- Что общего между сертификаторами и лангольерами
- Что даёт сертификация?
- А сейчас рекламная пауза!
- Антивирусные сертификаты
- Доктор веб
- Как купить сертифицированные версии | лаборатория касперского
- Кому нужна сертифицированная система защиты и управления мобильными устройствами?
- Кому нужны сертифицированные продукты?
- Лаборатория касперского
- Научитесь натягивать сову на глобус
- Порядок получения, использования и обновления сертифицированных продуктов для бизнеса
- Придётся разобраться в продукте и в технологии его разработки
Что общего между сертификаторами и лангольерами
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
https://www.youtube.com/watch?v=eeIQw9VMHRc
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.
Что даёт сертификация?
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной.
В области сертификации средств защиты информации в России два основных регулятора – ФСТЭК и ФСБ. ФСБ занимается, в основном, сертификацией криптографических средств, а остальные средства защиты информации (не)нужно (обсудим дальше) сертифицировать во ФСТЭК.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.
А сейчас рекламная пауза!
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Антивирусные сертификаты
Характер компьютерных угроз постоянно меняется, и по мере того, как они становятся все более изощренными, уже ни одна технология не может гарантировать 100% защиты. Хотя пользователи сами вынуждены решать, какие средства применять, задачу выбора им существенно упрощают независимые тестирования продуктов, проводимые специализированными агентствами.
Установка антивирусного программного обеспечения сегодня обязательна для всех пользователей ПК, обеспокоенных проблемой безопасности данных. Выбирая тот или иной продукт, они стремятся сделать защиту максимально надежной. А подробную информацию о рассматриваемых антивирусных средствах могут получить из отчетов по результатам тестирований, проводимых исследовательскими агентствами.
Исследование надежности антивирусов в основном сводится к проверке эффективности ПО в реальных условиях. Однако подходы к проведению тестирования могут различаться.
Среди непрофессиональных исследователей чрезвычайно популярны попытки сравнения антивирусов путем создания собственного тестового стенда. Отчеты о результатах встречаются в разных интернет-конференциях, посвященных компьютерной безопасности.
Например, некий посетитель форума пишет: «У меня есть архив из 1159 вирусов, антивирус X нашел 1128, Y — 998, а антивирус Z обнаружил 1158 вирусов из некоей скачанной из нтернета вирусной базы». На первый взгляд, такой способ не лишен здравого смысла, хотя издержки здесь существенны.
Как минимум, не соблюдаются два базовых условия: во-первых, вирусная база должна содержать полный и актуальный набор вирусов, а во-вторых, не включать ничего кроме этого набора. Используя неизвестную базу, нельзя быть уверенным в том, что она содержит именно вирусы, а не код (который, вероятно, когда-то был вирусом, или может стать вирусом, если его дописать), на который реагирует та или иная антивирусная программа.
Вместе с тем, в антивирусной индустрии существует и вполне научный, признанный всеми основными игроками подход к тестированию антивирусного ПО. Базируется он на деятельности некоммерческой организации WildList (www.wildlist.org), которая сама тестированиями не занимается, а предоставляет тестерам вирусные базы.
«Дикие» вирусы
WildList (www.wildlist.org) — международная организация, созданная для сбора и обобщении информации о вирусах, атакующих компьютеры пользователей по всему миру. В проекте WildList участвует более 50 экспертов из разных стран мира, которые работают исключительно на добровольной основе. Основное понятие, используемое в проекте WildList — это термин «дикий вирус» («In the Wild», или сокращенно ITW).
«Дикие вирусы» — это вирусы, свободно распространяющиеся по всему земному шару и периодически атакующие компьютеры пользователей. Списки «диких вирусов» составляются каждый месяц уже более 10 лет. Начиная с 1996 года, список «диких вирусов» WildList предоставляется для тестирований антивирусов независимым исследовательским агентствам. На сегодняшний день их использование фактически стало индустриальным стандартом.
Список «диких вирусов» включает только те вирусы, которые, во-первых, обнаружены более чем двумя респондентами более чем в двух различных местах (сообщившие о вирусе специалисты должны принадлежать к разным компаниям и обнаружить вирус различными способами, т.е. обнаружение одним антивирусом не считается явным доказательством его «дикости»).
Сама организация WildList лишь собирает и анализирует информацию о вредоносных программах. Тестированием антивирусного ПО, отталкиваясь от списка «In The Wild», занимаются такие компании, как ICSA Labs, West Coast Labs и Virus Bulletin. Надо заметить, что абсолютно все известные производители антивирусного ПО тестируют свои продукты в этих исследовательских компаниях.
Сегодня такие испытания стали единственным общепризнанным инструментом, позволяющим сделать объективный вывод об эффективности того или иного антивируса. Формат предоставления данных исследователями обычно позволяет хронологически проследить надежность каждого продукта от версии к версии и от платформы к платформе.
Сертификация ICSA
Доктор веб
Компания имеет сертификаты ФСБ практически на все свои антивирусные продукты:
О других антивирусах, имеющих сертификаты ФСБ РФ, мне не известно.
В завершение хотелось бы затронуть тему лицензирования деятельности по созданию средств защиты информации. Ее необходимость утверждена законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне» и постановлением Правительства Российской Федерации от 15 апреля 1995 г.
№333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».
Лицензированию подлежит:
- деятельность, связанная с использованием сведений, составляющих государственную тайну;
- деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
- деятельность, связанная с созданием средств защиты информации.
Таким образом, любой производитель программного обеспечения по защите информации обязан иметь лицензию ФСБ РФ или другого уполномоченного органа. Из антивирусных компаний подобные лицензии имеют компании Aladdin, “Лаборатория Касперского” и “Доктор Веб”.
Лицензии ФСБ и ФСТЭК компании Aladdin
Лицензия ФСБ РФ компании “Лаборатория Касперского”
Лицензии ФСБ РФ компании “Доктор Веб”
О наличии лицензии ФСБ или других уполномоченных органов у других российских производителей антивирусных средств защиты ничего не известно.
Как купить сертифицированные версии | лаборатория касперского
Программные продукты «Лаборатории Касперского» имеют сертификаты соответствия ФСТЭК России и ФСБ, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Решения «Лаборатории Касперского» полностью соответствуют требованиям закона о защите персональных данных, предъявляемым к антивирусным продуктам, и могут применяться для защиты систем персональных данных до первого класса включительно и для защиты сведений, составляющих государственную тайну.
Действующие сертификаты на решения «Лаборатории Касперского» представлены на сайте службы технической поддержки. C действующими лицензиями «Лаборатории Касперского» вы можете ознакомиться в разделе «Юридическая информация».
Для получения сертифицированных продуктов «Лаборатории Касперского» вам недостаточно просто приобрести лицензии на какой-либо продукт линейки Kaspersky Security для бизнеса. Необходимо также приобрести у наших партнёров специальные сертифицированные медиа-паки, в состав которых входят:
- CD в конверте с записанными сертифицированными приложениями;
- формуляр — документ, подтверждающий, что данный(е) CD действительно содержат сертифицированные приложения;
- заверенные копии сертификатов.
Заказчики, уже имеющие сертифицированный медиапак, могут загрузить обновлённые версии дистрибутивов и сопутствующей документации со страницы support.my-sertif.ru/common/certificates.
Любую дополнительную информацию о сертифицированных версиях продуктов «Лаборатории Касперского» вы можете получить у наших партнёров или в отделе продаж по электронной почте sales@kaspersky.com.
Многие продукты и решения «Лаборатории Касперского» включены в единый реестр российских программ для электронных вычислительных машин и баз данных.
Кому нужна сертифицированная система защиты и управления мобильными устройствами?
Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.
Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!
Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
А сервер ГИС за это будет возвращать на смартфон рекомендации о том, как заточить фрезу, когда можно сходить по нужде и др., чтобы получить 13-ю зарплату.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Реализовать функции безопасности в своём ПО и сертифицировать его. На это нужен год и специально выделенные люди, которые будут жертвовать свои человеко-часы на алтаре процесса сертификации. Иногда так делают, но чаще идут по второму пути.
Купить сертифицированные средства защиты, которые выполнят требования, необходимые для аттестации.
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
VPN с ГОСТ шифрованием. Подойдёт любой с сертификатом ФСБ России.
MDM / EMM / UEM с сертификатом ФСТЭК России.
Антивирус с сертификатом ФСТЭК России.
Кому нужны сертифицированные продукты?
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Лаборатория касперского
Компания имеет сертификаты ФСБ для следующих продуктов:
Сертификаты подтверждают, что данные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
Научитесь натягивать сову на глобус
Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей.
Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.
«Причём тут сова и глобус?» – спросите вы. А при том, что с учётом даты выпуска части действующих РД (начало конца XX века), в которых определены основные термины и определения, успех сертификации иногда зависит от правильной трактовки требований и умения обосновать свою позицию.
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Порядок получения, использования и обновления сертифицированных продуктов для бизнеса
Для проверки подлинности электронной подписи используйте утилиту KLSignatureCheck.
Контрольная сумма рассчитана с использованием средства фиксации исходного состояния программного комплекса «ФИКС» версии 2.0.2 по алгоритму «ГОСТ-34.11-94, программно».
Откройте командную строку из папки, в которую вы сохранили утилиту, и выполните команду:
KLSignatureCheck.exe check_gost –file [FILEPATH] –registry [SIGPATH]
Путь, в котором содержатся пробелы, заключайте в кавычки. Например: “c:FOLDER NAMEFILE NAME.iso”
Пример успешной проверки:
>KLSignatureCheck.exe check_gost –registry c:FOLDERNAMEFILENAME.sig –file c:FOLDERNAMEFILENAME.iso
[TIMESTAMP] [0x0000413c] [info]
Kaspersky Lab Signature Checker, version 3.0.6.782, Release, x64, compiled Aug 9 2021 11:59:46
[TIMESTAMP] [0x0000413c] [info] File c:FOLDERNAMEFILENAME.iso hashed successfully
[TIMESTAMP] [0x0000413c] [info] GOST registry signature verified for 1 file(s)
[TIMESTAMP] [0x0000413c] [info] Operation completed successfully
Пример безуспешной проверки:
>KLSignatureCheck.exe check_gost –registry c:FOLDERNAMESIGNAME.sig –file c:FOLDERNAMEFILENAME.iso
[TIMESTAMP] [0x00003178] [info]
Kaspersky Lab Signature Checker, version 3.0.6.782, Release, x64, compiled Aug 9 2021 11:59:46
[TIMESTAMP] [0x00003178] [info] File c:FOLDERNAMEFILENAME.iso hashed successfully
[TIMESTAMP] [0x00003178] [error] File [ FILENAME.iso ] GOST Signature(s) is(are) not valid
[TIMESTAMP] [0x00003178] [error] Operation failed, error code: 41
Придётся разобраться в продукте и в технологии его разработки
Итак, сертификация – процесс суровый. Испытательные лаборатории вынимают душу разработчиков не хуже Шан Цунга.
Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».