Как известно — использование сертифицированных версий программного обеспечения прописано в самых разных документах регуляторов. И (к сожалению) эта данность, с которой всем жить. В данной статье не будет перечисления положений документов, согласно которым необходимо использовать сертифицированные (или иначе «прошедшие процедуру проверки соответствия») продукты или размеров штрафов за неиспользование. Вместо этого будут рассмотрены типичные проблемы, с которыми клиенты, вынужденные использовать сертифицированное ПО, обращаются в техническую поддержку. Если кто-то недавно был вынужден перейти на сертифицированные версии и еще не прошел по всем граблям — просим под кат. В качестве вступления. Подборка типичных проблем была сформирована в ходе подготовки к одной из конференций на основе обращений в нашу техподдержку. Поэтому сразу предупреждаю, что хотя процедура сертификации одинакова для всех участников рынка, в примерах будет указано, для какой компании они действуют. А нюансы имеют место быть. Скажем у Доктор Веб дистрибутивы для сертифицированных по требованиям ФСТЭК/ФСБ продуктов разные (так как по тем же требованиям должны различаться зоны обновлений), а у Лаборатории Касперского — единый дистрибутив, видимо зоны обновлений разделяются иными способами. Вступление закончено, перейдем к проблемам. Проблема №1. А вы работаете на… (название конкретной ОС или продукта) Тут сразу несколько проблем. Разберем на примерах. Начнем с того, что данная подборка ответов делалась в преддверии конференции «Практика реализации программы <Цифровая экономика> на базе решений Astra Linux», поэтому тут вместо троеточия должно было быть Astra Linux Speсial Edition «Смоленск» версией 1.6. И сертифицированная версия (и естественно несертифицированная тоже) работают на данной версии. Но вот пользователи использовать ее не имеют права. Дело в том, что правила сертификации требуют, чтобы подаваемые на сертификацию продукты были протестированы на поддержку определенных ОС. И в формуляре, прилагающемся к сертифицированному дистрибутиву, перечисляются все эти операционные системы. И если в формуляре не указана Astra Linux версии 1.6 — использовать ее нельзя, хотя продукт (системные требования которого «glibc 2.12 и выше») вполне работает на этой версии. Поддержка операционных систем, соответствующих описанным требованиям, по мере их выхода включается в список поддерживаемых в формуляре, но просто так сделать это производитель не может. Нужно пройти процедуру инспекционного контроля. А она не быстрая — ну никак не менее четырех месяцев. Нам задают вопрос — а нельзя заранее синхронизировать выпуск новых ОС и прохождение ИК? Увы, но не получится. Так как кроме упомянутой Astra Linux от нас требуется поддержка AltLinux, Windows и так далее. А их даты релиза, увы, приходятся на разное время. Соответственно рекомендация — заранее проверьте, что выбранную вами ОС поддерживают все необходимые вам сертифицированные продукты. Все это неудобно и пользователям и производителям (поддержки -то требуют пользователи от них), но, увы, такова действующая процедура. А иногда бывает так, что на вопрос пользователя мы отвечаем, что сертифицированная версия такую-то ОС или продукт не поддерживает. И тут зачастую тоже проблема в действующей процедуре. Так всем известно, что количество дистрибутивов того же Linux — громадно, при этом использование сертифицированного дистрибутива Linux не всегда обязательно. И пользователь может легко прийти с запросом на поддержку с редким дистрибутивом. А с производителя за включение каждой версии ОС или продукта требуют деньги. И немалые. В сумме сравнимые с доходом от продаж сертифицированных версий. Поэтому при подготовке к сертификации в список поддерживаемых включаются только очень востребованные ОС. Хотя работать будет сертифицированная версия на гораздо большем числе продуктов. Немного отличается ситуация с сертификацией под требования Министерства Обороны. Здесь список ОС и продуктов, которые нужно поддержать, спускается из МО. Поэтому в ответ на просьбу пользователя о поддержке некой ОС — ему вполне могут ответить, что данная ОС не включена в список требуемых МО. А совершенно обратная ситуация с тем же Windows 10. Билды этой ОС по факту — совершенно разные ОС. И хотя формально в формуляре стоит Windows 10 — поддержка нового билда будет только после очередного ИК. Да, минимум через месяца четыре, а то и позже. Многие уверены, что сертифицированные версии выгодны производителям. Может кому и выгодны, но на уровне защитного ПО это редкостный геморрой и для производителя и для пользователей. Причем геморрой очень и очень дорогой.Проблема №2. «Я обновился!» Как известно, согласно текущей процедуре производитель должен в случае обнаружения уязвимостей обновлять свое ПО. Засада есть и тут. Обновление возможно только через процедуру ИК. Ага. Месяца четыре и платите деньги. А если не выпустите сертифицированное обновление — ваш продукт нельзя использовать. Ну ладно, то плач Ярославны от вендора. Выпустили мы обновление, пользователь должен его поставить. Думаете все просто? Свободно для скачивания сертифицированные дистрибутивы размещать нельзя. Нужно или купить медиа-пакет или обратиться в техническую поддержку — а потом все равно купить медиапакет. Разберемся, почему так. Как уже было сказано, если сертифицированный дистрибутив нужен срочно и ждать поставки медиапакета невозможно, то клиент может обратиться в службу поддержки и запросить ссылки для скачивания сертифицированных версий и формуляра. Которые ему и будут предоставлены. К запросу надо приложить документы об оплате ранее купленного сертифицированного медиа-пакета. Зачем документы? Чтобы вендор убедился, что ссылки запрашивает именно клиент, а не абы кто. Кроме ссылок на дистрибутивы техническая поддержка пришлет ссылки на формуляр и рекомендацию примерно следующего типа. Сделать это надо обязательно! После этого нужно купить упомянутый медиа-пакет, так как сертифицированное ПО это не просто полученный вами дистрибутив. Сертифицированным считается ПО:
- прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации;
- сертифицируемое на соответствие требованиям с параметрами, указанными в этих требованиях. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России и ФСБ России;
- дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
- установленное и настроенное в соответствие с сертифицированными параметрами;
- контролируемое в процессе эксплуатации;
- каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.
Что в медиа-пакет входит? Опять же в качестве примера медиапакет для сертифицированных ФСТЭК России версий Dr.Web 11:
- Фирменная коробка (как средство распространения);
- Лицензионный сертификат;
- 3 DVD-диска в фирменных конвертах с сертифицироваными дистрибутивами Dr.Web и документацией;
- Формуляр с голографической наклейкой, в котором содержатся;
- эталонные значения контрольных сумм сертифицированных продуктов.
Да, голографическая наклейка, которую раньше полагалось клеить на CD — до сих пор жива. А вот ключ/серийный номер при обновлении покупать не нужно. Ключ (за всех вендоров не скажу, а у Доктор Веб так) одинаков и для сертифицированных и для несертифицированных версий. Таким образом, если вы переходите с обычных версий на сертифицированные — ключ менять не нужно. Сколько нужно медиапакетов?
- 1 юридическое лицо = 1 медиакомплект;
- Если у клиента несколько удаленных филиалов, нужно столько медиакомплектов, сколько филиалов. При проверке со стороны регулятора удобнее иметь сертифицированный медиапакет на месте.
Переустанавливать уже установленное ПО после получения медиапакета с DVD не нужно.Проблема № 3. Хочу потестировать! Как было сказано выше — в свободном доступе дистрибутивов сертифицированных версий быть не может. Ключ может (как было сказано выше) использоваться от несертифицированной версии, а вот сами дистрибутивы нужно запросить. Опять за всех не скажу, но у Доктор Веб указать, что требуется именно сертифицированная версия можно при заказе демо-ключа. Если есть ключ, то дистрибутивы можно запросить или у компании, через которую вы осуществляете закупки или через техподдержку вендора. При заказе нужно указать тип сертификации. Наиболее распространены МО, ФСТЭК, ФСБ. Проблема № 4. Как получить обновления для замкнутой сети? Не нужно использовать дополнительный сервер, ставить его снаружи сети и переносить обновления внутрь! Распространенная кстати ошибка. Как правило у вендоров есть возможность скачать обновления с помощью специальной утилиты. Опять же у Доктор Веб таковая есть и в составе ES и можно отдельно запросить эту утилиту (drwreploader) у техподдержки. Зачем нужна утилита? При копировании вручную могут накопиться лишние файлы, которые надо удалять.Проблема № 5. О подписи. Это специфичная проблема AstraLinux. Дело в том, что в определенных режимах ее работы проверяется наличие у пакетов цифровой подписи «НПО РусБИТех». Не нужно подписывать сертифицированные пакеты еще раз! Они уже подписаны, если в формуляре указана поддержка AstraLinux. После подписи контрольные суммы изменяются и уже не будут соответствовать указанным в формуляре. Если есть вопросы спрашивайте, постараюсь ответить.
Многих пользователей продукции Microsoft волнует вопрос, получила ли система Windows 10 сертификат ФСТЭК. Его получение анонсировали еще в 2015 году, когда представитель Microsoft в России П. Бетсис сообщил о начале сертификации Windows 10 на соответствие требованиям обработки информации со стороны ФСБ, а также о планах сертифицировать “десятку” в ФСТЭК.
Однако что-то пошло не так. Сертификата ФСТЭК у Windows 10 еще нет, и официальные представители осторожны в прогнозах. Пользователи предположили, что сложности с сертификацией связаны с алгоритмами обновления: после выхода этой операционной системы обновление попало в список рекомендуемых, у пользователей, которые разрешили автоматически устанавливать рекомендуемые обновления, ОС предыдущих версий сменились на Windows 10.
Ряд специалистов высказали мнение, что Windows 10 не пройдет сертификацию ФСТЭК, пока не приведет в соответствие с требованиями российского законодательства принципы сбора, передачи и хранения данных о пользователях и их действиях в системе. В том виде, в каком сейчас представлена операционная система, ее нельзя использовать в организациях, ответственно относящихся к защите информации и имеющих или планирующих оформлять лицензию ФСТЭК на ТЗКИ и СЗКИ. Учитывая, что контролирующие органы в последние годы уделяют большое внимание работе с информацией и персональными данными на территории РФ, в нынешнем виде ОС сертификация Windows 10 в ФСТЭК и ФСБ может затянуться.
Задайте вопрос Быстрый доступ
-
Вопрос
- Подскажите- планируется ли получение сертификатов ФСТЕК и ФСБ на семейство ОС Windows10 и если эта работа ведется когда ожидаются результаты?10 января 2018 г. 14:33 Ответить | Цитировать
Ответы
- На сайте clsz.fsb.ru нашлась информация — сертификаты СФ/112-3039 и СФ/112-3040 на W10
- Изменено11 января 2018 г. 6:55
- Помечено в качестве ответа11 января 2018 г. 7:17
11 января 2018 г. 6:55 Ответить | Цитировать
Все ответы
-
Подскажите- планируется ли получение сертификатов ФСТЕК и ФСБ на семейство ОС Windows10 и если эта работа ведется когда ожидаются результаты?
Для получения оперативного ответа (или не_ответа) на эту тему позвоните в Инфоцентр Microsoft +7 495 916-7171.10 января 2018 г. 15:23 Ответить | Цитировать
-
тогда уж лучше звонить во ФСТЕК.
для справки: дата выхода Windows 8.1: Окт.2013 — дата выдачи сертификата: Ноя.2014 дата выхода Server 2012 R2: Окт.2013 — дата выдачи сертификата: Март 2015
если и будет сертификат ФСТЕК (его же могут и не дать) для Windows 10, то, я думаю, в этом году и скорее всего только для версии 1507.
10 января 2018 г. 16:07 Ответить | Цитировать
- На сайте clsz.fsb.ru нашлась информация — сертификаты СФ/112-3039 и СФ/112-3040 на W10
- Изменено11 января 2018 г. 6:55
- Помечено в качестве ответа11 января 2018 г. 7:17
11 января 2018 г. 6:55 Ответить | Цитировать
-
На сайте clsz.fsb.ru нашлась информация — сертификаты СФ/112-3039 и СФ/112-3040 на W10
только учтите, что это не голая Windows 10 из магазина, а какая-то специальная со встроенным не MS функционалом:
Операционная система Microsoft Windows 10 Pro 32/64 bit со встроенными и дополнительно интегрируемыми механизмами обеспечения безопасности, реализуемыми средством защиты информации «Secure Pack Rus версия 3.0 (исполнения 5, 6)»
да и произведённая не MS: 11 января 2018 г. 7:24 Ответить | Цитировать
- Насколько понимаю, на основании вот этого: www.microsoft.com/ru-ru/securitycertification/products.aspx — эти продукты все такие.. Или я ошибаюсь?11 января 2018 г. 7:37 Ответить | Цитировать
-
нажмите там «какие продукты Microsoft сертифицированы другими уполномоченными органами». Там будет ФСБ, но не будет Windows 10.
Однако, там есть Exchange 2010, который по документам ФСБ тоже идёт с «Secure Pack Rus» версия 3.0» версия 1.0 (исполнения 1, 2), что не указано на сайте MS. Вам лучше позвонить в ФСБ и уточнить на счёт этого Secure Pack Rus.
11 января 2018 г. 7:51 Ответить | Цитировать
-
По опыту, лучше сделать так. Существуют организации, которые продают сертифицированные версии Windows. Вам дают носитель с сертифицированной ОС и сертификатом, что именно вот этот образ является сертифицированным.
После этого, по идее, обновлять ОС можно только со специализированного WSUS сервера ФСТЭК, как это делается — практики не было. Если будете ставить обновления с серверов Microsoft — у вас ОС перестает иметь сертификацию.
Все это относится к тем рабочим местам, к которым предъявляются эти требования от государственных структур.
11 января 2018 г. 8:39 Ответить | Цитировать
Используемые источники:
- https://habr.com/post/457534/
- https://srodopuski.com/poluchit-li-windows-10-sertifikat-fstek.html
- https://social.technet.microsoft.com/forums/ru-ru/7846751e-9051-499a-a7fb-7874bb47f677/105710771088109010801092108010821072109410801103