Wie Sie wissen, wird die Verwendung zertifizierter Softwareversionen in verschiedenen Regulierungsdokumenten beschrieben. Und (leider) gegeben, womit jeder lebt. In diesem Artikel werden nicht die Bestimmungen der Dokumente aufgeführt, nach denen zertifizierte Produkte verwendet werden müssen (oder die das Konformitätsprüfungsverfahren anderweitig bestanden haben) oder die Höhe der Geldbußen für die Nichtverwendung. Stattdessen werden typische Probleme behoben, bei denen Kunden, die zertifizierte Software verwenden müssen, den technischen Support kontaktieren.
Wenn jemand kürzlich gezwungen wurde, auf zertifizierte Versionen umzusteigen und noch nicht alle Rechen abgeschlossen hat, bitten wir um eine Katze.
Als Einführung. Eine Auswahl typischer Probleme wurde zur Vorbereitung einer der Konferenzen auf der Grundlage von Aufrufen zu unserem technischen Support gebildet. Daher warne ich sofort, dass die Zertifizierungsverfahren zwar für alle Marktteilnehmer gleich sind, die Beispiele jedoch angeben, für welches Unternehmen sie tätig sind. Und die Nuancen haben einen Platz zu sein. Angenommen, Doctor Web-Distributionen für Produkte, die gemäß den Anforderungen von FSTEC / FSB zertifiziert wurden, sind unterschiedlich (da Update-Zonen für dieselben Anforderungen unterschiedlich sein sollten), und Kaspersky Lab verfügt über eine einzige Distribution, anscheinend werden Update-Zonen durch andere Methoden getrennt.
Der Eintrag ist abgeschlossen, fahren Sie mit den Problemen fort.
Problem Nummer 1. Arbeiten Sie für ... (Name eines bestimmten Betriebssystems oder Produkts)
Hier gibt es mehrere Probleme. Schauen wir uns Beispiele an.
Diese Auswahl der Antworten wurde zunächst am Vorabend der Konferenz „Die Praxis der Implementierung des auf Astra Linux-Lösungen basierenden Programms für digitale Wirtschaft“ getroffen. Anstelle der Auslassungspunkte sollte es also die Astra Linux Special Edition Smolensk Version 1.6 geben. Und die zertifizierte Version (und natürlich auch nicht zertifiziert) funktioniert mit dieser Version. Benutzer dürfen es jedoch nicht verwenden. Tatsache ist, dass nach den Zertifizierungsregeln Produkte, die zur Zertifizierung eingereicht wurden, getestet werden müssen, um bestimmte Betriebssysteme zu unterstützen. Das dem zertifizierten Verteiler beiliegende Formular listet alle diese Betriebssysteme auf. Und wenn Astra Linux Version 1.6 nicht im Formular angegeben ist, können Sie es nicht verwenden, obwohl das Produkt (dessen Systemanforderungen „glibc 2.12 und höher“ sind) in dieser Version vollständig funktioniert.
Die Unterstützung für Betriebssysteme, die die beschriebenen Anforderungen erfüllen, sobald sie verfügbar sind, ist in der Liste der im Formular unterstützten Anforderungen enthalten, der Hersteller kann dies jedoch einfach nicht. Das Inspektionskontrollverfahren muss bestanden werden. Und sie ist nicht schnell - na ja, nicht weniger als vier Monate.
Uns wird die Frage gestellt: Ist es unmöglich, die Veröffentlichung eines neuen Betriebssystems und die Weitergabe von IR im Voraus zu synchronisieren? Leider wird es nicht funktionieren. Da wir neben dem erwähnten Astra Linux auch AltLinux, Windows usw. brauchen. Und ihre Veröffentlichungstermine liegen leider zu unterschiedlichen Zeiten.
Dementsprechend wird empfohlen, im Voraus zu überprüfen, ob das von Ihnen ausgewählte Betriebssystem alle von Ihnen benötigten zertifizierten Produkte unterstützt.
All dies ist sowohl für Benutzer als auch für Hersteller unpraktisch (Benutzer benötigen Unterstützung von ihnen), aber leider ist dies das derzeitige Verfahren.
Und manchmal beantworten wir die Frage eines Benutzers, dass die zertifizierte Version ein solches Betriebssystem oder Produkt nicht unterstützt. Und auch hier liegt das Problem häufig im aktuellen Verfahren. Jeder weiß also, dass die Anzahl der Distributionen desselben Linux enorm ist, während die Verwendung einer zertifizierten Linux-Distribution nicht immer erforderlich ist. Und der Benutzer kann leicht eine Supportanfrage mit einer seltenen Verteilung erhalten. Und vom Hersteller für die Aufnahme jeder Version des Betriebssystems oder Produkts verlangen Geld. Und beträchtlich. Insgesamt vergleichbar mit dem Umsatz zertifizierter Versionen. Zur Vorbereitung auf die Zertifizierung werden daher nur sehr beliebte Betriebssysteme in die Liste der unterstützten Betriebssysteme aufgenommen. Obwohl die zertifizierte Version für eine viel größere Anzahl von Produkten geeignet ist.
Die Situation bei der Zertifizierung nach den Anforderungen des Verteidigungsministeriums ist etwas anders. Hier ist eine Liste der Betriebssysteme und Produkte, die unterstützt werden müssen und vom MO stammen. Als Antwort auf die Anfrage eines Benutzers nach Unterstützung eines bestimmten Betriebssystems wird ihm möglicherweise geantwortet, dass dieses Betriebssystem nicht in der Liste der erforderlichen MOs enthalten ist.
Eine völlig entgegengesetzte Situation mit demselben Windows 10. Builds dieses Betriebssystems sind in der Tat völlig andere Betriebssysteme. Und obwohl das Formular formal Windows 10 enthält, wird die Unterstützung für den neuen Build erst nach dem nächsten IR erfolgen. Ja, mindestens vier Monate später oder sogar später.
Viele sind zuversichtlich, dass zertifizierte Versionen für Hersteller von Vorteil sind. Es mag für jemanden von Vorteil sein, aber auf der Ebene der Schutzsoftware ist dies eine seltene Hämorrhoide sowohl für den Hersteller als auch für die Benutzer. Darüber hinaus sind Hämorrhoiden sehr, sehr teuer.
Problem Nummer 2. "Ich bin aktualisiert!"
Wie Sie wissen, muss der Hersteller nach dem aktuellen Verfahren im Falle von Sicherheitslücken seine Software aktualisieren. Hier gibt es einen Hinterhalt. Eine Aktualisierung ist nur über das IR-Verfahren möglich. Ja. Vier Monate und das Geld bezahlen. Wenn Sie kein zertifiziertes Update veröffentlichen, kann Ihr Produkt nicht verwendet werden.
Na dann, Jaroslawna weint vor dem Verkäufer. Wir haben das Update veröffentlicht, der Benutzer muss es installieren. Sie denken, alles ist einfach?
Zertifizierte Distributionen können nicht frei heruntergeladen werden. Sie müssen entweder ein Medienpaket kaufen oder sich an den technischen Support wenden - und dann trotzdem ein Medienpaket kaufen. Lassen Sie uns herausfinden, warum.
Wie bereits erwähnt, kann der Kunde den Support-Service kontaktieren und Links zum Herunterladen zertifizierter Versionen und des Formulars anfordern, wenn eine zertifizierte Distribution dringend benötigt wird und es nicht möglich ist, auf die Lieferung eines Medienpakets zu warten. Welches wird ihm zur Verfügung gestellt. Der Anfrage müssen Unterlagen über die Zahlung eines zuvor gekauften zertifizierten Medienpakets beigefügt sein. Warum Dokumente? Damit der Anbieter davon überzeugt ist, dass der Kunde die Links anfordert und nicht irgendjemand.
Zusätzlich zu Links zu Distributionen sendet der technische Support Links zu Formularen und Empfehlungen des folgenden Typs.
Das Formular sollte ausgedruckt werden. Im Abschnitt „Sonderzeichen“ sollten Hinweise zum Ersetzen des Formulars RU.72110450.00300-10 30 02 durch einen holographischen Aufkleber (Konformitätszeichen des Zertifizierungssystems) mit dem aktualisierten Formular RU.72110450.00300-10 30 02 rev. 4 gemacht werden.
Auf dem ersetzten Formular RU.72110450.00300-10 30 02 können Sie hinzufügen: „Das Formular wird storniert. Das Konformitätszeichen (holographischer Aufkleber) ist gültig. Das ersetzte Formular sollte zusammen mit dem aktualisierten aufbewahrt werden, um das Zertifizierungszeichen des Zertifizierungssystems zu erhalten.
Das muss gemacht werden!
Danach müssen Sie das erwähnte Medienpaket kaufen, da zertifizierte Software nicht nur die Distribution ist, die Sie erhalten haben. Zertifizierte Software ist:
- bestandene Überprüfung der Einhaltung des Systems zur Zertifizierung von Informationsschutzmitteln gemäß den Anforderungen staatlicher Standards und behördlicher Dokumente zum Informationsschutz;
- zertifiziert für die Einhaltung der in diesen Anforderungen festgelegten Anforderungen. Die bekanntesten, aber nicht die einzigen Zertifikate sind Zertifikate des FSTEC von Russland und des FSB von Russland.
- deren Verteilung der Referenzkopie entspricht, die Zertifizierungsprüfungen unterzogen wurde, was durch die entsprechenden Einträge in der Begleitdokumentation für zertifizierte Software (Formular) bestätigt wird, und einem speziellen holographischen Konformitätszeichen mit einer eindeutigen Nummer, die diese Kopie im staatlichen Rechnungsführungssystem für zertifizierte Produkte kennzeichnet;
- installiert und konfiguriert gemäß zertifizierten Parametern;
- während des Betriebs gesteuert;
- jede beglaubigte Kopie, die im Register der zertifizierten Produkte eingetragen ist. Der Hersteller muss die Schutzausrüstung kennzeichnen und den Beamten der Stellen, die die Kontrolle über zertifizierte Schutzausrüstung ausüben, ungehinderten Zugang zu Buchhaltungsinformationen gewährleisten.
Was ist im Medienpaket enthalten? Wieder ein Beispiel für ein Medienpaket für Versionen von Dr.Web 11, das von der FSTEC von Russland zertifiziert wurde:
- Firmenbox (als Vertriebsmittel);
- Lizenzzertifikat;
- 3 DVDs in Firmenumschlägen mit zertifizierten Dr.Web-Distributionen und -Dokumentationen;
- Form mit einem holographischen Aufkleber, der enthält;
- Referenzprüfsummen zertifizierter Produkte.
Ja, der holografische Aufkleber, der auf eine CD geklebt werden sollte, lebte noch.
Sie müssen jedoch während des Upgrades keinen Schlüssel / keine Seriennummer kaufen. Der Schlüssel (ich werde nicht für alle Anbieter sagen, aber Doctor Web hat ihn) ist für zertifizierte und nicht zertifizierte Versionen gleich. Wenn Sie also von einer regulären zu einer zertifizierten Version wechseln, müssen Sie den Schlüssel nicht ändern.
Wie viele Medienpakete werden benötigt?
- 1 juristische Person = 1 Mediensatz;
- Wenn der Client mehrere Remote-Zweige hat, benötigen Sie so viele Mediensätze, wie es Zweige gibt. Bei der Überprüfung durch die Aufsichtsbehörde ist es bequemer, ein zertifiziertes Medienpaket vor Ort zu haben.
Es ist nicht erforderlich, die bereits installierte Software nach Erhalt des Medienpakets von der DVD neu zu installieren.
Problem Nummer 3. Ich möchte testen!
Wie oben erwähnt, kann es keine zertifizierten Versionen im öffentlichen Bereich von Distributionen geben. Der Schlüssel kann (wie oben erwähnt) aus einer nicht zertifizierten Version verwendet werden, die Distributionen selbst müssen jedoch angefordert werden. Auch hier werde ich es nicht für alle sagen, aber Doctor Web kann angeben, dass die zertifizierte Version erforderlich ist, wenn Sie einen Demo-Schlüssel bestellen. Wenn es einen Schlüssel gibt, können Verteilungen entweder von dem Unternehmen angefordert werden, über das Sie Einkäufe tätigen, oder über den technischen Support des Anbieters.
Bei der Bestellung müssen Sie die Art der Zertifizierung angeben. Am häufigsten sind MO, FSTEC, FSB.
Problem Nummer 4. Wie erhalte ich Updates für ein geschlossenes Netzwerk?
Sie müssen keinen zusätzlichen Server verwenden, ihn außerhalb des Netzwerks installieren und Updates innerhalb des Netzwerks übertragen! Ein häufiger Fehler übrigens. Anbieter haben in der Regel die Möglichkeit, Updates mit einem speziellen Dienstprogramm herunterzuladen. Auch hier hat Doctor Web es als Teil von ES und Sie können dieses Dienstprogramm (drwreploader) separat vom technischen Support anfordern.
Warum brauche ich ein Dienstprogramm? Beim manuellen Kopieren können sich zusätzliche Dateien ansammeln, die gelöscht werden müssen.
Problem Nummer 5. Über die Signatur.
Dies ist ein spezifisches AstraLinux-Problem. Tatsache ist, dass in bestimmten Betriebsarten das Vorhandensein digitaler Signaturpakete von NPO RusBITech überprüft wird.
Sie müssen keine zertifizierten Pakete erneut unterschreiben! Sie sind bereits signiert, wenn auf dem Formular die AstraLinux-Unterstützung angegeben ist. Nach der Unterschrift werden die Prüfsummen geändert und entsprechen nicht mehr den im Formular angegebenen.
Wenn Sie Fragen haben, fragen Sie, ich werde versuchen zu beantworten.