БЕЗОПАСНОСТЬ
В апреле ООО "ИБМ Восточная Европа/Азия" (IBM EE/A) анонсировало двухлетний план сертификации в ФСТЭК России (Федеральной службе по техническому и экспортному контролю) ряда своих продуктов, пользующихся спросом у государственных организаций и крупных коммерческих структур, на соответствие требованиям руководящих документов (РД) "Безопасность информационных технологий. Критерии оценки ИТ" и "Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации" (см. таблицу).
План предстоящих сертификаций решений IBM в 2007-2008 гг.
Сотрудничество Голубого гиганта с Федеральной службой по техническому и экспортному контролю началось несколько лет тому назад. Директор по продажам программного обеспечения IBM EE/A Леонид Алтухов сообщил, что первый сертификат соответствия в рамках принятой в нашей стране системы государственной сертификации (за номером 1158) был выдан ФСТЭК в феврале 2006 г. на решение IBM WebSphere MQ 6.0. Затем последовала сертификация комплексов IBM WebSphere Portal 5.1.0.1 (октябрь 2006-го), RedHat Linux AS v.4.0, RedHat Enterprise Linux WS v.4.0 на аппаратной платформе IBM System (декабрь 2006-го) и IBM Tivoli Access Manager 6.0.0.3 (апрель 2007-го). При этом все технические работы по сертификации - на основании соответствующих аттестатов аккредитации, выданных ФСТЭК, - были выполнены ООО "Центр безопасности информации" по заявкам ОАО "Элвис Плюс" (в первом случае) и ООО "ИБМ Восточная Европа/Азия" (в остальных трех). Согласно РД "Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации", все эти продукты были сертифицированы по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ).
Леонид Алтухов:
“Сертификации в ФСТЭК
мы будем подвергать
только те продукты,
которые планируется
использовать в органах
власти страны и на ее
ключевых предприятиях”
Леонид Алтухов сообщил также, что с апреля 2007 г. тиражированием сертифицированных копий продуктов IBM (по лицензии ФСТЭК) занимается ФГУП "НИИ Восход" (головное предприятие Мининформ-связи России в области разработки и внедрения инфокоммуникационных систем государственного и специального назначения, отметившее в январе этого года 35 лет со дня своего основания), где для этой цели создан специальный стенд информационно-безопасного тиражирования и налажен строжайший учет выпускаемой на нем продукции. По его словам, верифицированные и сертифицированные информационно-безопасные копии продуктов будут поставляться интеграторам и реселлерам IBM по тем же каналам, что и обычные решения Голубого гиганта. Но об этом при заказе продукции партнеры второго уровня должны специально попросить партнеров первого уровня (ведь есть случаи, когда клиентов вполне устраивают обычные копии продуктов IBM).
Евгений Беляев:
“Сертифицированное
нами ПО IBM может
использоваться при создании
автоматизированных систем
класса защищенности
до 1В включительно”
Важно отметить, что ФСТЭК подвергает проверке (включая детальное исследование исходного кода и тщательный анализ документации, описывающей все аспекты разработки, тестирования и поддержки продукта) не только базовые решения, подлежащие сертификации по заявкам заинтересованных предприятий и организаций, но и все обновления. Стоимость сертификации является коммерческой тайной, что же касается сроков ее проведения, то они весьма индивидуальны. Так, например, по словам cоветника директора ФСТЭК Евгения Беляева, сертификация упомянутого выше IBM WebSphere MQ 6.0 началась в августе 2005 г., а проверка IBM Tivoli Access Manager 6.0.0.3 - в декабре 2006-го. В то же время, по мнению г-на Беляева, сертификация обновлений продуктов IBM будет производиться значительно быстрее и займет лишь несколько недель.
Обратите внимание: ФСТЭК России ведет свою историю с января 1992 г. (именно тогда указом Президента РФ на базе Гостехкомиссии СССР была создана Гостехкомиссия России, позднее переименованная в ФСТЭК). В 1992-м началась выдача и соответствующих сертификатов (к настоящему времени их выдано свыше 1300). Почему же получением данных сертификатов IBM озаботилась лишь в последние годы? "Это связано с ужесточением требований ряда контролирующих российских организаций к тем программным продуктам, которые используются в органах власти страны и на ее ключевых предприятиях", - пояснил Леонид Алтухов. Он также отмечает: "В спектре решений, предлагаемых IBM, около 9000 продуктов, но сертификация в ФСТЭК - весьма длительное и дорогое удовольствие, поэтому мы будем подвергать ей лишь наши ключевые решения".
По словам г-на Алтухова, анонсированный в апреле двухлетний план IBM по сертификации в ФСТЭК не является догмой и может быть скорректирован с учетом пожеланий партнеров. Не секрет, что обладание сертификатом соответствия ФСТЭК является критически важным требованием при рассмотрении вопросов о применении тех или иных программных продуктов при построении ИТ-инфраструктур в крупных государственных и коммерческих организациях. Ведь приказы, распоряжения и указания, изданные этой организацией в пределах ее компетенции, обязательны для исполнения федеральными органами государственной власти и властями субъектов РФ, а также органами местного самоуправления, предприятиями, учреждениями и организациями.