Мы рады вам сообщить, что АО «НПО «Эшелон» получил сертификат ФСТЭК России на обновленный программный комплекс KOMRAD Enterprise SIEM (КОМРАД 4).
Переоформленный сертификат № 3498 (действует до 13 января 2024) удостоверяет, что программный комплекс является программным средством мониторинга результатов регистрации событий безопасности и реагирования на них и соответствует требованиям по безопасности информации, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4-му уровню доверия.
КОМРАД (Комплекс Оперативного Мониторинга, Реагирования и Анализа Данных) предназначен для организации эффективного мониторинга событий информационной безопасности, выявления инцидентов и оперативного реагирования на них. Применение продукта позволяет эффективно защитить ИТ-инфраструктуру от кибератак, а также выполнить нормативные требования по защите информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), финансовых систем (ГОСТ Р 57580.1-2017) и др.
Ключевые характеристики KOMRAD Enterprise SIEM:
централизованный сбор событий информационной безопасности с различных источников с помощью Syslog, WMI, FTP, SSH FTP, SNMP, sFlow, Netflow v5/v9 и SQL (MSSQL, MySQL, PostgreSQL, SQLite и др.);
автоматический разбор событий в формате CEF, Syslog (RFC 5424, RFC 3164);
возможность создания плагинов с помощью регулярных выражений (RE2) для парсинга нестандартных событий;
возможность создания фильтров с помощью визуального конструктора и с помощью скриптов на языке Lua;
автоматическое выявление инцидентов по заданным директивам корреляции, созданным с помощью визуального конструктора;
инвентаризация информационных активов, привязка событий к активам;
регистрация инцидентов и управление карточками инцидентов;
агрегирование инцидентов;
возможность запуска скрипта реакции в случае регистрации инцидента;
оповещение в реальном времени операторов системы в интерфейсе и по электронной почте;
интеграция с API ГОССОПКА;
мониторинг компонентов системы;
формирование отчетов;
аудит действий пользователей;
поддерживаемые ОС в качестве среды функционирования: Astra Linux Special Edition, версия не ниже 1.6 update 6, Debian, версия не ниже 7, Ubuntu, версия не ниже 20, ОСОН «ОСнова», версия 2.
Подробную информацию о продукте, а также о возможности пилотирования решения вы можете получить, заполнив форму на http://etecs.ru или отправив запрос по электронной почте на адрес getkomrad@npo-echelon.ru.
Компания АО «НПО «Эшелон» объявляет об успешном завершении сертификационных испытаний комплекса InfoWatch ARMA Industrial Firewall компании Infowatch в системе сертификации ФСТЭК России.
Программный комплекс получил сертификат соответствия ФСТЭК России №4429 от 27.07.2021 г. по 4 уровню доверия, подтверждающий право использовать решение на значимых объектах КИИ: АСУ ТП, ГИС до 1 класса защищенности включительно и ИС до 1 уровня защищенности включительно.
InfoWatch ARMA Industrial Firewall – промышленный межсетевой экран нового поколения. Позволяет своевременно обнаружить и заблокировать атаки на промышленные сети, защитить от несанкционированного доступа и обеспечить соответствие требованиям законодательства.
Вместе с InfoWatch ARMA Industrial Firewall на рынке сертифицированных промышленных межсетевых экранов стало 6, из которых 3 прошли проверки в испытательной лаборатории НПО «Эшелон». Успешное и оперативное сотрудничество специалистов лаборатории и представителей компании разработчика позволило в кратчайшие сроки подтвердить соответствие продукта заявленным требованиям.
Мы вместе с Сергеем Трошкиным решили подготовить для вас небольшую подборку актуальных вопросов по теме сертификации средств защиты информации (СЗИ), которые часто задают наши заказчики и на которые не всегда можно найти однозначный ответ в нормативных документах:
1. На наш продукт выдан сертификат соответствия ФСТЭК России, необходимо ли нам его переоформлять на соответствие требованиям к уровням доверия)?
Да, переоформить сертификат на соответствие Требованиям к уровням доверия (131 приказ ФСТЭК России) необходимо.
Разработчикам и производителям
сертифицированных средств защиты информации необходимо провести оценку
соответствия средств защиты информации Требованиям к уровням доверия и
представить результаты в ФСТЭК России для переоформления соответствующих
сертификатов соответствия.
Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не проведена до 1 января 2020 г. может быть приостановлено (информационное сообщение ФСТЭК России от 29 марта 2019).
2. Можно ли использовать СЗИ с истекшим сроком действия сертификата?
В соответствии с Положением о системе сертификации средств защиты информации ФСТЭК России (55 приказ ФСТЭК России), истечение срока действия сертификата соответствия не является поводом к отказу от использования пока заявителем будет осуществляться его техническая поддержка.
Пока запись о сертификате на СЗИ есть в
реестре и на него действует техническая поддержка от заявителя, такое СЗИ можно
применять.
Однако, переход с РД НДВ на Требования к уровням доверия в эту практику может внести свои коррективы. Т.к. действие не переоформленных на новые требования сертификатов может быть приостановлено, а в последствии и прекращено.
3. Достаточно ли будет документации по старым требованиям или потребуется что-то разработать?
Нет, недостаточно. В соответствии с Требованиями к уровням доверия, документацию на объект сертификации потребуется существенно переработать. Объем документов изменился довольно сильно.
По факту, да. В соответствии с новым Положением о системе сертификации средств защиты информации ФСТЭК России, испытательная лаборатория должна при проверке производства проверить внедрение практик безопасной разработки у Заявителя. Единственный вариант, когда лаборатория не должна этого делать – это сертификация партии образцов или единичного экземпляра. Однако, теперь такие сертификации возможны лишь для изделий, предназначенных для собственного использования, поэтому они встречаются значительно реже.
5. Можно ли сертифицировать несколько экземпляров СЗИ для продажи?
Нет, это невозможно. Теперь сертификация партии продукции или единичного экземпляра возможна лишь для собственного использования Заявителем. Также не забываем о необходимости организации его технической поддержки.
6. Разработчик не мы, можно ли нам сертифицировать продукт?
Если у разработчика имеется лицензия ФСТЭК России на деятельность по разработке средств защиты конфиденциальной информации / созданию средств защиты, то это возможно.
Проверить наличие лицензии на разработку можно на сайте ФСТЭК России в отдельном реестре, но только в части разработки СЗИ для конфиденциальной информации.
Не забываем, что заявителю потребуется организовать и техническую поддержку продукта, а также внедрить у себя ГОСТ по безопасной разработке программного обеспечения (ГОСТ Р 56939-2016).
7. Каковы сроки на сертификацию?
В среднем весь процесс сертификации занимает порядка 10-12 месяцев.
8. От чего зависит стоимость сертификации?
От объекта сертификации (объем кода, функции безопасности, среды функционирования и т.п.) и требований, на которые необходимо будет его сертифицировать. Для точной оценки сроков и стоимости есть отдельная анкета по сертификации, вы можете запросить ее написав письмо на cert@npo-echelon.ru.
9. Для кого сертификация в системе сертификации ФСТЭК России обязательна?
Как минимум – это все СЗИ, применяющиеся для информации, содержащей сведения составляющие государственную тайну, а также все СЗИ, которые используются в системах, отнесенных к ГИС (17 приказ ФСТЭК России).
Также применять сертифицированные СЗИ обязательно, если конечная система, в которой они применяются, должна проходить аттестацию по требованиям безопасности информации.
10. Как выглядит процесс сертификации?
Если кратко, то вот так:
11. Можно ли сертифицировать программное обеспечение без исходных текстов?
Можно, но не выше 6 уровня контроля в соответствии с Требованиями к уровням доверия.
12. Мы не хотим передавать исходные тексты, возможна ли сертификация по высоким уровням доверия?
В соответствии с новым Положением о системе сертификации ФСТЭК России, проводить испытания можно только на территории Заявителя или Испытательной лаборатории. Где планируется проводить испытания необходимо указывать еще в заявке на сертификацию.
Таким образом, в ИЛ передавать исходные тексты необязательно, можно предоставить к ним доступ и провести все испытания и на территории Заявителя.
13. Можно ли сертифицировать продукт, который используется только для собственных нужд, не имея лицензии на разработку?
Это возможно, но не забываем, что на СЗИ потребуется обеспечить и техническую поддержку.
14. Срок действия на наш сертификат закончился, что делать?
Ответ зависит от планов на сертифицированное изделие.
Если планируется продолжать производить изделие, то необходимо продлить сертификат. Процедура продления сертификата теперь аналогична сертификации.
Если изделие уже предоставлено всем заказчикам и больше производить его не планируется, но заказчики заинтересованы в продолжении использования изделия и заявитель с этим согласен –необходимо продолжить техническую поддержку изделия и уведомить об этом ФСТЭК России.
Если изделие уже неинтересно для заявителя и его заказчиков – необходимо сдать все неиспользованные знаки соответствия в ФСТЭК России.
15. Наш продукт не полностью соответствует требованиям, возможна ли сертификация?
Если для продукта существуют разработанные ФСТЭК России требования (например, для САВЗ, СОВ, МЭ, ОС, СДЗ, СКН), то для его успешной сертификации изделие потребуется доработать до полного соответствия этим требованиям. Если для такого вида изделий требований ФСТЭК России нет, то сертификация возможна на документацию разработчика, а именно – на технические условия (ТУ) или задание по безопасности (ЗБ).
При этом выполнение Требований к уровням доверия также обязательно.
16. Можно ли провести сертификацию только лишь на соответствие техническим условиям или заданию по безопасности?
Нет. Теперь любая сертификация должна в себя включать и проверки на соответствие Требованиям к уровням доверия.
17. Что делать, если нам необходимо внести изменения в свое сертифицированное средство?
Любые изменения в сертифицированное
изделие должны быть легализованы.
Если изменяются существующие или добавляются новые функции защиты информации, то для проведения испытаний привлекается испытательная лаборатория и проводится инспекционный контроль.
Если меняются другие функции, испытания проводятся самостоятельно или с привлечением испытательной лаборатории.
18. Что делать, если в сертифицированном изделии обнаружена уязвимость?
Необходимо оперативно устранить уязвимость и довести обновление до пользователей изделия, после чего легализовать изменения изделия.
19. Сертификация в системе сертификации Минобороны России отличается от ФСТЭК России?
Да, отличается. ФСТЭК России предъявляет требования по обязательной сертификации только к СЗИ, а в Минобороны России все изделия, которые обрабатывают защищаемую информацию, должны быть сертифицированы. Кроме того, различаются и требования, на которые может проводиться сертификация, а также участники сертификации.
20. Применяются ли Требования к уровням доверия в Системе сертификации Минобороны России.
Нет, на данный момент продолжает использоваться руководящий документ «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».
21. Требуется ли внедрять процедуры безопасной разработки при сертификации в системе сертификации Минобороны России?
Да, это необходимо для всех разработчиков. Процедуры проверяются при лицензировании деятельности на создание СЗИ, а также при проверке производства при сертификации.
22. Какой порядок внесения изменений в изделие, обладающее сертификатом Минобороны России?
Порядок отличается от применяемого в ФСТЭК России. Порядок инспекционного контроля схож с обычной сертификацией, но проверяются при нем только внесенные изменения.
Если у вас есть еще вопросы в области сертификации СЗИ, то пишите их пожалуйста в комментариях. На самые интересные из них мы постараемся ответить в следующих записях.
08
мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по оценке
(подтверждению) соответствия в отношении оборонной продукции работ, услуг),
поставляемой по государственному оборонному заказу (постановление Правительства
Российской Федерации от 30 апреля 2019 г. № 548).
Новые
Правила аккредитации кардинально меняют сложившуюся систему не только
аккредитации, но и сертификации СМК предприятий, работающих в области
государственного оборонного заказа.
Суть
изменений следующая.
В
течение 6 месяцев с даты вступления
в силу указанного постановления Министерству промышленности и торговли
Российской Федерации по согласованию с Министерством обороны Российской
Федерации необходимо провести конкурс по определению организации для
осуществления функций органа по
аккредитации в соответствии с Правилами аккредитации и внести в
Правительство Российской Федерации проект акта Правительства Российской
Федерации о наделении победителя конкурса полномочиями по осуществлению
указанных функций.
При
этом:
аттестаты аккредитации органов сертификации и испытательных лабораторий
(центров), аттестаты аккредитации органов по сертификации СМК организаций,
осуществляющих разработку, производство, испытания, установку, монтаж,
техническое обслуживание, ремонт, утилизацию и реализацию вооружения и военной
техники, включая комплектующие изделия, сырье и материалы, а также разработку,
производство, реализацию, испытания, утилизацию и хранение боеприпасов, а также
организаций, осуществляющих разработку, производство, испытания, поставку в
качестве головного исполнителя поставок изделий электронной компонентной базы
или исполнителя, участвующего в поставках изделий электронной компонентной
базы, которые выданы до дня вступления в силу настоящего
постановления в одной из систем добровольной сертификации в сфере оценки
(добровольного подтверждения) в отношении продукции и (или) СМК и срок
действия которых не истек, применяются
для осуществления деятельности по оценке (подтверждению) соответствия продукции
и (или) систем менеджмента качества до окончания срока их действия, но не позднее 24 месяцев со дня
вступления в силу настоящего постановления (08 мая 2019 г.);
свидетельства об аттестации экспертов по
аккредитации, которые выданы до дня
вступления в силу настоящего постановления в национальной системе аккредитации
либо в одной из систем добровольной сертификации в сфере оценки (добровольного
подтверждения) соответствия в отношении продукции и (или) СМК организаций,
указанных в предыдущем абзаце, и срок действия которых не истек, применяются для осуществления деятельности
по оценке (подтверждению) соответствия продукции и (или) систем менеджмента
качества до окончания срока их действия, но не позднее 12 месяцев со дня вступления в
силу настоящего постановления (08 мая 2019 г.);
аттестаты аккредитации органов по
сертификации и испытательных лабораторий (центров), аттестаты аккредитации органов по сертификации СМК,
и свидетельства об аттестации экспертов по аккредитации, выданные со дня вступления
в силу указанного постановления, не
подлежат применению для осуществления деятельности по оценке (добровольному
подтверждению) соответствия продукции и (или) систем менеджмента качества
организаций.
Соответственно,
до определения органа по аккредитации деятельность по аккредитации органов по
сертификации и испытательных лабораторий, указанных в начале этой статьи, приостановлена (например, в Системе добровольной
сертификации «Военный Регистр» заявки на аккредитацию органов по сертификации и
испытательных лабораторий с 08 мая 2019 г. не принимаются).
Критерии аккредитации будут определены не ранее чем через 9 месяцев со дня
вступления в силу постановления Правительства Российской Федерации от 30 апреля
2019 г. № 548.
Сейчас определен порядок проведения аккредитации,
которая будет проходить в два этапа: документарная
экспертиза и выездная оценка. В этом прослеживается аналогия с
аккредитацией органов по сертификации и испытательных лабораторий в системах
сертификации ФСТЭК России, ФСБ России и Минобороны России. Определен общий срок
оценки соответствия критериям аккредитации – 140 рабочих дней (а это приблизительно 6 ‑7 месяцев). Для
проведения оценки соответствия органом по аккредитации могут привлекаться
эксперты по аккредитации и экспертные организации по аккредитации.
На основании проведенной документарной экспертизы
орган по аккредитации принимает решение об отказе в аккредитации или о
проведении выездной оценки. Продолжительность выездной оценки не должна
превышать 20 рабочих дней.
Срок действия аттестата аккредитации не должен превышать 5 лет (в отличии от органов по сертификации и испытательных лабораторий в системах сертификации ФСТЭК России, ФСБ России, Минобороны России, в которых аттестаты аккредитации теперь бессрочные). Предусмотрен инспекционный контроль аккредитованных лиц (организаций): первый инспекционный контроль не позднее чем через 12 месяцев со дня принятия органом по аккредитации решения об аккредитации. Далее ИК проводится не позднее чем через два года со дня завершения первого ИК или не позднее чем через два года со дня повторной оценки соответствия аккредитованного лица критериям аккредитации.
Кого же еще касаются данные изменения, помимо органов по сертификации и испытательных лабораторий? Например, организаций, СМК которых сертифицирована на соответствие требованиям ГОСТ РВ 0015-002-2012. А это в первую очередь организации, имеющие лицензии Минпромторга России на разработку и производство вооружения и военной техники и(или) лицензию Минобороны России на проведение работ, связанных с созданием средств защиты информации, для которых наличие действующей СМК в соответствии с ГОСТ РВ 0015-002-2012 является обязательным лицензионным требованием.
В среду 26 июня на площадке «Армии 2019» мне удалось поучаствовать в круглом столе, посвященном вопросам противодействия киберугрозам и безопасной разработки. Вел круглый стол Арутюн Ишханович Аветисян — Директор ИСП РАН.
Что интересно, в круглом столе принял участие и Дмитрий Николаевич Шевцов (Начальник 2 Управления ФСТЭК России), который рассказал нам о последних событиях по совершенствованию системы сертификации ФСТЭК России.
Остановлюсь подробнее на некоторых
моментах этого доклада.
