Комплекс средств защиты (КСЗ), предназначенный для защиты продуктов «МойОфис Профессиональный», «Частное облако», «Почта» и «Хранилище» успешно прошел сертификацию на соответствие требованиям к безопасности информации Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России). Сертификат выдан на серийное производство, что позволяет нам выпускать неограниченное количество сертифицированных решений в период действия сертификата.
Сертификация на соответствие требованиям к безопасности информации не является обязательной для офисного программного обеспечения. Однако наша компания считает необходимым подтверждать соответствие требованиям регуляторов. Линейка продуктов «МойОфис» уже имеет два других сертификата соответствия – на производство «МойОфис Стандартный» и на партию КСЗ из ста экземпляров.
Полученные сертификаты соответствия подтверждают, что наше ПО является защищенным программным средством обработки информации, не содержит программных закладок (бэкдоров) и может применяться в системах, обрабатывающих конфиденциальную информацию. Это дает нашим заказчикам дополнительную уверенность в надежности продуктов «МойОфис», а значит, и в собственной безопасности. В наших планах – сертифицировать и другие продукты «МойОфис». Так, в первом квартале 2018 года мы ожидаем сертификацию продукта «МойОфис Частное облако» в защищенном исполнении.
Сертификация – сложный и длительный процесс, о деталях которого мы расскажем подробнее: о правилах получения сертификатов, о том, кто осуществляет сертификацию и зачем это нужно читайте в этой статье.
Зачем нужна сертификация
Использование сертифицированных продуктов позволяет максимально эффективно решать задачи по построению защищенных информационных систем, снижать стоимость проектов и сокращать время их реализации.
Государственные органы и структуры, являющиеся операторами персональных данных и государственных информационных систем, должны выполнять требования ФСТЭК России по защите информационных систем только с использованием сертифицированных средств защиты. Это значит, что в дополнение к прикладному ПО им нужно использовать дополнительные средства защиты, имеющие необходимые сертификаты соответствия. При этом недостаточно просто приобрести и установить наложенные средства защиты, необходимо также обеспечить их совместимость с операционными системами и прикладным ПО. Для этого потребуется разработать проект по построению системы защиты и провести полномасштабные испытания всей системы в целом. Аналогичные требования предъявляются и к коммерческом организациям, попадающим под требования ФСТЭК и ФСБ по защите информации, например, к операторам сотовых сетей, банкам и т.д.
Проводя сертификацию наших продуктов, мы предлагаем готовые решения, которые являются прикладным ПО и содержат дополнительную защиту, так как обладают встроенными сертифицированными функциями по обеспечению безопасности. Тем самым, позволяя упросить построение и согласование модели защиты конечной системы. Наличие встроенных функций безопасности также дает возможность сократить затраты на приобретение дополнительного ПО для защиты данных и его интеграции с существующими решениями.
Кроме нормативного аспекта сертификация продуктов несет в себе и другие преимущества. Сертификат соответствия обязывает вендора следить за актуальностью своего продукта, своевременно устранять уязвимости и обеспечивать его техническую поддержку.
Сертифицированные средства защиты информации – серьезный аргумент в пользу использования отечественных решений. Зарубежные разработчики не могут получить лицензии ФСТЭК, ФСБ и Минобороны России и, соответственно, напрямую подать заявку на сертификацию своих решений. Зачастую данные работы от их лица осуществляют российские компании, которые выступают заявителями при сертификации. В этом случае существует риск, что партнерство может прерваться в любой момент, и конечные пользователи ПО останутся без привычных технической поддержки, устранения уязвимостей и обновления приобретенных продуктов.
Регуляторы, испытательные лаборатории и контролирующие органы
Сертификацией средств защиты информации на федеральном уровне занимаются несколько регуляторов — Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности (ФСБ России) и Министерство обороны Российской Федерации (Минобороны России). У каждого ведомства своя область применения сертифицированных продуктов, но широкому рынку интересны преимущественно системы сертификации ФСТЭК и ФСБ России. Сами ведомства не проводят испытаний продуктов, роль регулятора – в контроле деятельности аттестованных испытательных лабораторий и органов по сертификации.
Непосредственно изучение и тестирование продукта осуществляет аккредитованная регулятором испытательная лаборатория, которую может выбрать заявитель (та компания, которая подает заявку на сертификацию).
Контроль и проверку результатов испытаний лаборатории осуществляют специальные органы по сертификации – уполномоченные регуляторами частные организации. Заявитель не может выбирать орган по сертификации на свое усмотрение, он назначается регулятором, что обеспечивает беспристрастность и надежность проверок.
Сертификация начинается с подачи заявки регулятору (в нашем случае – ФСТЭК России), в которой подробно описываются продукт, его функции, схемы работы и архитектуры, прикладываются документация и технические условия. Если речь идет о сертификации серийного производства, а не отдельных копий продукта, компания-заявитель должна обладать лицензиями на разработку и производство средств защиты информации.
Ранее мы уже получили лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации, лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации и лицензию ФСБ России на право проведения работ, связанных с шифровальными (криптографическими) средствами.
Итак, мы выбрали лабораторию и подали заявку на прохождение сертификации во ФСТЭК России. Существует достаточно большой рынок испытательных центров со своими лидерами и нишевыми игроками, всего в реестре ФСТЭК России значится 29 лабораторий и 7 органов по сертификации. От выбора испытательной лаборатории зависит очень многое: стоимость проведения работ по сертификации, сроки выполнения проверок, качество результатов и скорость согласования всех материалов.
Если заявка оформлена правильно, регулятор в течение месяца выписывает решение о начале работ, в котором определяются точные требования по безопасности, на соответствие которым будет проверяться продукт. Также, назначаются испытательная лаборатория и контролирующий орган. После этого начинаются сами испытания, которые занимают в среднем от 4 до 6 месяцев.
В ходе испытаний проводится полное и всестороннее исследование изделия, включая контроль отсутствия уязвимостей, а также проверку полноты и корректности документации.
В финале испытаний готовые материалы передаются в орган по сертификации для проведения независимой экспертизы. В среднем проверка органом выполняется в течение 1 месяца. Если заключение положительное, то регулятор проводит дополнительную экспертизу результатов испытаний и принимает решение о выдаче сертификата соответствия.
Подготовка к сертификации
Процесс сертификации продуктов зачастую может быть интегрирован в процесс разработки самого продукта. Например, для реализации функций защиты мы сформировали отдельный набор требований, который передается в разработку еще до начала работы над версией продукта. Дополнительно, мы учли вопросы обеспечения защиты информации при проектировании архитектуры решений. «Бумажная» работа также начинается на ранних этапах: служба безопасности готовит материалы для оформления заявки и проведения испытаний параллельно с разработкой продукта, чтобы в момент релиза все необходимые процессы уже были запущены. Это позволяет значительно сократить общий срок проведения испытаний.
17 и 21 приказами ФСТЭК России установлены различные уровни и классы систем, для защиты которых предусматривается использование более 150 различных мер.
Выбор мер защиты информации для их реализации в конечной системе зависит от модели угроз и уровня потенциального нарушителя. Каждая мера относится к определенному виду защиты, и производитель выбирает те меры, которые должны быть обеспечены в его системе. Например, в сертифицированном комплексе средств защиты «МойОфис» реализовано свыше 30 мер защиты из перечня ФСТЭК России, в том числе по идентификации и аутентифкации, управлении доступом, регистрации событий и контролю целостности. А в будущих версиях продукта мы планируем наращивать защитный функционал.
Получение одного сертификата для наших продуктов в среднем занимает от 6 до 8 месяцев. Как показывает практика участников рынка, это хорошие временные показатели: зачастую процедура может занимать больше года. Чтобы избежать задержек в проведении испытаний и качественно подготовить продукт к сертификации еще до начала испытаний, наши специалисты тщательно тестируют продукты по типовым методикам испытательных лабораторий.
После сертификации
Важно понимать, что сертификат выдается на определенную версию продукта, которая прошла сертификационные испытания, и действителен только в отношении ее. Сертификат выдается на три года, и, как показывает практика, многие производители ПО стараются выжать из него максимум: годами продают одну и ту же версию, пока не истечет срок действия сертификата. В итоге заказчики вынуждены работать на устаревшей и неактуальной платформе, что негативно сказывается на их пользовательском опыте и эффективности работы.
Поскольку многие продукты активно развиваются, их производитель может регулярно подтверждать корректность внесенных изменений прохождением инспекционного контроля. В отличие от сертификации, этот процесс проходит гораздо быстрее и редко занимает более 2 месяцев. В ходе контроля проводятся сокращенные испытания по внесенным изменениям, проверяются сохранение уровня защищенности и отсутствие уязвимостей в продукте.
Этого пути придерживаемся и мы — каждый выпуск новой версии продуктов «МойОфис» сопровождается подтверждением сохранения заявленного уровня защищенности.
Итак, подведем итоги. Получение сертификата является сложным и затратным процессом для вендора, однако для потребителя это очень востребованный и значимый критерий при соблюдении безопасности проектируемых систем. Наша компания уже не единожды прошла эту нелегкую процедуру. Сертифицированные продукты «МойОфис» можно приобрести у наших партнеров. В настоящий момент мы готовим к выходу новые решения «МойОфис» со встроенными средствами защиты и обязательно расскажем, когда они пройдут сертификацию. Следите за новостями и оставляйте комментарии, мы будем рады вашим вопросам.