Comme vous le savez, l'utilisation de versions certifiées de logiciels est expliquée dans divers documents de réglementation. Et (malheureusement) cette donnée, avec laquelle tout le monde vit. Cet article n'énumérera pas les dispositions des documents, selon lesquelles il est nécessaire d'utiliser des produits certifiés (ou autrement «passés la procédure de contrôle de conformité») ou le montant des amendes pour non-utilisation. Au lieu de cela, les problèmes typiques que les clients qui doivent utiliser un logiciel certifié contactent le support technique seront résolus.
Si quelqu'un a récemment été contraint de passer à des versions certifiées et n'a pas encore terminé tous les râteaux - nous demandons un chat.
En introduction. Une sélection de problèmes typiques a été formée en préparation de l'une des conférences sur la base d'appels à notre support technique. Par conséquent, je préviens immédiatement que bien que la procédure de certification soit la même pour tous les acteurs du marché, les exemples indiqueront pour quelle entreprise ils opèrent. Et les nuances ont leur place. Disons que les distributions de Doctor Web pour les produits certifiés selon les exigences du FSTEC / FSB sont différentes (puisque les zones de mise à jour devraient être différentes pour les mêmes exigences), et Kaspersky Lab a une distribution unique, les zones de mise à jour sont apparemment séparées par d'autres méthodes.
L'entrée est terminée, passez aux problèmes.
Problème numéro 1. Travaillez-vous pour ... (nom d'un système d'exploitation ou d'un produit spécifique)
Il y a plusieurs problèmes ici. Regardons des exemples.
Pour commencer, cette sélection de réponses a été faite à la veille de la conférence «La pratique de la mise en œuvre du programme d'économie numérique basée sur les solutions Astra Linux», donc au lieu des points de suspension, il aurait dû y avoir Astra Linux Special Edition Smolensk version 1.6. Et la version certifiée (et naturellement non certifiée aussi) fonctionne sur cette version. Mais les utilisateurs ne sont pas autorisés à l'utiliser. Le fait est que les règles de certification exigent que les produits soumis à la certification soient testés pour prendre en charge certains systèmes d'exploitation. Et le formulaire joint à la distribution certifiée répertorie tous ces systèmes d'exploitation. Et si Astra Linux version 1.6 n'est pas indiqué dans le formulaire, vous ne pouvez pas l'utiliser, bien que le produit (dont la configuration système requise soit «glibc 2.12 et supérieure») fonctionne entièrement sur cette version.
La prise en charge des systèmes d'exploitation qui répondent aux exigences décrites, à mesure qu'elles deviennent disponibles, est incluse dans la liste des prises en charge dans le formulaire, mais le fabricant ne peut tout simplement pas le faire. Il est nécessaire de passer par la procédure de contrôle d'inspection. Et elle n'est pas rapide - enfin, pas moins de quatre mois.
On nous pose la question - est-il impossible de synchroniser à l'avance la sortie du nouvel OS et le passage des IR? Hélas, cela ne fonctionnera pas. Depuis outre Astra Linux mentionné, nous avons également besoin du support AltLinux, Windows et ainsi de suite. Et leurs dates de sortie, hélas, sont à des moments différents.
Par conséquent, il est recommandé de vérifier à l'avance que le système d'exploitation que vous avez choisi prend en charge tous les produits certifiés dont vous avez besoin.
Tout cela est gênant pour les utilisateurs et les fabricants (les utilisateurs ont besoin de leur soutien), mais, hélas, c'est la procédure actuelle.
Et il arrive parfois que nous répondions à la question d'un utilisateur que la version certifiée ne prend pas en charge un tel système d'exploitation ou produit. Et là aussi, souvent, le problème se situe dans la procédure actuelle. Donc, tout le monde sait que le nombre de distributions d'un même Linux est énorme, alors que l'utilisation d'une distribution Linux certifiée n'est pas toujours nécessaire. Et l'utilisateur peut facilement venir avec une demande d'assistance avec une distribution rare. Et du fabricant pour l'inclusion de chaque version du système d'exploitation ou du produit nécessitent de l'argent. Et considérable. Au total, comparable au chiffre d'affaires des versions certifiées. Par conséquent, en préparation de la certification, seuls les systèmes d'exploitation très populaires sont inclus dans la liste des systèmes d'exploitation pris en charge. Bien que la version certifiée fonctionnera sur un plus grand nombre de produits.
La situation de la certification selon les exigences du ministère de la Défense est légèrement différente. Voici une liste des systèmes d'exploitation et des produits qui doivent être pris en charge, provenant du MO. Par conséquent, en réponse à la demande d'un utilisateur pour la prise en charge d'un certain système d'exploitation, il se peut bien que l'on réponde que ce système d'exploitation ne figure pas dans la liste des OM requis.
Une situation complètement opposée avec le même Windows 10. Les versions de cet OS sont en fait des OS complètement différents. Et bien que Windows 10 soit officiellement dans le formulaire, la prise en charge de la nouvelle version ne se fera qu'après le prochain IR. Oui, au moins quatre mois plus tard, voire plus tard.
Beaucoup sont convaincus que les versions certifiées sont avantageuses pour les fabricants. Il peut être bénéfique pour quelqu'un, mais au niveau des logiciels de protection, il s'agit d'une hémorroïde rare pour le fabricant et les utilisateurs. De plus, les hémorroïdes sont très, très chères.
Problème numéro 2. "Je suis à jour!"
Comme vous le savez, selon la procédure actuelle, le constructeur doit, en cas de vulnérabilités, mettre à jour son logiciel. Il y a une embuscade ici. La mise à jour n'est possible que par la procédure IR. Ouais. Quatre mois et payer l'argent. Et si vous ne publiez pas de mise à jour certifiée, votre produit ne peut pas être utilisé.
Eh bien, Yaroslavna pleure du vendeur. Nous avons publié la mise à jour, l'utilisateur doit l'installer. Vous pensez que tout est simple?
Les distributions certifiées ne peuvent pas être téléchargées gratuitement. Vous devez soit acheter un package multimédia, soit contacter le support technique, puis acheter un package multimédia. Voyons pourquoi.
Comme déjà mentionné, si un kit de distribution certifié est requis de toute urgence et qu'il est impossible d'attendre la livraison d'un package multimédia, le client peut contacter le service d'assistance et demander des liens pour télécharger les versions certifiées et le formulaire. Qui lui sera fourni. La demande doit être accompagnée de documents sur le paiement d'un pack média certifié précédemment acheté. Pourquoi des documents? Pour que le vendeur soit convaincu que c'est le client qui demande les liens, et pas n'importe qui.
En plus des liens vers les distributions, le support technique enverra des liens vers le formulaire et la recommandation du type suivant.
Le formulaire doit être imprimé, dans la section «Marques spéciales», des notes doivent être prises pour remplacer le formulaire RU.72110450.00300-10 30 02 par un autocollant holographique (marque de conformité du système de certification) par le formulaire mis à jour RU.72110450.00300-10 30 02 amend.4.
Sur le formulaire remplacé RU.72110450.00300-10 30 02, vous pouvez ajouter - «Le formulaire est annulé. La marque de certification de conformité (autocollant holographique) est valable. Le formulaire remplacé doit être conservé avec le formulaire mis à jour afin de conserver la marque de certification du système de certification.
Cela doit être fait!
Après cela, vous devez acheter le package multimédia mentionné, car le logiciel certifié n'est pas seulement la distribution que vous avez reçue. Un logiciel certifié est:
- passé la vérification de la conformité au Système de certification des moyens de protection des informations conformément aux exigences des normes étatiques et des documents réglementaires sur la protection des informations;
- certifié pour la conformité aux exigences spécifiées dans ces exigences. Les certificats les plus célèbres, mais pas les seuls, sont les certificats du FSTEC de Russie et du FSB de Russie;
- dont la distribution correspond à la copie de référence qui a subi des tests de certification, ce qui est confirmé par les entrées correspondantes dans la documentation d'accompagnement pour les logiciels certifiés (formulaire), et une marque holographique spéciale de conformité avec un numéro unique qui identifie cette copie dans le système de comptabilité d'État des produits certifiés;
- installé et configuré conformément aux paramètres certifiés;
- contrôlé pendant le fonctionnement;
- chaque copie certifiée, qui est enregistrée dans le registre des produits certifiés. Le fabricant doit étiqueter les équipements de protection et garantir un accès sans entrave aux responsables des organismes exerçant le contrôle des équipements de protection certifiés aux informations comptables.
Qu'est-ce qui est inclus dans le dossier média? Encore une fois, à titre d'exemple, un package média pour les versions de Dr.Web 11 certifiées par le FSTEC de Russie:
- Boîte d'entreprise (comme moyen de distribution);
- Certificat de licence;
- 3 DVD dans des enveloppes d'entreprise avec des distributions et de la documentation certifiées Dr.Web;
- Formulaire avec un autocollant holographique, qui contient;
- références de contrôle des produits certifiés.
Oui, l'autocollant holographique, qui devait être collé sur un CD, était toujours vivant.
Mais vous n'avez pas besoin d'acheter de clé / numéro de série lors de la mise à niveau. La clé (je ne dirai pas pour tous les fournisseurs, mais Doctor Web l'a) est la même pour les versions certifiées et non certifiées. Ainsi, si vous passez des versions standard aux versions certifiées, vous n'avez pas besoin de changer la clé.
Combien de packages multimédias sont nécessaires?
- 1 entité juridique = 1 jeu de médias;
- Si le client a plusieurs branches distantes, vous avez besoin d'autant de jeux de médias qu'il y a de branches. Lors de la vérification par le régulateur, il est plus pratique d'avoir en place un ensemble de supports certifiés.
Il n'est pas nécessaire de réinstaller le logiciel déjà installé après avoir reçu le package multimédia du DVD.
Problème numéro 3. Je veux tester!
Comme mentionné ci-dessus - il ne peut y avoir de versions certifiées dans le domaine public des distributions. La clé peut (comme mentionné ci-dessus) être utilisée à partir d'une version non certifiée, mais les distributions elles-mêmes doivent être demandées. Encore une fois, je ne le dirai pas à tout le monde, mais Doctor Web peut indiquer que la version certifiée est requise lors de la commande d'une clé de démonstration. S'il existe une clé, les distributions peuvent être demandées soit auprès de la société par l'intermédiaire de laquelle vous effectuez des achats, soit auprès du support technique du fournisseur.
Lors de la commande, vous devez spécifier le type de certification. Les plus courants sont MO, FSTEC, FSB.
Problème numéro 4. Comment obtenir des mises à jour pour un réseau fermé?
Pas besoin d'utiliser un serveur supplémentaire, installez-le en dehors du réseau et transférez les mises à jour à l'intérieur! Une erreur courante d'ailleurs. En règle générale, les fournisseurs ont la possibilité de télécharger des mises à jour à l'aide d'un utilitaire spécial. Encore une fois, Doctor Web l'a intégré à ES et vous pouvez demander séparément cet utilitaire (drwreploader) au support technique.
Pourquoi ai-je besoin d'un utilitaire? Lors de la copie manuelle, des fichiers supplémentaires qui doivent être supprimés peuvent s'accumuler.
Problème numéro 5. À propos de la signature.
Il s'agit d'un problème spécifique à AstraLinux. Le fait est que dans certains modes de fonctionnement, la présence de packages de signature numérique de NPO RusBITech est vérifiée.
Plus besoin de signer à nouveau des colis certifiés! Ils sont déjà signés si le support AstraLinux est indiqué sur le formulaire. Après la signature, les sommes de contrôle sont modifiées et ne correspondront plus à celles indiquées dans le formulaire.
Si vous avez des questions, demandez, je vais essayer de répondre.