+7 (3852) 501-661, 501-662

info@galex.ru


Выбрать новости и
публикации по теме
Выбрать новости ИТ-отрасли по брендам

Новости ИТ-отрасли / Новости компании / Лента Ит-Форума

Поделиться:   
13.07.2017

МойОфис Сертифицированный


Комплекс средств защиты (КСЗ), предназначенный для защиты продуктов «МойОфис Профессиональный», «Частное облако», «Почта» и «Хранилище» успешно прошел сертификацию на соответствие требованиям к безопасности информации Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России). Сертификат выдан на серийное производство, что позволяет нам выпускать неограниченное количество сертифицированных решений в период действия сертификата.

Blog.png

Сертификация на соответствие требованиям к безопасности информации не является обязательной для офисного программного обеспечения. Однако наша компания считает необходимым подтверждать соответствие требованиям регуляторов. Линейка продуктов «МойОфис» уже имеет два других сертификата соответствия – на производство «МойОфис Стандартный» и на партию КСЗ из ста экземпляров.

Полученные сертификаты соответствия подтверждают, что наше ПО является защищенным программным средством обработки информации, не содержит программных закладок (бэкдоров) и может применяться в системах, обрабатывающих конфиденциальную информацию. Это дает нашим заказчикам дополнительную уверенность в надежности продуктов «МойОфис», а значит, и в собственной безопасности. В наших планах – сертифицировать и другие продукты «МойОфис». Так, в первом квартале 2018 года мы ожидаем сертификацию продукта «МойОфис Частное облако» в защищенном исполнении.

Сертификация – сложный и длительный процесс, о деталях которого мы расскажем подробнее: о правилах получения сертификатов, о том, кто осуществляет сертификацию и зачем это нужно читайте в этой статье.

Зачем нужна сертификация


Использование сертифицированных продуктов позволяет максимально эффективно решать задачи по построению защищенных информационных систем, снижать стоимость проектов и сокращать время их реализации.

Государственные органы и структуры, являющиеся операторами персональных данных и государственных информационных систем, должны выполнять требования ФСТЭК России по защите информационных систем только с использованием сертифицированных средств защиты. Это значит, что в дополнение к прикладному ПО им нужно использовать дополнительные средства защиты, имеющие необходимые сертификаты соответствия. При этом недостаточно просто приобрести и установить наложенные средства защиты, необходимо также обеспечить их совместимость с операционными системами и прикладным ПО. Для этого потребуется разработать проект по построению системы защиты и провести полномасштабные испытания всей системы в целом. Аналогичные требования предъявляются и к коммерческом организациям, попадающим под требования ФСТЭК и ФСБ по защите информации, например, к операторам сотовых сетей, банкам и т.д.

Проводя сертификацию наших продуктов,  мы предлагаем готовые решения, которые являются прикладным ПО и содержат дополнительную защиту, так как обладают встроенными сертифицированными функциями по обеспечению безопасности. Тем самым, позволяя упросить построение и согласование модели защиты конечной системы. Наличие встроенных функций безопасности также дает возможность сократить затраты на приобретение дополнительного ПО для защиты данных и его интеграции с существующими решениями.

Кроме нормативного аспекта сертификация продуктов несет в себе и другие преимущества. Сертификат соответствия обязывает вендора следить за актуальностью своего продукта, своевременно устранять уязвимости и обеспечивать его техническую поддержку.

Сертифицированные средства защиты информации – серьезный аргумент в пользу использования отечественных решений. Зарубежные разработчики не могут получить лицензии ФСТЭК, ФСБ и Минобороны России и, соответственно, напрямую подать заявку на сертификацию своих решений. Зачастую данные работы от их лица осуществляют российские компании, которые выступают заявителями при сертификации. В этом случае существует риск, что партнерство может прерваться в любой момент, и конечные пользователи ПО останутся без привычных технической поддержки, устранения уязвимостей и обновления приобретенных продуктов.

Регуляторы, испытательные лаборатории и контролирующие органы


Сертификацией средств защиты информации на федеральном уровне занимаются несколько регуляторов — Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности  (ФСБ России), Министерство обороны Российской Федерации (Минобороны России) и Служба внешней разведки (СВР России). У каждого ведомства своя область применения сертифицированных продуктов, но широкому рынку интересны преимущественно системы сертификации ФСТЭК и ФСБ России, при этом ФСБ России занимается только криптографическими средствами защиты. Сами ведомства не проводят испытаний продуктов, роль регулятора – в контроле деятельности аттестованных испытательных лабораторий и органов по сертификации.

Непосредственно изучение и тестирование продукта осуществляет аккредитованная регулятором испытательная лаборатория, которую может выбрать заявитель (та компания, которая подает заявку на сертификацию).

Контроль и проверку результатов испытаний лаборатории осуществляют специальные органы по сертификации – уполномоченные регуляторами частные организации. Заявитель не может выбирать орган по сертификации на свое усмотрение, он назначается регулятором, что обеспечивает беспристрастность и надежность проверок.

Сертификация начинается с подачи заявки регулятору (в нашем случае – ФСТЭК России), в которой подробно описываются продукт, его функции, схемы работы и архитектуры, прикладываются документация и технические условия. Если речь идет о сертификации серийного производства, а не отдельных копий продукта, компания-заявитель должна обладать лицензиями на разработку и производство средств защиты информации.

Ранее мы уже получили лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации, лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации и лицензию ФСБ России на право проведения работ, связанных с шифровальными (криптографическими) средствами.

Итак, мы выбрали лабораторию и подали заявку на прохождение сертификации во ФСТЭК России. Существует достаточно большой рынок испытательных центров со своими лидерами и нишевыми игроками, всего в реестре ФСТЭК России значится 29 лабораторий и 7 органов по сертификации. От выбора испытательной лаборатории зависит очень многое: стоимость проведения работ по сертификации, сроки выполнения проверок, качество результатов и скорость согласования всех материалов.

Если заявка оформлена правильно, регулятор в течение месяца выписывает решение о начале работ, в котором определяются точные требования по безопасности, на соответствие которым будет проверяться продукт. Также, назначаются испытательная лаборатория и контролирующий орган. После этого начинаются сами испытания, которые занимают в среднем от 4 до 6 месяцев.

В ходе испытаний проводится полное и всестороннее исследование изделия, включая контроль отсутствия уязвимостей, а также проверку полноты и корректности документации.

В финале испытаний готовые материалы передаются в орган по сертификации для проведения независимой экспертизы. В среднем проверка органом выполняется в течение 1 месяца. Если заключение положительное, то регулятор проводит дополнительную экспертизу результатов испытаний и принимает решение о выдаче сертификата соответствия.

Подготовка к сертификации


Процесс сертификации продуктов зачастую может быть интегрирован в процесс разработки самого продукта. Например, для реализации функций защиты мы сформировали отдельный набор требований, который передается в разработку еще до начала работы над версией продукта. Дополнительно, мы учли вопросы обеспечения защиты информации при проектировании архитектуры решений. «Бумажная» работа также начинается на ранних этапах: служба безопасности готовит материалы для оформления заявки и проведения испытаний параллельно с разработкой продукта, чтобы в момент релиза все необходимые процессы уже были запущены. Это позволяет значительно сократить общий срок проведения испытаний.

17 и 21 приказами ФСТЭК России установлены различные уровни и классы систем, для защиты которых предусматривается использование более 150 различных мер.

Выбор мер защиты информации для их реализации в конечной системе зависит от модели угроз и уровня потенциального нарушителя. Каждая мера относится к определенному виду защиты, и производитель выбирает те меры, которые должны быть обеспечены в его системе. Например, в сертифицированном комплексе средств защиты «МойОфис» реализовано свыше 30 мер защиты из перечня ФСТЭК России, в том числе по идентификации и аутентифкации, управлении доступом, регистрации событий и контролю целостности. А в будущих версиях продукта мы планируем наращивать защитный функционал.

Получение одного сертификата для наших продуктов в среднем занимает от 6 до 8 месяцев. Как показывает практика участников рынка, это хорошие временные показатели: зачастую процедура может занимать больше года. Чтобы избежать задержек в проведении испытаний и качественно подготовить продукт к сертификации еще до начала испытаний, наши специалисты тщательно тестируют продукты по типовым методикам испытательных лабораторий.

После сертификации


Важно понимать, что сертификат выдается на определенную версию продукта, которая прошла сертификационные испытания, и действителен только в отношении ее. Сертификат выдается на три года, и, как показывает практика, многие производители ПО стараются выжать из него максимум: годами продают одну и ту же версию, пока не истечет срок действия сертификата. В итоге заказчики вынуждены работать на устаревшей и неактуальной платформе, что негативно сказывается на их пользовательском опыте и эффективности работы.

Поскольку многие продукты активно развиваются, их производитель может регулярно подтверждать корректность внесенных изменений прохождением инспекционного контроля. В отличие от сертификации, этот процесс проходит гораздо быстрее и редко занимает более 2 месяцев. В ходе контроля проводятся сокращенные испытания по внесенным изменениям, проверяются сохранение уровня защищенности и отсутствие уязвимостей в продукте.

Этого пути придерживаемся и мы — каждый выпуск новой версии продуктов «МойОфис» сопровождается подтверждением сохранения заявленного уровня защищенности.

Итак, подведем итоги. Получение сертификата является сложным и затратным процессом для вендора, однако для потребителя это очень востребованный и значимый критерий при соблюдении безопасности проектируемых систем. Наша компания уже не единожды прошла эту нелегкую процедуру. Сертифицированные продукты «МойОфис» можно приобрести у наших партнеров. В настоящий момент мы готовим к выходу новые решения «МойОфис» со встроенными средствами защиты и обязательно расскажем, когда они пройдут сертификацию. Следите за новостями и оставляйте комментарии, мы будем рады вашим вопросам.

Источник: blog.myoffice.ru

Возврат к списку


АДРЕСА ОФИСОВ

656056, г. Барнаул, пл. Баварина, 2, БЦ «Парус»
Тел./факс: +7 (3852) 501-661, 501-662
656015, г. Барнаул, ул. Деповская, 7
Тел.: +7 (3852) 501-681
659315, г. Бийск, ул. Васильева, 85
Тел.: +7 (3854) 555-906
630054, г. Новосибирск, ул. Плахотного, 27/1
БЦ «Альянс», офис 603
Тел.: +7 (383) 373-01-51
О НАС

> О компании
> Соискателю
> Контакты


СЕРВИСЫ

> Состояние ремонта
> Калькулятор обслуживания ПК
> Первая помощь
> Pearson VUE
> Заявка на тест-драйв
СЛЕДУЙТЕ ЗА НАМИ

RSS TWITTER VK FB YouTube

Нашли ошибку на сайте? Сообщите нам! Выделите текст с ошибкой и нажмите Ctrl+Enter
Любое использование материалов сайта только с письменного согласия компании ООО «НТЦ Галэкс»
© ООО «НТЦ Галэкс», 1999-2017. Все права защищены и охраняются законом