Все новости от 24 апреля 2007 г.

Ключевые продукты IBM получат сертификаты ФСТЭК

В апреле ООО “ИБМ Восточная Европа/Азия” (IBM EE/A) анонсировало двухлетний план сертификации в ФСТЭК России (Федеральной службе по техническому и экспортному контролю) ряда своих продуктов, пользующихся спросом у государственных организаций и крупных коммерческих структур, на соответствие требованиям руководящих документов (РД) “Безопасность информационных технологий. Критерии оценки ИТ” и “Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации” (см. таблицу).

Леонид Алтухов: “Сертификации в ФСТЭК мы будем подвергать ей только те продукты, которые планируются использовать в органах власти страны и на её ключевых предприятиях”

Сотрудничество Голубого гиганта с Федеральной службой по техническому и экспортному контролю началось несколько лет тому назад. Директор по продажам программного обеспечения IBM EE/A Леонид Алтухов сообщил, что первый сертификат соответствия в рамках принятой в нашей стране системы государственной сертификации (за номером 1158) был выдан ФСТЭК в феврале 2006 г. на решение IBM WebSphere MQ 6.0. Затем последовала сертификация комплексов IBM WebSphere Portal 5.1.0.1 (октябрь 2006-го), RedHat Linux AS v.4.0. RedHat Enterprise Linux WS v.4.0 на аппаратной платформе IBM System (декабрь 2006го) и IBM Tivoli Access Manager 6.0.0.3 (апрель 2007-го). При этом все технические работы по сертификации — на основании соответствующих аттестатов аккредитации, выданных ФСТЭК, — были выполнены ООО “Центр безопасности информации” по заявкам ОАО “Элвис Плюс” (в первом случае) и ООО “ИБМ Восточная Европа/Азия” (в остальных трёх). Согласно РД “Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации” все эти продукты были сертифицированы по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ).

Леонид Алтухов сообщил также, что с апреля 2007 г. тиражированием сертифицированных копий продуктов IBM (по лицензии ФСТЭК) занимается ФГУП “НИИ Восход” (головное предприятие Мининформсвязи России в области разработки и внедрения инфокоммуникационных систем государственного и специального назначения, отметившее в январе этого года 35 лет со дня своего основания), где для этой цели создан специальный стенд информационно-безопасного тиражирования и налажен строжайший учёт выпускаемой на нём продукции. По его словам, верифицированные и сертифицированные информационно-безопасные копии продуктов будут поставляться интеграторам и реселлерам IBM по тем же каналам, что и обычные решения Голубого гиганта. Но об этом при заказе продукции партнёры второго уровня должны специально попросить партнёров первого уровня (ведь есть случаи, когда клиентов вполне устраивают обычные копии продуктов IBM).

Евгений Беляев: “Сертифицированное нами ПО IBM может использоваться при создании автоматизированных систем класса защищённости до 1В включительно”

Важно отметить, что ФСТЭК подвергает проверке (включая детальное исследование исходного кода и тщательный анализ документации, описывающей все аспекты разработки, тестирования и поддержки продукта) не только базовые решения, подлежащие сертификации по заявкам заинтересованных предприятий и организаций, но и все обновления. Стоимость сертификации является коммерческой тайной, что же касается сроков её проведения, то они весьма индивидуальны. Так, например, по словам cоветника директора ФСТЭК Евгения Беляева, сертификация упомянутого выше IBM WebSphere MQ 6.0 началась в августе 2005 г., а проверка IBM Tivoli Access Manager 6.0.0.3 — в декабре 2006-го. В то же время, по мнению г-на Беляева, сертификация обновлений продуктов IBM будет производиться значительно быстрее и займет лишь несколько недель.

Обратите внимание: ФСТЭК России ведёт свою историю с января 1992 г. (именно тогда указом президента РФ на базе Гостехкомиссии СССР была создана Гостехкомиссия России, позднее переименованная в ФСТЭК). В 1992-м началась выдача и соответствующих сертификатов (к настоящему времени их выдано свыше 1300). Почему же получением данных сертификатов IBM озаботилась лишь в последние годы? “Это связано с ужесточением требований ряда контролирующих российских организаций к тем программным продуктам, которые используются в органах власти страны и на её ключевых предприятиях”, — пояснил Леонид Алтухов. Он также отмечает: “В спектре решений, предлагаемых IBM, около 9000 продуктов, но сертификация в ФСТЭК — весьма длительное и дорогое удовольствие, поэтому мы будем подвергать ей лишь наши ключевые решения”.

По словам г-на Алтухова, анонсированный в апреле двухлетний план IBM по сертификации в ФСТЭК не является догмой и может быть скорректирован с учётом пожеланий партнёров. Не секрет, что обладание сертификатом соответствия ФСТЭК является критически важным требованием при рассмотрении вопросов о применении тех или программных продуктов при построении ИТ-инфраструктур в крупных государственных и коммерческих организациях. Ведь приказы, распоряжения и указания , изданные этой организацией в пределах её компетенции, обязательны для исполнения федеральными органами государственной власти и властями субъектов РФ, а также органами местного самоуправления, предприятиями, учреждениями и организациями.

План предстоящих сертификаций решений IBM в 2007—2008 гг.

Программный продукт*	Оценочный уровень доверия (ОУД) согласно РД “Безопасность информационных технологий. Критерии оценки ИТ”	Ожидаемое время выдачи сертификата
IBM Tivoli Identity Manager v.4.6.0	ОУД 3	III кв. 2007 г.
IBM DB2 Enterprise Server Edition v.9.1	ОУД 4	III кв. 2007 г.
IBM Lotus Domino Enterprise Server and Notes for Multiplatforms v. 7.0.2	ОУД 1+	III кв. 2007 г.
IBM WebSphere Message Broker v.6.0	ОУД 3	IV кв. 2007 г.
IBM WebSphere Application Server Base v.6.1	ОУД 4	I кв. 2008 г.
IBM WebSphere Application Server Network Deployment v.6.1	ОУД 4	I кв. 2008 г.

Источник: IBM EE/A.

*Согласно РД “Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации” все эти продукты предполагается сертифицировать по 4-му уровню контроля отсутствия НДВ.