Сертификация ФСТЭК для Windows Embedded (Windows 10 IoT, Windows Server) – Quarta Embedded

Сообщаем, что в феврале 2021 года были продлены сроки действия сертификатов соответствия ФСТЭК России для следующих продуктов Лаборатории Касперского:

• Kaspersky Industrial CyberSecurity for Nodes (версия 2.6.0.785), № 3907 — до 3 апреля 2026 года

• Kaspersky Security 10.1.2 для Windows Server (версия 10.1.2.996), № 3840 — до 25 декабря 2025 года

Внимание! Лицам, ответственным за эксплуатацию программных изделий данных версий, необходимо либо самостоятельно внести изменения в формуляр в соответствии с инструкциями эксплуатационного бюллетеня, либо скачать и распечатать обновленный формуляр (в этом случае старый формуляр следует пометить как замененный). Бюллетени и обновленные формуляры доступны для скачивания на веб-портале технической поддержки либо предоставляются по запросу.

Дополнительно информируем о переоформлении сертификатов соответствия ФСТЭК России для ряда продуктов:

• № 2840 — Kaspersky Security 8.0 для Linux Mail Server

• № 3155 — Kaspersky Security Center 11

• № 3676 — Kaspersky Security 9.0 для Microsoft Exchange Servers

• № 3754 — Kaspersky Endpoint Security 10 для Android

• № 3840 — Kaspersky Security 10.1.2 для Windows Server

• № 3854 — Kaspersky Anti Targeted Attack Platform

• № 3883 — Kaspersky Security для виртуальных сред 5.1 Легкий агент

• № 4068 — Kaspersky Endpoint Security для Windows (версия 11.3.0.773)

• № 4289 — Kaspersky Sandbox

Данное переоформление выполнено с целью отразить соответствие указанных продуктов требованиям новой редакции документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020). Другие изменения в сертификаты не вносились, эксплуатация продуктов осуществляется на прежних условиях.

Дистрибутивы продуктов, сертифицированных ФСТЭК России, доступны для скачивания в соответствующих статьях раздела Сертификаты веб-портала технической поддержки либо предоставляются по запросу.

Как известно — использование сертифицированных версий программного обеспечения прописано в самых разных документах регуляторов. И (к сожалению) эта данность, с которой всем жить. В данной статье не будет перечисления положений документов, согласно которым необходимо использовать сертифицированные (или иначе «прошедшие процедуру проверки соответствия») продукты или размеров штрафов за неиспользование. Вместо этого будут рассмотрены типичные проблемы, с которыми клиенты, вынужденные использовать сертифицированное ПО, обращаются в техническую поддержку.

Если кто-то недавно был вынужден перейти на сертифицированные версии и еще не прошел по всем граблям — просим под кат.

В качестве вступления. Подборка типичных проблем была сформирована в ходе подготовки к одной из конференций на основе обращений в нашу техподдержку. Поэтому сразу предупреждаю, что хотя процедура сертификации одинакова для всех участников рынка, в примерах будет указано, для какой компании они действуют. А нюансы имеют место быть. Скажем у Доктор Веб дистрибутивы для сертифицированных по требованиям ФСТЭК/ФСБ продуктов разные (так как по тем же требованиям должны различаться зоны обновлений), а у Лаборатории Касперского — единый дистрибутив, видимо зоны обновлений разделяются иными способами.

Вступление закончено, перейдем к проблемам.

Проблема №1. А вы работаете на… (название конкретной ОС или продукта)

Тут сразу несколько проблем. Разберем на примерах.

Начнем с того, что данная подборка ответов делалась в преддверии конференции «Практика реализации программы <Цифровая экономика> на базе решений Astra Linux», поэтому тут вместо троеточия должно было быть Astra Linux Speсial Edition «Смоленск» версией 1.6. И сертифицированная версия (и естественно несертифицированная тоже) работают на данной версии. Но вот пользователи использовать ее не имеют права. Дело в том, что правила сертификации требуют, чтобы подаваемые на сертификацию продукты были протестированы на поддержку определенных ОС. И в формуляре, прилагающемся к сертифицированному дистрибутиву, перечисляются все эти операционные системы. И если в формуляре не указана Astra Linux версии 1.6 — использовать ее нельзя, хотя продукт (системные требования которого «glibc 2.12 и выше») вполне работает на этой версии.

Поддержка операционных систем, соответствующих описанным требованиям, по мере их выхода включается в список поддерживаемых в формуляре, но просто так сделать это производитель не может. Нужно пройти процедуру инспекционного контроля. А она не быстрая — ну никак не менее четырех месяцев.

Нам задают вопрос — а нельзя заранее синхронизировать выпуск новых ОС и прохождение ИК? Увы, но не получится. Так как кроме упомянутой Astra Linux от нас требуется поддержка AltLinux, Windows и так далее. А их даты релиза, увы, приходятся на разное время.

Соответственно рекомендация — заранее проверьте, что выбранную вами ОС поддерживают все необходимые вам сертифицированные продукты.

Все это неудобно и пользователям и производителям (поддержки -то требуют пользователи от них), но, увы, такова действующая процедура.

А иногда бывает так, что на вопрос пользователя мы отвечаем, что сертифицированная версия такую-то ОС или продукт не поддерживает. И тут зачастую тоже проблема в действующей процедуре. Так всем известно, что количество дистрибутивов того же Linux — громадно, при этом использование сертифицированного дистрибутива Linux не всегда обязательно. И пользователь может легко прийти с запросом на поддержку с редким дистрибутивом. А с производителя за включение каждой версии ОС или продукта требуют деньги. И немалые. В сумме сравнимые с доходом от продаж сертифицированных версий. Поэтому при подготовке к сертификации в список поддерживаемых включаются только очень востребованные ОС. Хотя работать будет сертифицированная версия на гораздо большем числе продуктов.

Немного отличается ситуация с сертификацией под требования Министерства Обороны. Здесь список ОС и продуктов, которые нужно поддержать, спускается из МО. Поэтому в ответ на просьбу пользователя о поддержке некой ОС — ему вполне могут ответить, что данная ОС не включена в список требуемых МО.

А совершенно обратная ситуация с тем же Windows 10. Билды этой ОС по факту — совершенно разные ОС. И хотя формально в формуляре стоит Windows 10 — поддержка нового билда будет только после очередного ИК. Да, минимум через месяца четыре, а то и позже.

Многие уверены, что сертифицированные версии выгодны производителям. Может кому и выгодны, но на уровне защитного ПО это редкостный геморрой и для производителя и для пользователей. Причем геморрой очень и очень дорогой.

Проблема №2. «Я обновился!»

Как известно, согласно текущей процедуре производитель должен в случае обнаружения уязвимостей обновлять свое ПО. Засада есть и тут. Обновление возможно только через процедуру ИК. Ага. Месяца четыре и платите деньги. А если не выпустите сертифицированное обновление — ваш продукт нельзя использовать.

Ну ладно, то плач Ярославны от вендора. Выпустили мы обновление, пользователь должен его поставить. Думаете все просто?

Свободно для скачивания сертифицированные дистрибутивы размещать нельзя. Нужно или купить медиа-пакет или обратиться в техническую поддержку — а потом все равно купить медиапакет. Разберемся, почему так.

Как уже было сказано, если сертифицированный дистрибутив нужен срочно и ждать поставки медиапакета невозможно, то клиент может обратиться в службу поддержки и запросить ссылки для скачивания сертифицированных версий и формуляра. Которые ему и будут предоставлены. К запросу надо приложить документы об оплате ранее купленного сертифицированного медиа-пакета. Зачем документы? Чтобы вендор убедился, что ссылки запрашивает именно клиент, а не абы кто.

Кроме ссылок на дистрибутивы техническая поддержка пришлет ссылки на формуляр и рекомендацию примерно следующего типа.

Формуляр следует распечатать, в разделе «Особые отметки» следует сделать пометки о замене формуляра RU.72110450.00300-10 30 02 с голографической наклейкой (знаком соответствия системы сертификации) на обновленный формуляр RU.72110450.00300-10 30 02 изм.4.

На замененном формуляре RU.72110450.00300-10 30 02 можно добавить — «Формуляр аннулирован. Знак соответствия системы сертификации (голографическая наклейка) действителен. Замененный формуляр следует хранить вместе с обновленным для сохранения знака соответствия системы сертификации.

Сделать это надо обязательно!

После этого нужно купить упомянутый медиа-пакет, так как сертифицированное ПО это не просто полученный вами дистрибутив. Сертифицированным считается ПО:

• прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации;
• сертифицируемое на соответствие требованиям с параметрами, указанными в этих требованиях. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России и ФСБ России;
• дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• установленное и настроенное в соответствие с сертифицированными параметрами;
• контролируемое в процессе эксплуатации;
• каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.

Что в медиа-пакет входит? Опять же в качестве примера медиапакет для сертифицированных ФСТЭК России версий Dr.Web 11:

Да, голографическая наклейка, которую раньше полагалось клеить на CD — до сих пор жива.

А вот ключ/серийный номер при обновлении покупать не нужно. Ключ (за всех вендоров не скажу, а у Доктор Веб так) одинаков и для сертифицированных и для несертифицированных версий. Таким образом, если вы переходите с обычных версий на сертифицированные — ключ менять не нужно.

Сколько нужно медиапакетов?

Переустанавливать уже установленное ПО после получения медиапакета с DVD не нужно.

Проблема № 3. Хочу потестировать!

Как было сказано выше — в свободном доступе дистрибутивов сертифицированных версий быть не может. Ключ может (как было сказано выше) использоваться от несертифицированной версии, а вот сами дистрибутивы нужно запросить. Опять за всех не скажу, но у Доктор Веб указать, что требуется именно сертифицированная версия можно при заказе демо-ключа. Если есть ключ, то дистрибутивы можно запросить или у компании, через которую вы осуществляете закупки или через техподдержку вендора.

При заказе нужно указать тип сертификации. Наиболее распространены МО, ФСТЭК, ФСБ.

Проблема № 4. Как получить обновления для замкнутой сети?

Не нужно использовать дополнительный сервер, ставить его снаружи сети и переносить обновления внутрь! Распространенная кстати ошибка. Как правило у вендоров есть возможность скачать обновления с помощью специальной утилиты. Опять же у Доктор Веб таковая есть и в составе ES и можно отдельно запросить эту утилиту (drwreploader) у техподдержки.

Зачем нужна утилита? При копировании вручную могут накопиться лишние файлы, которые надо удалять.

Проблема № 5. О подписи.

Это специфичная проблема AstraLinux. Дело в том, что в определенных режимах ее работы проверяется наличие у пакетов цифровой подписи «НПО РусБИТех».

Не нужно подписывать сертифицированные пакеты еще раз! Они уже подписаны, если в формуляре указана поддержка AstraLinux. После подписи контрольные суммы изменяются и уже не будут соответствовать указанным в формуляре.

Если есть вопросы спрашивайте, постараюсь ответить.

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2021 года).

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», – говорится в сообщении ФСТЭК.

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2021 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2021 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях “Профессиональная”, “Корпоративная” и “Максимальная” и от 13 октября 2021 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.

Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», – сообщила ФСТЭК.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.