Материалы по тегу: сертификация

10.10.2023 [14:13], Сергей Карасёв

Российские разработчики ПО не успевают устранять «дыры» в установленные сроки

Разработчики ПО в России регулярно нарушают требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) в плане соблюдения сроков устранения уязвимостей в своих продуктах. Как сообщает газета «Коммерсантъ», связано это в том числе с резким ростом спроса на отечественный софт в сложившейся геополитической обстановке.

Весной 2022 года ФСТЭК отозвала сертификацию у более чем 50 иностранных разработчиков, включая IBM, Microsoft, Oracle и др. Причиной послужила остановка технической поддержки российских заказчиков. Вместе с тем в рамках программы импотозамещения начали стремительно увеличиваться продажи отечественного ПО.

В соответствии с требованиями регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК разработчик в случае поступления информации о «дыре» должен принять меры по её устранению в течение 30–60 дней (в зависимости от степени угрозы). Это может быть выпуск патча, новой версии и пр. Однако всё чаще установленные сроки не соблюдаются.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Участники рынка говорят, что российские разработчики «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Между тем нарушение регламента ФСТЭК может обернуться отзывом сертификата на продукт. Сами разработчики связывают ситуацию с ростом спроса и загруженностью «всех уровней поддержки». Российские компании оказались не готовы к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков.

Ещё одна сложность заключается в том, что многие продукты с сертификатом ФСТЭК основаны на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество». Поэтому устранение «дыр» в таком софте растягивается на месяцы.

Постоянный URL: http://servernews.ru/1094234
09.10.2023 [15:40], Андрей Крупин

Обновлённая платформа BI.ZONE Compliance Platform упрощает подготовку IT-систем к аттестации по требованиям ИБ

Компания BI.ZONE сообщила о выпуске новой версии программного комплекса Compliance Platform, предназначенного для автоматизации выполнения требований законодательства по информационной безопасности (ИБ).

Благодаря новым функциям платформа BI.ZONE Compliance Platform позволяет организациям подготовить информационные системы персональных данных (ИСПДн) и государственные информационные системы (ГИС) к аттестации или переаттестации в соответствии с приказом ФСТЭК России № 77. Продукт формирует полный комплект подтверждающей документации и актуализирует его при любых изменениях IT-инфраструктуры.

 Схема работы BI.ZONE Compliance Platform

Схема работы BI.ZONE Compliance Platform

С помощью BI.ZONE Compliance Platform предприятия могут оценить, насколько применяемые меры безопасности в корпоративных системах соответствуют требованиям законодательства. Программный комплекс анализирует данные об IT-инфраструктуре и на основе полученных сведений создаёт отчёт о соответствии требованиям таких нормативных актов, как приказы ФСТЭК России № 17 и № 21, постановление правительства № 1119, приказы ФСБ России № 378 и № 524. Ознакомиться с ними, а также другими приказами и постановлениями можно прямо на платформе.

Помимо оценки применяемых мер защиты на соответствие требованиям регуляторов, продукт обеспечивает формирование модели угроз — документа с перечнем актуальных угроз безопасности и аналитикой. Это позволяет компаниям проанализировать возможные риски и вероятность их реализации. Модель угроз автоматически обновляется и корректируется при изменении IT-инфраструктуры организации или законодательства.

Постоянный URL: http://servernews.ru/1094196
04.10.2023 [14:11], Андрей Крупин

Платформа корпоративных коммуникаций eXpress прошла сертификацию ФСТЭК России по 4-му уровню доверия

Компания «Анлимитед Продакшен» сообщила о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса eXpress по четвёртому уровню доверия.

Платформа eXpress представляет собой инструмент для коммуникаций в корпоративной среде. Решение поддерживает видеоконференции, обмен сообщениями и файлами, работу с электронной почтой, документами, календарём и различными встроенными сервисами. Программный комплекс поддерживает интеграцию с 70+ сторонними системами, такими как Active Directory, DLP, SIEM, а также содержит средства защиты данных и контроля доступа пользователей к конфиденциальной информации.

 Источник изображения: express.ms

Источник изображения: express.ms

Четвёртый уровень сертификации ФСТЭК России является самым высоким уровнем доверия, предъявляемым к средствам защиты информации в информационных системах, не предназначенных для обработки сведений, составляющих государственную тайну.

Сертификат четвёртого уровня доверия допускает применение коммуникационной платформы eXpress на объектах критической информационной инфраструктуры первой категории, в автоматизированных системах управления технологическими и производственными процессами (АСУ ТП), государственных информационных системах первого класса защищённости и информационных системах персональных данных при обеспечении первого уровня защищённости обрабатываемой информации.

Постоянный URL: http://servernews.ru/1093989
03.10.2023 [09:44], Андрей Крупин

Минобороны России сертифицировало обновлённый комплекс межсетевого экранирования и обнаружения вторжений «Рубикон»

Научно-производственное объединение «Эшелон» сообщило об успешном прохождении сертификационных испытаний на соответствие стандартам Министерства обороны Российской Федерации обновлённого программно-аппаратного комплекса «Рубикон», выполняющего функции межсетевого экранирования и обнаружения компьютерных атак.

Выданным ведомством сертификат подтверждает, что система «Рубикон» соответствует требованиям приказа Министра обороны РФ по 2 уровню контроля отсутствия недекларированных возможностей согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.).

Программно-аппаратный комплекс «Рубикон» может применяться на объектах Вооружённых сил Российской Федерации для защиты автоматизированных систем специального и военного назначения, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, имеющую степень секретности до «совершенно секретно» включительно.

Программная составляющая платформы «Рубикон» включена в реестр отечественного ПО и рекомендована для использования в российских государственных и коммерческих организациях. Также в активе комплекса имеется сертификат ФСТЭК России.

Постоянный URL: http://servernews.ru/1093909
27.09.2023 [13:57], Андрей Крупин

Система резервного копирования «Кибер Бэкап» 16 прошла сертификацию ФСТЭК России

Компания «Киберпротект» сообщила о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса «Кибер Бэкап» 16, предназначенного для резервного копирования IT-систем любой сложности.

Выданный ФСТЭК России сертификат подтверждает, что «Кибер Бэкап» является программным средством резервного копирования и восстановления информации, не содержащим сведений, составляющих государственную тайну, и соответствует требованиям доверия 4 уровня и технических условий.

Сертифицированный программный комплекс «Кибер Бэкап» 16 может использоваться в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории, в государственных информационных системах (ГИС) 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) 1 класса защищённости, в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищённости персональных данных и в информационных системах общего пользования II класса.

«Кибер Бэкап» также включён в реестр отечественного ПО Минцифры России и может применяться для обеспечения государственных и муниципальных нужд, а также в целях импортозамещения.

Постоянный URL: http://servernews.ru/1093645
20.09.2023 [14:28], Андрей Крупин

[Обновлено] ФСТЭК России приостановила действие сертификата соответствия на Dr.Web Enterprise Security Suite

Федеральная служба по техническому и экспортному контролю приостановила действие сертификата соответствия от 27 января 2016 г. № 3509 на программный комплекс Dr.Web Enterprise Security Suite, предназначенный для централизованной защиты узлов корпоративной IT-инфраструктуры. Об этом сообщается на сайте компании-разработчика продукта «Доктор Веб».

Действие сертификата приостановлено 8 сентября 2023 года сроком на 90 календарных дней, говорится в заявлении пресс-службы «Доктор Веб».

 Источник изображения: drweb.ru

Источник изображения: drweb.ru

О причинах принятого ФСТЭК России решения не сообщается. Действие сертификата может быть приостановлено в случае, если в программном обеспечении были обнаружены какие-либо недоработки, уязвимости или незадекларированные возможности, а также если продукт не соответствует требованиям ведомства по безопасности обрабатываемой информации.

В пресс-службе «Доктор Веб» отметили, что техническая поддержка ранее проданных версий Dr.Web Enterprise Security Suite продолжает оказываться производителем, и их использование никак не ограничивается нормативными документами и положениями регулятора. Временно приостановлена только продажа новых лицензий продукта. «Мы работаем над исправлением несоответствий и ожидаем разрешения ситуации в ближайшее время», — добавили в компании.

[Обновлено] Компания «Доктор Веб» сообщила о получении уведомления ФСТЭК России о том, что действие сертификата соответствия от 27 января 2016 г. № 3509 на Dr.Web Enterprise Security Suite возобновлено и действует, как и ранее до 27 января 2024 года. «Мы продолжаем реализацию и техническую поддержку продукта Dr.Web Enterprise Security Suite в полном объёме. Временная приостановка сертификата никак не повлияла на безопасность наших клиентов», — говорится в заявлении разработчика.

Постоянный URL: http://servernews.ru/1093323
05.09.2023 [10:03], Андрей Крупин

Система управления ИБ-событиями KOMRAD Enterprise SIEM 4.3 получила сертификат Минобороны России

Научно-производственное объединение «Эшелон» объявило об успешном прохождении сертификационных испытаний на соответствие стандартам Министерства обороны Российской Федерации программного комплекса KOMRAD Enterprise SIEM версии 4.3.

Созданный отечественным разработчиком продукт относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Выданный Минобороны России сертификат подтверждает выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля, а также по соответствию реальных и декларируемых в документации функциональных возможностей. KOMRAD Enterprise SIEM 4.3 может использоваться в автоматизированных системах военного назначения для обработки информации, содержащей сведения, составляющие государственную тайну и имеющие степень секретности не выше «совершенно секретно».

Система управления ИБ-событиями KOMRAD Enterprise SIEM включена в единый реестр российских программ для электронных вычислительных машин и баз данных. Также в активе программного решения имеется сертификат ФСТЭК России.

Постоянный URL: http://servernews.ru/1092533
22.08.2023 [11:01], Андрей Крупин

Аналитическая платформа Visiology получила сертификат ФСТЭК России по 6 уровню доверия

Компания Visiology сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) аналитической платформы Visiology версии 2.32.

Платформа Visiology предназначена для построения информационно-аналитических систем, соответствующих предъявляемым к современным платформам бизнес-аналитики (Business Intelligence) требованиям. Решение позволяет собирать большие объёмы разнородных данных и обрабатывать их с применением математических методов анализа. Одна из особенностей продукта — поддержка не только настольных и мобильных дисплеев, но и экранов коллективного пользования или видеостен, которые используются в ситуационных центрах, центрах управления и диспетчерских. К преимуществам Visiology относится многомерная In-Memory база данных ViQube для быстрого выполнения запросов, возможность интеграции со стеком технологий Big Data и Data Science, встроенная система сбора данных через веб-формы и мобильные приложения на Android и iOS для самостоятельного исследования данных.

Выданный ведомством сертификат подтверждает соответствие Visiology 2.32 требованиям безопасности информации по 6 уровню доверия. BI-платформа может быть использована для защиты информации, не содержащей сведения, составляющие государственную тайну, в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищённости обрабатываемых данных.

«Процесс сертификации является трудоёмким и требует тщательной подготовки. Поэтому обычно сертификат ФСТЭК России получают не самые новые версии ПО. Однако сегодня мы видим огромный спрос со стороны различных организаций на самые новые функции. Поэтому мы приложили значительные усилия, чтобы актуальный релиз Visiology 2.32 был сертифицирован менее чем через два месяца после его официальной презентации», — отмечают разработчики компании Visiology.

Постоянный URL: http://servernews.ru/1091835
03.08.2023 [13:50], Андрей Крупин

ОС «Альт СП» релиз 10 получила сертификат соответствия требованиям ФСТЭК России к средствам виртуализации и контейнеризации

Компания «Базальт СПО» сообщила об успешном прохождении испытаний операционной системы «Альт СП» релиз 10 на соответствие требованиям Федеральной службы по техническому и экспортному контролю к средствам виртуализации и контейнеризации.

Выданный регулятором документ подтверждает соответствие программной платформы с базовыми средствами виртуализации и контейнеризации «Требованиям по безопасности информации к средствам виртуализации» (Приказ ФСТЭК России от 27 октября 2022 г. №187), а также «Требованиям по безопасности информации к средствам контейнеризации» (Приказ ФСТЭК России от 04 июля 2022 г. №118) по 4 классу защиты.

 Источник изображения: basealt.ru

Источник изображения: basealt.ru

Наличие сертификата допускает применение «Альт СП» с целью развёртывания безопасной виртуальной и микросервисной инфраструктуры в IT-системах, обрабатывающих конфиденциальную информацию — в государственных информационных системах, информационных системах для обработки персональных данных, на объектах критической информационной инфраструктуры, а также в автоматизированных системах управления техническими процессами и информационных системах общего пользования.

ОС «Альт СП» релиз 10 представлена для двух аппаратных архитектур: x86_64 (AMD, Intel) и AArch64 (ARMv8). В обоих случаях предусмотрены варианты поставок «рабочая станция», «сервер» и «рабочая станция + сервер».

Постоянный URL: http://servernews.ru/1090984
02.08.2023 [15:24], Андрей Крупин

Межсетевой экран UserGate C150 и система анализа ИБ-инцидентов Log Analyzer прошли сертификацию в Республике Беларусь

Компания UserGate сообщила о прохождении сертификационных испытаний на соответствие стандартам информационной безопасности Республики Беларусь межсетевого экрана C150 и системы анализа ИБ-инцидентов UserGate Log Analyzer.

Упомянутые продукты решают проблему защиты современной IT-инфраструктуры от разнообразных сетевых угроз, связанных с внешними атаками, вредоносными приложениями, скриптами и другими рисками, а также позволяют применять гранулярные политики к интернет-пользователям в плане контроля как трафика, так и используемых приложений.

 Межсетевой экран UserGate C150

Межсетевой экран UserGate C150

Полученные компанией сертификаты подтверждают соответствие UserGate C150 и Log Analyzer требованиям информационной безопасности, предъявляемым к средствам защиты информации на государственном уровне. Продукт в полной мере отвечает требованиям технического регламента «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) и указанным в нём государственным стандартам Республики Беларусь.

Межсетевой экран UserGate C150 и система анализа ИБ-инцидентов Log Analyzer могут использоваться органами государственной власти Беларуси, предприятиями военно-промышленного комплекса и другими организациями для защиты любой информации ограниченного распространения.

Постоянный URL: http://servernews.ru/1090928
Система Orphus