Como sabe, el uso de versiones certificadas de software se detalla en varios documentos del regulador. Y (desafortunadamente) esto dado, con el que todos viven. Este artículo no enumerará las disposiciones de los documentos, según las cuales es necesario usar productos certificados (o de otro modo "pasaron el procedimiento de verificación de conformidad") o la cantidad de multas por falta de uso. En cambio, se abordarán los problemas típicos que los clientes que tienen que usar software certificado contactan con el soporte técnico.
Si alguien se vio obligado recientemente a cambiar a versiones certificadas y aún no ha completado todos los rastrillos, le pedimos un gato.
Como una introducción. Se formó una selección de problemas típicos en preparación para una de las conferencias sobre la base de llamadas a nuestro soporte técnico. Por lo tanto, advierto de inmediato que aunque el procedimiento de certificación es el mismo para todos los participantes del mercado, los ejemplos indicarán para qué compañía operan. Y los matices tienen un lugar para estar. Digamos que las distribuciones de Doctor Web para productos certificados de acuerdo con los requisitos de FSTEC / FSB son diferentes (ya que las zonas de actualización deberían ser diferentes para los mismos requisitos), y Kaspersky Lab tiene una distribución única, aparentemente las zonas de actualización están separadas por otros métodos.
La entrada está completa, pase a los problemas.
Problema número 1. ¿Trabajas para ... (nombre de un sistema operativo o producto específico)
Hay varios problemas aquí. Veamos ejemplos.
Para comenzar, esta selección de respuestas se realizó en la víspera de la conferencia "La práctica de implementar el programa de economía digital basada en soluciones Astra Linux", por lo que en lugar de los puntos suspensivos debería haber Astra Linux Special Edition Smolensk versión 1.6. Y la versión certificada (y naturalmente no certificada también) funciona en esta versión. Pero los usuarios no pueden usarlo. El hecho es que las reglas de certificación requieren que los productos sometidos a certificación sean probados para admitir ciertos sistemas operativos. Y el formulario adjunto con la distribución certificada enumera todos estos sistemas operativos. Y si la versión 1.6 de Astra Linux no se especifica en el formulario, no puede usarlo, aunque el producto (cuyos requisitos del sistema son "glibc 2.12 y superior") funciona completamente en esta versión.
El soporte para sistemas operativos que cumplen con los requisitos descritos, a medida que estén disponibles, se incluye en la lista de apoyados en el formulario, pero el fabricante simplemente no puede hacer esto. Es necesario pasar por el procedimiento de control de inspección. Y no es rápida, bueno, no menos de cuatro meses.
Se nos hace la pregunta: ¿es imposible sincronizar el lanzamiento del nuevo sistema operativo y el paso de IR por adelantado? Por desgracia, no funcionará. Dado que además del mencionado Astra Linux, también necesitamos soporte para AltLinux, Windows, etc. Y sus fechas de lanzamiento, por desgracia, son en diferentes momentos.
En consecuencia, la recomendación es verificar de antemano que el sistema operativo que haya elegido sea compatible con todos los productos certificados que necesita.
Todo esto es inconveniente tanto para los usuarios como para los fabricantes (los usuarios requieren su apoyo), pero, por desgracia, este es el procedimiento actual.
Y a veces sucede que respondemos a la pregunta de un usuario de que la versión certificada no es compatible con dicho sistema operativo o producto. Y aquí, también, a menudo el problema está en el procedimiento actual. Por lo tanto, todos saben que la cantidad de distribuciones del mismo Linux es enorme, mientras que usar una distribución Linux certificada no siempre es necesario. Y el usuario puede venir fácilmente con una solicitud de soporte con una distribución rara. Y del fabricante para la inclusión de cada versión del sistema operativo o producto requiere dinero. Y considerable. En total, comparable a los ingresos por ventas de versiones certificadas. Por lo tanto, en preparación para la certificación, solo los sistemas operativos muy populares se incluyen en la lista de sistemas compatibles. Aunque la versión certificada funcionará en una cantidad mucho mayor de productos.
La situación con la certificación bajo los requisitos del Ministerio de Defensa es ligeramente diferente. Aquí hay una lista de sistemas operativos y productos que deben ser compatibles, que provienen del MO. Por lo tanto, en respuesta a la solicitud de un usuario de soporte de algún sistema operativo, es posible que se responda que este sistema operativo no está incluido en la lista de MO requeridos.
Una situación completamente opuesta con el mismo Windows 10. De hecho, las versiones de este sistema operativo son completamente diferentes. Y aunque formalmente hay Windows 10 en el formulario, el soporte para la nueva compilación será solo después del próximo IR. Sí, al menos cuatro meses después, o incluso más tarde.
Muchos confían en que las versiones certificadas son beneficiosas para los fabricantes. Puede ser beneficioso para alguien, pero a nivel de software de protección es una hemorroide rara tanto para el fabricante como para los usuarios. Además, las hemorroides son muy, muy caras.
Problema número 2. "Estoy actualizado!"
Como sabe, de acuerdo con el procedimiento actual, el fabricante debe, en caso de vulnerabilidades, actualizar su software. Hay una emboscada aquí. La actualización solo es posible a través del procedimiento IR. Si Cuatro meses y paga el dinero. Y si no publica una actualización certificada, su producto no puede ser utilizado.
Bueno, entonces, Yaroslavna está llorando del vendedor. Lanzamos la actualización, el usuario debe instalarla. ¿Crees que todo es simple?
Las distribuciones certificadas no se pueden descargar libremente. Debe comprar un paquete de medios o ponerse en contacto con el soporte técnico, y luego aún comprar un paquete de medios. Veamos por qué.
Como ya se mencionó, si se necesita con urgencia un kit de distribución certificado y es imposible esperar la entrega de un paquete de medios, entonces el cliente puede contactar al servicio de soporte y solicitar enlaces para descargar versiones certificadas y el formulario. Lo que se le proporcionará. La solicitud debe ir acompañada de documentos sobre el pago de un paquete de medios certificados previamente adquirido. ¿Por qué documentos? Para que el vendedor esté convencido de que es el cliente quien solicita los enlaces, y no cualquiera.
Además de los enlaces a las distribuciones, el soporte técnico enviará enlaces al formulario y recomendaciones del siguiente tipo.
El formulario debe imprimirse, en la sección "Marcas especiales", se deben tomar notas sobre el reemplazo del formulario RU.72110450.00300-10 30 02 con una etiqueta holográfica (marca de conformidad del sistema de certificación) con el formulario actualizado RU.72110450.00300-10 30 02 enmendar.4.
En el formulario reemplazado RU.72110450.00300-10 30 02 puede agregar: “El formulario está cancelado. La marca de conformidad de certificación (etiqueta holográfica) es válida. El formulario reemplazado debe mantenerse junto con el actualizado para preservar la marca de certificación del sistema de certificación.
Esto debe hacerse!
Después de eso, debe comprar el paquete de medios mencionado, ya que el software certificado no es solo la distribución que recibió. El software certificado es:
- verificación aprobada del cumplimiento en el Sistema de certificación de medios de protección de la información de acuerdo con los requisitos de las normas estatales y documentos reglamentarios sobre protección de la información;
- certificado para cumplir con los requisitos especificados en estos requisitos. Los certificados más famosos, pero no los únicos, son certificados del FSTEC de Rusia y del FSB de Rusia;
- cuya distribución corresponde a la copia de referencia que se sometió a las pruebas de certificación, lo cual se confirma mediante las entradas correspondientes en la documentación adjunta para el software certificado (formulario) y una marca holográfica especial de conformidad con un número único que identifica esta copia en el sistema de contabilidad estatal de productos certificados;
- instalado y configurado de acuerdo con parámetros certificados;
- controlado durante la operación;
- cada copia certificada, que se registra en el registro de productos certificados. El fabricante debe etiquetar el equipo de protección y garantizar el acceso sin trabas de los funcionarios de los organismos que ejercen el control del equipo de protección certificado a la información contable.
¿Qué se incluye en el paquete de medios? Nuevamente, como ejemplo, un paquete de medios para versiones de Dr.Web 11 certificadas por el FSTEC de Rusia:
- Cuadro de empresa (como medio de distribución);
- Certificado de licencia;
- 3 DVD en sobres de la empresa con distribuciones y documentación certificadas de Dr.Web;
- Forma con una pegatina holográfica, que contiene;
- Sumas de control de referencia de productos certificados.
Sí, la pegatina holográfica, que se suponía que estaba pegada en un CD, todavía estaba viva.
Pero no necesita comprar una clave / número de serie durante la actualización. La clave (no lo diré para todos los proveedores, pero Doctor Web la tiene) es la misma para las versiones certificadas y no certificadas. Por lo tanto, si cambia de versiones normales a certificadas, no necesita cambiar la clave.
¿Cuántos paquetes de medios se necesitan?
- 1 entidad jurídica = 1 conjunto de medios;
- Si el cliente tiene varias ramas remotas, necesita tantos conjuntos de medios como ramas. Al verificar por el regulador, es más conveniente contar con un paquete de medios certificado.
No es necesario reinstalar el software ya instalado después de recibir el paquete de medios del DVD.
Problema número 3. ¡Quiero probar!
Como se mencionó anteriormente, no puede haber versiones certificadas en el dominio público de las distribuciones. La clave puede (como se mencionó anteriormente) usarse de una versión no certificada, pero las distribuciones mismas deben solicitarse. Nuevamente, no lo diré para todos, pero Doctor Web puede indicar que se requiere la versión certificada al solicitar una clave de demostración. Si hay una clave, se pueden solicitar distribuciones a la compañía a través de la cual realiza compras o al soporte técnico del proveedor.
Al realizar el pedido, debe especificar el tipo de certificación. Los más comunes son MO, FSTEC, FSB.
Problema número 4. ¿Cómo obtener actualizaciones para una red cerrada?
¡No es necesario utilizar un servidor adicional, instalarlo fuera de la red y transferir actualizaciones al interior! Un error común por cierto. Como regla general, los proveedores tienen la oportunidad de descargar actualizaciones utilizando una utilidad especial. Una vez más, Doctor Web lo tiene como parte de ES y puede solicitar por separado esta utilidad (drwreploader) al soporte técnico.
¿Por qué necesito una utilidad? Al copiar manualmente, se pueden acumular archivos adicionales que deben eliminarse.
Problema número 5. Sobre la firma.
Este es un problema específico de AstraLinux. El hecho es que en ciertos modos de operación, se verifica la presencia de paquetes de firma digital de NPO RusBITech.
¡No es necesario volver a firmar paquetes certificados! Ya están firmados si el soporte de AstraLinux se indica en el formulario. Después de la firma, se cambian las sumas de verificación y ya no se corresponderán con las indicadas en el formulario.
Si tiene preguntas, pregunte, intentaré responder.