Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1514 / 229 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 20:

Организационно-правовые аспекты защиты информации

Что такое сертифицированный продукт?

Продукты Майкрософт, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Программная реализация продуктов Майкрософт позволила получить соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то :

  • Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, которая идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.

Продукты Майкрософт, сертифицированные в ФСБ, кроме обычного лицензионного продукта Майкрософт содержат дополнительное программное обеспечение, разработанное российскими организациями для того, чтобы данные продукты Майкрософт могли удовлетворять требованиям, предъявляемым ФСБ к программным продуктам. Дополнительные программые продукты называются " Service Pack Rus для Windows XP ", " Service Pack Rus для Windows Server " и " Service Pack Rus для Удостоверяющего центра" соответственно. Эти дополнительные программные продукты содержат и крипто-сервис провайдеры компании Крипто-Про, которые позволяют зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Таким образом, сертифицированные в ФСБ продукты состоят из:

  • Обычного лицензионного продукта Майкрософт, и
  • Дополнительного " Service Pack Rus " для этого продукта.

Почему надо использовать сертифицированные продукты

Для ряда организаций использование сертифицированных продуктов является необходимым. К таким организациям относятся государственные организации, негосударственные организации, работающие с так называемой "служебной информацией государственных органов", а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования "Закона о персональных данных").

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

  1. В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что "…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании"
  2. В ФЗ 184 "О техническом регулировании" в ст.4 . "федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5"
  3. Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе "служебная информация госорганов")
  4. Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
  5. В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
    • п.2.3. "Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования".
    • п. 2.16. " Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации".
    • п.2.17. "Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа".
  6. Закон РФ N 5485-1 от 21 июля 1993 г. ("Закон о государственной тайне") определяет средства защиты информации, как "составную часть информационных систем или продуктов". Из этого следует, что, например, Windows содержит средства защиты информации, хотя само не является таковым средством

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

Предоставление исходных кодов

В 2002 году Майкрософт разработала программу Government Security Program ( GSP ), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт. Россия является первой страной в мире, подписавшей с Майкрософт Соглашение GSP. Это Соглашение было подписано в 2002 году между Майкрософт и ФГУП НТЦ "Атлас" и согласовано с ФАПСИ. После преобразования ФАПСИ Соглашение было переподписано с ФГУП НТЦ "Атлас" и согласовано с ФСБ. Соглашение действует и по настоящее время. Структура Соглашения позволяет иметь доступ к исходным кодам продуктов Майкрософт не только ФСБ, но и ФСТЭК, Министерству обороны, Министерству атомной промышленности, и другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

ФГУП НТЦ "Атлас" является Центром по предоставлению доступа к исходным кодам продуктов Майкрософт. В нем организованы специальные помещения, где специалисты проводят анализ исходных кодов не только для целей сертификации продуктов Майкрософт на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Майкрософт активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов, и предоствляя необходимую технологическую и консультационную поддержку по вопросам функционирования подуктов.

Текущие результаты сертификации

В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство)
  • клиентская операционная система Windows Vista ( Business, Enterprise, Ultimate ) русская версия (включая ОЕМ производство)
  • серверная операционная система Windows Server 2003 ( Standard Edition и Enterprise Edition ) русские версии
  • серверная операционная система Windows Server 2003 R2 ( Standard Edition и Enterprise Edition ) русские версии
  • система управления базами данных SQL Server 2000 ( Standard Edition и Enterprise Edition ) английские версии
  • система управления базами данных SQL Server 2005 ( Standard Edition и Enterprise Edition ) русские версии
  • платформа приложений Office 2003 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
  • платформа приложений Office 2007 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
  • межсетевой экран ISA Server 2006 ( Standard Edition ) русская версия - сертификаты получены как на соответствие Общим Критериям, так и на соответствие Руководящим документам "СВТ. Межсетевые экраны…" - по третьему классу защищенности
  • линейка антивирусных продуктов Forefront для серверов и рабочих станций ( Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client )
  • сервер управления почтовыми сообщениями Exchange Server 2007
  • сервер для документооборота Office SharePoint Server 2007
  • сервер для управления бизнес-процессами BizTalk Server 2006 R2.

В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности включительно. В настоящее время в России организовано массовое производство всех сертифицированных версий продуктов Майкрософт. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация выходящих ежемесячно новых патчей к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.

В настоящее время в ФСБ сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Windows XP Professional русская версия
  • серверная операционная система Windows Server 2003Enterprise Edition русская версия

Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.

В ФСБ также получено положительное заключение экспертной организации по результатам сертификационных испытаний Удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.

Краткие итоги

В лекции были рассмотрены законодательные и правовые основами защиты информации, в т.ч. один из самых актуальных на сегодняшний день регулирующих документов - "Закон о персональных данных". Изучены принципы разработки политики безопасности. Особое внимание уделено инициативе Microsoft по сертификации своих продуктов на соответствие требованиям регулирующих органов в РФ

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Андрей Осипов
Андрей Осипов

Здравствуйте! Хотелось бы прояснить следующий вопрос: у МТИ приостановлена государственная аккредитация и когда будет восстановлена- неизвестно, а в диплом о профпереподготовке выдается на базе МТИ (как я понял). Как будет обстоять дело с получением диплома?

Вопрос важный и актуальный, потому что необходимо срочно пройти обучение и получить диплом и не хотелось бы тратить время и платить деньги зря (если диплом окажется недействительным и т.п.). Разъясните, пожалуйста, подробнее ситуацию.

Сергей Мясников
Сергей Мясников
Россия
Владимир Гнинюк
Владимир Гнинюк
Украина, Киев