- Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
- Зачем нужна сертификация фстэк?
- Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
- Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
- Отличия сертифицированных версий от версий общего пользования
- Сертификаты фстэк россии | инфотекс
- Соната-р3.1
- Требования фстэк могут измениться, насколько это может затронуть компанию-пользователя?
- Чем может помочь компания softline?
Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
Есть два варианта дальнейшего развития событий:
- Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
- Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.
Зачем нужна сертификация фстэк?
Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.
Сферы деятельности с обязательной сертификацией средств защиты информации:
- Государственные информационные системы (ГИС).
- Автоматизированные системы управления технологическим процессом (АСУ ТП).
- Персональные данные (ЗПДн).
- Критическая информационная инфраструктура (КИИ).
- Государственная тайна (ЗГТ).
- Конфиденциальная информация (служебная информация).
Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.
Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.
Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.
Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:
- Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
- Они не имеют отношения к средствам защиты информации.
- Они могут работать в замкнутой программной среде.
Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.
В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.
Отличия сертифицированных версий от версий общего пользования
Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.
У сертифицированных версий продуктов есть свои особенности:
- Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
- У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.
Сертификаты фстэк россии | инфотекс
Сертификаты ФСТЭК России
Настоящий сертификат удостоверяет, что программный комплекс «Программный модуль доверенной загрузки ViPNet SafeBoot», разработанный и производимый АО «ИнфоТеКС», является программным средством доверенной загрузки, соответствует требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) — по 2 уровню доверия, «Требования к средствам доверенной загрузки» (ФСТЭК России, 2021), «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты. ИТ.СД3.УБ2.П3» (ФСТЭК России, 2021) при выполнении указаний по эксплуатации, приведенных в формуляре ФРКЕ.00180-02 30 01 ФО.
Соната-р3.1
Средство активной защиты информации “Соната-Р3.1” предназначено для защиты информации от утечки за счет побочных электромагнитных излучений и наводок на линии электропитания и заземления, линии проводной связи и токоведущие проводные коммуникации. “Соната Р3.1” обеспечивает защиту путем излучения в окружающее пространство электромагнитное поля шума, а также инжекции шумовых токов в линии сети электропитания и заземления.
“Соната-Р3.1” является средством активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок типа “А” и “Б”, соответствует требованиям документа “Требования к средствам активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок” (ФСТЭК России, 2021) – по 2 классу защиты, может применяться в выделенных помещениях до 2 категории включительно.
“Соната-Р3.1” может комплектоваться следующими дополнительными опциями:
- дополнительные антенны “Веер” (применяется для повышения уровней электромагнитного поля шума (ЭМПШ) в диапазоне частот 0,01…100 МГц);
- (индивидуальный) пульт управления “Соната-ДУ4.2” с кабелем (Комплекс 2320).
Изделие может быть включено в состав комплекса ТСЗИ. В этом случае управление его работой и контроль режима работы (исправности) будет осуществляться от пульта управления “Соната-ДУ4.1” в комплексе с блоком питания “Соната-ИП4.х” (Комплекс 3095, Комплекс 3109). В отсутствие пульта управления или подключения к комплексу ТСЗИ, включение/отключение САЗ «Соната-Р3.1» осуществляется путем включения (отключения) сетевой вилки в (от) розетку сети 220 В.
Основные особенности “Соната-Р3.1”:
- комбинированный характер защиты (электромагнитное излучение шумовое напряжения в линии электропитания и заземления);
- наличие регулятора интегрального уровня формируемых электромагнитного поля шума и шумовых напряжений;
- возможность, в случае необходимости, дополнительного повышения уровня излучаемого электромагнитного поля шума в диапазоне частот 0.01…100 МГц за счет применения опционально поставляемой дополнительной антенны;
- встроенная система контроля интегрального уровня излучения со световой индикацией и звуковой сигнализацией;
- возможность удаленного управления изделием как в случае автономного использования (непосредственно Пультом-ДУ4.2), так и в случае использования в составе комплекса ТСЗИ;
- наличие счетчика наработки в режиме «Излучение».
При работе с проводным пультом управления Соната-ДУ4.2 контроль состояния и режима работы устройства может осуществляться как напрямую (световая индикация на передней панели устройств), так и с помощью светозвуковой индикации пульта Соната-ДУ4.2. При работе в составе комплекса ТСЗИ, включающего в себя блок питания и управления Соната-ИП4.2, контроль состояния и режима работы так же может осуществляться по сети Ethernet при помощи СПО “Инспектор”.
Сертификат ФСТЭК России № 3539 от 24.032021 г., действует до 24.03.2021 г.
Требования фстэк могут измениться, насколько это может затронуть компанию-пользователя?
Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.
Чем может помочь компания softline?
- В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
- У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.
Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков
