ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ
Защита информационных систем — одна из важнейших проблем не только для отрасли информационных
технологий, но и для всей экономики и всего общества в целом. Понимая это, корпорация
Microsoft стала пионером создания надежных информационных систем и автором концепции
комплексного обеспечения информационной безопасности. В рамках реализации этой концепции
Microsoft выполняет фундаментальные исследования и разработки в области высоких
технологий.
Ключевой момент, определяющий успешность создания защищенных систем на базе программного
обеспечения Microsoft — сотрудничество с государством и выполнение национальных
требований к сертификации программного обеспечения для обеспечения безопасности
критически важных элементов информационной структуры. Государственные заказчики,
которые используют сертифицированное программное обеспечение, не только обеспечивают
соответствие своих информационных систем нормам законодательства, но и экономят
значительные средства на процедурах аттестации рабочих мест на их соответствие требованиям
защиты информации определенной категории.
Сотрудничество Microsoft с российскими организациями в области сертификации имеет
долгую и успешную историю. Еще в 1998 г. операционная система Microsoft Windows
NT 4.0 и система управления базами данных Microsoft SQL Server 6.5 были сертифицированы
в Гостехкомиссии России (ныне — Федеральная служба по техническому и экспортному
контролю, ФСТЭК). Сегодня Microsoft работает в России с системами сертификации программных
продуктов, принятыми ФСБ (в области сертификации криптографических алгоритмов) и
ФСТЭК (сертификация всей функциональности, не связанной с криптографией). Также
компания готова к сертификации своих продуктов в соответствии с требованиями Министерства
обороны.
Сертифицированные программные продукты Microsoft приобретаются через партнерскую
сеть Microsoft.
ИСПОЛЬЗОВАНИЕ СЕРТИФИЦИРОВАННЫХ ПРОДУКТОВ
 |
К организациям, которые должны использовать сертифицированные продукты в обязательном
- государственные организации;
- негосударственные организации, работающие с так называемой «служебной информацией государственных органов»;
- любые организации, которые должны это делать в соответствии с российским законодательством.
|
Например, в соответствии с Федеральным законом №152-ФЗ «О персональных данных» любая компания, занимающаяся обработкой персональных данных, т.е. любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу, в т.ч. фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация о физическом лице, обязана принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий. Нарушение требований обработки и хранения персональных данных может повлечь гражданскую, уголовную, административную и иную ответственность, предусмотренную законодательством РФ. При этом функция аттестации информационных систем предприятий на соответствие требованиям Федерального закона 152-ФЗ возложена на ФСТЭК и уполномоченные ею организации.
Ниже перечислены другие документы, регулирующие необходимость применения сертифицированных средств защиты информации:
- Закон РФ № 5485-1 от 21 июля 1993 г. («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».
- Федеральный закон 149, ст. 14, п. 8: «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании».
- Федеральный закон 149, ст. 15: уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, является ФСТЭК России.
- Нормативный документ «Специальные требования по защите конфиденциальной информации» (СТР-К) ФСТЭК России:
- п. 2.3: «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования»;
- п. 2.16: « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации»;
- п. 2.17: «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».
- Федеральный закон 184 «О техническом регулировании»:
- ст. 4: «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5»;
- ст. 5 касается в том числе и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»).
Некоторые организации должны не только использовать продукты с сертифицированными средствами защиты информации, но и аттестовывать свои рабочие места для работы с конфиденциальной информацией. Процедуру аттестации рабочих мест для работы с конфиденциальной информацией проводят органы ФСТЭК и уполномоченные ею организации.
СЕРТИФИЦИРОВАННЫЕ ПРОДУКТЫ MICROSOFT
ЧТО ТАКОЕ СЕРТИФИЦИРОВАННЫЙ ПРОДУКТ MICROSOFT
Продукты Microsoft, сертифицированные ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:
- каждый экземпляр сертифицированного продукта имеет пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
- каждая организация, имеющая в своем распоряжении сертифицированный продукт, имеет защищенный доступ к персональной странице для получения сертифицированных обновлений.
Продукты Microsoft, сертифицированные ФСБ, содержат дополнительное программное обеспечение, а именно сервисные пакеты, разработанные российскими организациями для того, чтобы эти продукты Microsoft могли удовлетворять требованиям ФСБ.
Если государственная организация хочет использовать программный продукт, которые еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами. Поэтому Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков.
В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.
КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСТЭК
В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:
- клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
- клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
- серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
- серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
- система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
- платформа приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
- платформа приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
- межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия — на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
- антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
- сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
- сервер документооборота Microsoft SharePoint Server 2007;
- сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
- серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
- система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
- система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
- система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
- система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
- система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
- система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
- система управления предприятием Microsoft Dynamics AX 2009;
- система управления предприятием Microsoft Dynamics AX 4.0;
- система управления предприятием Microsoft Dynamics NAV 5.0.
В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, многие из них сертифицированы и на соответствие ФЗ-152 «О персональных данных».
В настоящее время ФСТЭК закончена сертификация на уровень 1Г и на НДВ 4-го уровня, необходимая для получения соответствия высшему классу К1 закона «О персональных данных», для:
- клиентской операционной системы Microsoft Windows 7;
- серверной операционной системы Microsoft Windows Server 2008 R2.
Мы планируем сертифицировать все продукты, требующие сертификации в соответствии с российским законодательством. Это позволит нашим клиентам использовать полностью сертифицированную платформу продуктов Microsoft.
КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСБ
Следующие продукты Microsoft сертифицированы ФСБ:
- клиентская операционная система Microsoft Windows XP Professional, русская версия;
- серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
- сервер документооборота Microsoft SharePoint Server 2007;
- система управления базами данных Microsoft SQL Server 2008.
Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).
Кроме того, ФСБ сделала положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.
В ФСБ начата сертификация Windows 7, в ближайшее время будет начата сертификация Windows Server 2008 R2. Заканчивается разработка системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенных на платформе Microsoft.
ПРЕДОСТАВЛЕНИЕ ИСХОДНЫХ КОДОВ
В 2002 году корпорация Microsoft разработала программу Government Security Program (GSP), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляется доступ к исходным кодам продуктов Microsoft. Россия является первой страной в мире, подписавшей с Microsoft соглашение GSP — это соглашение подписано с ФГУП НТЦ «Атлас» и в настоящее время согласовано с ФСБ.
ФГУП НТЦ «Атлас» является центром по предоставлению доступа к исходным кодам продуктов Microsoft, в котором организованы специальные помещения, где специалисты выполняют анализ исходных кодов не только для целей сертификации продуктов Microsoft на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Microsoft активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов и предоставляя необходимую технологическую и консультационную поддержку по вопросам функционирования продуктов.
Доступ к исходным кодам продуктов Microsoft могут иметь не только ФСБ, но и ФСТЭК, Министерство обороны, Министерство атомной промышленности и другие организации, работающие в государственных проектах по совершенствованию защищенных информационных систем.
