Como você sabe, o uso de versões certificadas de software está descrito em vários documentos do regulador. E (infelizmente) isso é dado, com o qual todos vivem. Este artigo não enumera as disposições dos documentos, segundo as quais é necessário o uso de produtos certificados (ou de outra forma "aprovados no procedimento de verificação de conformidade") ou a quantidade de multas por não uso. Em vez disso, serão abordados os problemas típicos que os clientes que precisam usar software certificado contatar o suporte técnico.
Se alguém foi recentemente forçado a mudar para versões certificadas e ainda não completou todos os ancinhos - pedimos um gato.
Como uma introdução. Uma seleção de problemas típicos foi formada na preparação de uma das conferências com base em chamadas para nosso suporte técnico. Portanto, aviso imediatamente que, embora o procedimento de certificação seja o mesmo para todos os participantes do mercado, os exemplos indicarão para qual empresa eles operam. E as nuances têm um lugar para estar. Digamos que as distribuições Doctor Web para produtos certificados de acordo com os requisitos do FSTEC / FSB sejam diferentes (já que as zonas de atualização devem ser diferentes para os mesmos requisitos) e a Kaspersky Lab possui uma única distribuição, aparentemente as zonas de atualização são separadas por outros métodos.
A entrada está concluída, vá para os problemas.
Problema número 1. Você trabalha para ... (nome de um sistema operacional ou produto específico)
Existem vários problemas aqui. Vejamos exemplos.
Para começar, essa seleção de respostas foi feita na véspera da conferência “A prática de implementar o programa de economia digital com base nas soluções Astra Linux”; portanto, em vez das reticências, deveria haver o Astra Linux Special Edition Smolensk versão 1.6. E a versão certificada (e naturalmente também não certificada) funciona nesta versão. Mas os usuários não têm permissão para usá-lo. O fato é que as regras de certificação exigem que os produtos enviados para certificação sejam testados para oferecer suporte a determinados sistemas operacionais. E o formulário incluído na distribuição certificada lista todos esses sistemas operacionais. E se o Astra Linux versão 1.6 não estiver indicado no formulário, você não poderá usá-lo, embora o produto (cujos requisitos de sistema sejam “glibc 2.12 e superior”) funcione totalmente nesta versão.
O suporte para sistemas operacionais que atendem aos requisitos descritos, à medida que se tornam disponíveis, está incluído na lista de suporte no formulário, mas o fabricante simplesmente não pode fazer isso. É necessário passar pelo procedimento de controle de inspeção. E ela não é rápida - bem, não menos que quatro meses.
Nos perguntam: é impossível sincronizar o lançamento do novo sistema operacional e a passagem do IR com antecedência? Infelizmente, não vai funcionar. Como além do Astra Linux mencionado, também precisamos do suporte ao AltLinux, Windows e assim por diante. E suas datas de lançamento, infelizmente, são em momentos diferentes.
Portanto, a recomendação é verificar com antecedência se o sistema operacional escolhido oferece suporte a todos os produtos certificados necessários.
Tudo isso é inconveniente para usuários e fabricantes (os usuários precisam de suporte deles), mas, infelizmente, esse é o procedimento atual.
E às vezes acontece que respondemos à pergunta de um usuário que a versão certificada não suporta esse sistema operacional ou produto. E também aqui, frequentemente, o problema está no procedimento atual. Portanto, todo mundo sabe que o número de distribuições do mesmo Linux é enorme, enquanto o uso de uma distribuição Linux certificada nem sempre é necessário. E o usuário pode facilmente vir com uma solicitação de suporte com uma distribuição rara. E do fabricante para a inclusão de cada versão do sistema operacional ou produto requer dinheiro. E considerável. No total, comparável à receita de vendas de versões certificadas. Portanto, na preparação para a certificação, apenas sistemas operacionais muito populares são incluídos na lista de sistemas suportados. Embora a versão certificada funcione em um número muito maior de produtos.
A situação com a certificação sob os requisitos do Ministério da Defesa é um pouco diferente. Aqui está uma lista de sistemas operacionais e produtos que precisam de suporte e são provenientes do MO Portanto, em resposta à solicitação de suporte de um determinado SO de um usuário, é bem possível que ele responda que esse SO não está incluído na lista de MOs necessários.
Uma situação completamente oposta com o mesmo Windows 10. As compilações deste sistema operacional são, na verdade, sistemas operacionais completamente diferentes. E embora formalmente exista o Windows 10 no formulário, o suporte para a nova compilação será somente após o próximo RI. Sim, pelo menos quatro meses depois, ou até mais tarde.
Muitos estão confiantes de que versões certificadas são benéficas para os fabricantes. Pode ser benéfico para alguém, mas no nível do software de proteção, essa é uma hemorróida rara, tanto para o fabricante quanto para os usuários. Além disso, as hemorróidas são muito, muito caras.
Problema número 2. "Estou atualizado!"
Como você sabe, de acordo com o procedimento atual, o fabricante deve, em caso de vulnerabilidades, atualizar seu software. Há uma emboscada aqui. A atualização é possível apenas através do procedimento de IR. Sim Quatro meses e pague o dinheiro. E se você não lançar uma atualização certificada, seu produto não poderá ser usado.
Bem, então, Yaroslavna está chorando do vendedor. Lançamos a atualização, o usuário deve instalá-la. Você acha que tudo é simples?
Distribuições certificadas não podem ser baixadas gratuitamente. Você precisa comprar um pacote de mídia ou entrar em contato com o suporte técnico - e ainda assim comprar um pacote de mídia. Vamos descobrir o porquê.
Como já mencionado, se um kit de distribuição certificado for urgentemente necessário e for impossível aguardar a entrega de um pacote de mídia, o cliente poderá entrar em contato com o serviço de suporte e solicitar links para baixar versões certificadas e o formulário. O que será fornecido a ele. A solicitação deve ser acompanhada de documentos sobre o pagamento de um pacote de mídia certificado adquirido anteriormente. Por que documentos? Para que o fornecedor esteja convencido de que é o cliente quem solicita os links, e não apenas alguém.
Além de links para distribuições, o suporte técnico enviará links para o formulário e a recomendação do seguinte tipo.
O formulário deve ser impresso, na seção "Marcas Especiais", devem ser feitas anotações sobre a substituição do formulário RU.72110450.00300-10 30 02 por um adesivo holográfico (marca de conformidade do sistema de certificação) pelo formulário atualizado RU.72110450.00300-10 30 02.4.
No formulário substituído RU.72110450.00300-10 30 02, você pode adicionar - “O formulário é cancelado. A marca de certificação de conformidade (adesivo holográfico) é válida. O formulário substituído deve ser mantido junto com o atualizado para preservar a marca de certificação do sistema de certificação.
Isso deve ser feito!
Depois disso, você precisa comprar o pacote de mídia mencionado, pois o software certificado não é apenas a distribuição que você recebeu. O software certificado é:
- passou na verificação de conformidade no Sistema de certificação de meios de proteção de informações, de acordo com os requisitos das normas estaduais e documentos regulamentares sobre proteção de informações;
- certificado para conformidade com os requisitos especificados nesses requisitos. Os certificados mais famosos, mas não os únicos, são os certificados do FSTEC da Rússia e do FSB da Rússia;
- cuja distribuição corresponde à cópia de referência submetida a testes de certificação, confirmada pelas entradas correspondentes na documentação que acompanha o software certificado (formulário) e uma marca holográfica especial de conformidade com um número único que identifica essa cópia no sistema contábil estadual de produtos certificados;
- instalado e configurado de acordo com os parâmetros certificados;
- controlado durante a operação;
- cada cópia certificada, registrada no registro de produtos certificados. O fabricante deve rotular o equipamento de proteção e garantir acesso ilimitado aos funcionários dos órgãos que exercem o controle do equipamento de proteção certificado nas informações contábeis.
O que está incluído no pacote de mídia? Novamente, como exemplo, um pacote de mídia para versões do Dr.Web 11 certificadas pelo FSTEC da Rússia:
- Caixa da empresa (como meio de distribuição);
- Certificado de licença;
- 3 DVDs nos envelopes da empresa com distribuições e documentação certificadas pelo Dr.Web;
- Formulário com um adesivo holográfico, que contém;
- somas de verificação de referência de produtos certificados.
Sim, o adesivo holográfico, que deveria ser colado em um CD, ainda estava vivo.
Mas você não precisa comprar um número de chave / série durante a atualização. A chave (não vou dizer para todos os fornecedores, mas o Doctor Web possui) é a mesma para as versões certificadas e não certificadas. Portanto, se você alternar das versões regulares para as certificadas, não precisará alterar a chave.
Quantos pacotes de mídia são necessários?
- 1 entidade legal = 1 conjunto de mídias;
- Se o cliente tiver várias ramificações remotas, você precisará de quantos conjuntos de mídias houver. Ao verificar pelo regulador, é mais conveniente ter um pacote de mídia certificado.
Não é necessário reinstalar o software já instalado depois de receber o pacote de mídia do DVD.
Problema número 3. Quero testar!
Como mencionado acima - não pode haver versões certificadas no domínio público das distribuições. A chave pode (como mencionado acima) ser usada em uma versão não certificada, mas as próprias distribuições precisam ser solicitadas. Mais uma vez, não digo isso para todos, mas o Doctor Web pode indicar que a versão certificada é necessária ao solicitar uma chave de demonstração. Se houver uma chave, as distribuições poderão ser solicitadas à empresa pela qual você faz compras ou pelo suporte técnico do fornecedor.
Ao fazer o pedido, você precisa especificar o tipo de certificação. Os mais comuns são MO, FSTEC, FSB.
Problema número 4. Como obter atualizações para uma rede fechada?
Não há necessidade de usar um servidor adicional, instale-o fora da rede e transfira atualizações dentro! Um erro comum a propósito. Como regra, os fornecedores têm a oportunidade de baixar atualizações usando um utilitário especial. Novamente, o Doctor Web o possui como parte do ES e você pode solicitar separadamente esse utilitário (drwreploader) do suporte técnico.
Por que preciso de um utilitário? Ao copiar manualmente, arquivos extras que precisam ser excluídos podem se acumular.
Problema número 5. Sobre a assinatura.
Este é um problema específico do AstraLinux. O fato é que, em certos modos de operação, é verificada a presença de pacotes de assinaturas digitais do NPO RusBITech.
Não há necessidade de assinar pacotes certificados novamente! Eles já estão assinados se o suporte ao AstraLinux estiver indicado no formulário. Após a assinatura, as somas de verificação são alteradas e não correspondem mais às indicadas no formulário.
Se você tiver perguntas, pergunte, tentarei responder.