования доверия) — по 4 уровню доверия, «Требования безопасности информации к операционным системам» и «Профиль защиты операционных систем типа А четвёртого класса защиты. ИТ.ОС.А4.ПЗ».

«МСВСфера» может использоваться при построении государственных информационных систем (ГИС) до I класса защищённости включительно, информационных систем для обработки персональных данных (ИСПДн) до I уровня защищённости включительно, автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до I класса защищённости включительно, информационных систем общего пользования (ИСОП) до II класса защищённости и объектов критических информационных инфраструктур (КИИ) до I категории значимости.

«Группа Астра» сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на систему централизованного управления доменом ALD Pro.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России.

Выданный ФСТЭК России сертификат подтверждает соответствие ALD Pro требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт соответствует 4-му уровню доверия и располагает набором декларируемых в технических условиях функциональных возможностей.

Источник изображения: aldpro.ru

Решение подходит не только для информационных систем общего пользования (ИСОП) II класса, но также для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и автоматизированных систем управления техническими процессами (АСУ ТП) до 1-го класса защищённости включительно. Кроме того, программный комплекс можно применять на значимых объектах критической информационной инфраструктуры, в том числе 1-ой категории.

«Сегодня заказчики активно переходят с зарубежных решений на отечественные. Мы понимаем, что внедряемый софт должен быть не только функциональным, но и надёжным, и получение сертификата ФСТЭК России — это документальное подтверждение безопасности ALD Pro. Защищённость всегда была и будет одним из ключевых приоритетов нашей команды, нам важно предоставлять клиентам стабильные и качественные решения», — говорится в сообщении «Группы Астра».

Компания «Пассворк», занимающаяся разработкой и развитием одноимённого менеджера паролей для бизнеса, сообщила о получении лицензий Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации, а также на деятельность по её технической защите.

Выданные ФСТЭК России лицензии подтверждают соответствие компании предъявляемым ведомством требованиям в области IT-безопасности. Согласно полученным документам, специалисты «Пассворка» вправе участвовать в разработке и доработке ПО и технических средств защиты информации, а также оказывать услуги по развёртыванию и настройке защитных решений.

«Пассворк» повышает безопасность при работе с корпоративными паролями

«Это важное событие для российского IT-сектора, так как теперь корпорации и госкомпании, для которых наличие упомянутых лицензий является обязательным условием, смогут обеспечивать сохранность своих данных, а также наладить удобный процесс работы с паролями, пользуясь отечественным решением», — говорится в заявлении компании-разработчика.

«Пассворк» ведёт деятельность на российском IT-рынке с 2014 года. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации в зашифрованном виде. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. Решение зарегистрировано в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

«Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, сократил срок прохождения испытаний ФСТЭК России с 6 до 3 месяцев. Это стало возможным благодаря внедрению в компании инструментов безопасной разработки и активной работе специалистов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России.

Сертифицированные решения обязаны проходить испытания в связи с внесением изменений в сертифицированное ранее средство защиты информации (СЗИ) после каждого значимого обновления. Процесс проверки ФСТЭК может занимать около полугода, из-за чего выход сертифицированной версии откладывается, а вместе с этим может откладываться и получение новой функциональности продукта его заказчиком. Выбранный командой «Базиса» подход к разработке экосистемы позволил компании выпускать новые релизы продуктов, сертифицированные и нет, с минимальной разницей во времени. В частности, решение для защиты систем виртуализации и облачных платформ Basis Virtual Security и платформа для управления виртуальными средами Basis Dynamix прошли испытания всего за три месяца.

Источник изображения: «Базис»

Basis Virtual Security и Basis Dynamix ранее были сертифицированы по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Достижение столь высокого уровня и получение сертификата стали возможным благодаря использованию методов безопасной разработки и существующим в Basis Virtual Security средствам обеспечения информационной безопасности. Решение «Базиса» позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security инструменты реализуют подавляющее большинство технических мер защиты виртуальной среды.

Сертифицированные Basis Dynamix и Basis Virtual Security можно использовать в:

• государственных информационных системах (ГИС) до 1 класса защищенности,
• информационных системах персональных данных (ИСПДн) до 1 уровня защищенности,
• автоматизированных системах управления технологическим процессом (АСУ ТП) до 1 уровня защищенности,
• информационных системах общего пользования II класса,
• значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

«Для того, чтобы продукт мог называться защищенным, недостаточно единожды получить сертификат — после выхода каждого обновления нужно проходить испытания на соответствие стандартам ФСТЭК, а это серьезно задерживает релиз. Команде «Базис» в сотрудничестве с ИСП РАН и НТЦ Фобос-НТ удалось выстроить вокруг продуктов такой процесс безопасной разработки и проектирования, что новый релиз может проходить испытания всего за три месяца вместо полугода. В совместных планах у нас еще большее сокращение сроков, а также дальнейшее повышение безопасности разработки: «Базис» является активным участником Центра исследования безопасности системного ПО, и проводимые работы по статическому и динамическому анализу исходных кодов регулярно приводят к выявлению и исправлению дефектов. Одним из последних успехов стало выявление уязвимости высокого уровня критичности BDU-2024-04430. Все это говорит о правильности выбранного компанией подхода к разработке и зрелости наших продуктов. Заказчики могут быть уверены, что решения «Базиса» создают безопасную основу для динамической инфраструктуры их организации», — прокомментировал Дмитрий Сорокин, технический директор компании «Базис».

Справка о компании

«Базис» — ведущий российский разработчик платформы динамической инфраструктуры, виртуализации и облачных решений. Образован в 2021 году путем объединения IT-активов «Ростелеком», YADRO и Rubytech («ТИОНИКС», Digital Energy и «Скала Софтвер»). Компания предлагает клиентам импортонезависимую экосистему продуктов — от инструментов управления виртуальной инфраструктурой и средств ее защиты до конвейера для организации полного цикла разработки. Решения «Базиса» используются в 120 государственных информационных системах и сервисах, и в более чем 700 компаниях различного масштаба — от крупнейших корпораций до малых и средних предприятий. Продукты разработчика интегрированы в ключевые государственные проекты, такие как Гособлако (ГЕОП), Гостех и Госуслуги, а также применяются в федеральных и региональных органах исполнительной власти. Функциональность на уровне зарубежных аналогов и наличие собственной кодовой базы позволяют клиентам «Базиса» увеличить долю использования отечественного ПО в рамках стратегий цифровой трансформации и импортозамещения. Решения компании включены в реестр российского программного обеспечения, сертифицированы ФСТЭК и ФСБ и соответствуют требованиям регуляторов до 1 класса защищенности.

Федеральная служба по техническому и экспортному контролю продлила срок действия сертификатов соответствия на систему управления базами данных СУБД Postgres в версиях Pro и Pro Enterprise. Об этом говорится в сообщении компании-разработчика Postgres Professional.

Выданные ФСТЭК России сертификаты допускают применение СУБД Postgres Pro/Pro Enterprise в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, в информационных системах общего пользования II класса.

Источник изображения: macrovector / freepik.com

Сертификаты соответствия действительны до 2029 года.

Ранее редакции Postgres Pro стали первыми среди отечественных СУБД, сертифицированными согласно новым требованиям ФСТЭК России по безопасности информации к системам управления базами данных от 14 апреля 2023 года, утверждённых Минюстом в июле 2023 года.

NVIDIA объявила о расширении программы сертифицирования систем, которая теперь включает две новых платформы: Spectrum-X и IGX. Как сообщается, каждая сертифицированная компанией система проходит тщательное тестирование и проверяется на предмет обеспечения должного уровня производительности, управляемости, безопасности и масштабируемости корпоративного уровня. Наличие сертификации свидетельствует о поддержке NVIDIA AI Enterprise, в том числе микросервисов MVIDIA NIM.

Серверы, получившие сертификат NVIDIA Spectrum-X Ready, смогут выступать в качестве строительных блоков для HPC- и ИИ-кластеров и должны поддерживать современные ускорители NVIDIA. От сертифицированных периферийных систем на базе платформы NVIDIA IGX требуется долгосрочная поддержка, защищённость и проактивная безопасность, возможность удалённого управления и высокая производительность с низкой задержкой отклика.

Источник изображения: NVIDIA

NVIDIA сообщила, что её ведущие партнёры готовы получить новые сертификаты. Такие компании, как ASUS, Dell, GIGABYTE, HPE, Ingrasys, Lenovo, QCT и Supermicro вскоре предложат сертифицированные NVIDIA системы Spectrum-X Ready. А сертифицированные NVIDIA системы IGX скоро будут доступны у ADLINK, Advantech, Aetina, Ahead, Cosmo Intelligent Medical Devices (подразделение Cosmo Pharmaceuticals), Dedicated Computing, Leadtek, Onyx и YUAN.