Какое программное обеспечение имеющее сертификаты фстэк. Сертифицированное программное обеспечение. Серверные операционные системы

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации, однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

02.08.2011 Алексей Марков, Валентин Цирлов

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации. Например, за рубежом обязательную проверку проходят государственные и платежные программные системы, а в России преобладают директивные методы сертификации по требованиям безопасности информации. Однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

На Западе обязательные проверки предусмотрены для государственных и платежных программных систем, а банки, брокерские, инвестиционные, страховыеи сервисные компании, предоставляющие услуги в индустрии недвижимости и в Интернете, проходят добровольный аудит. В нашей стране традиционно преобладают директивные методы оценки соответствия, в частности программное обеспечение ряда информационных систем подлежит обязательной сертификации по требованиям безопасности информации.

Исторически система сертификации по требованиям безопасности информации в России возникла после распада СССР, когда появилась потребность в контроле безопасности зарубежного программного обеспечения, а также качества российских программных систем, связанных с обработкой и защитой государственной тайны. Активными участниками процесса сертификации стали Минобороны, ФСБ и ФСТЭК.

До недавнего времени сертификация главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, аосновная масса специалистов в области информационных технологий мало интересовалась данной проблемой. Ситуация значительно изменилась с принятием ФЗ-152 «О персональных данных» и последовавших за ним нормативно-методических документов. Оказалось, что сертификация программного обеспечения и аттестация объектов информатизации необходима большинству коммерческих компаний и всем государственным организациям, работающим в области медицины, образования, транспорта. Это немедленно породило множество вопросов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации.

В общем случае под сертификацией принято понимать независимое подтверждение соответствия тех или иных характеристик товаров или услуг некоторым требованиям. В нашем случае речь идет о программных средствах защиты или программ в защищенном исполнении – соответственно в качестве требований выступают нормативные документы и документация, касающаяся безопасности информации.

Как проводится сертификация?

Принципиальная особенность любых сертификационных испытаний - это независимость испытательной лаборатории, проводящей испытания, и сертифицирующей организации, осуществляющей независимый контроль результатов испытаний, проведенных лабораторией. В общем случае схема проведения сертификации выглядит следующим образом.

1. Заявитель (разработчик либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган (ФСБ, ФСТЭК или Минобороны) по сертификации заявку на проведение сертификационных испытаний некоторого продукта.
2. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации.
3. Испытательная лаборатория совместно с заявителем проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке, что и происходит в большинстве случаев, либо может быть принято решение об изменении требований к продукту, например о снижении класса защищенности. Возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом. Наиболее нашумевшим в прессе примером можно назвать случай, когда испытательная лаборатория НИИ ВМФ после года проверок выдала отрицательное сертификационное заключение на программные изделия специального назначения. Известны как минимум пять случаев, когда определенные версии ОС и СУБД не смогли получить сертификат на отсутствие недекларированных возможностей по причине потери части исходного кода старых модулей. Если посмотреть реестр ФСТЭК, то можно заметить, что ряд программных систем защиты (например, СУБД Oracle и система безопасности приложений IBM Guardium) получили сертификаты лишь на соответствие ТУ, а не на соответствие руководящему документу Гостехкомиссии - это значит, что орган по сертификации посчитал, что не все требования руководящего документа подтверждены при испытаниях.
4. Материалы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в экспертизе участвуют не менее двух экспертов, которые независимо друг от друга подтверждают корректность и полноту проведения испытаний.
5. Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия. Надо сказать, что в случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов.

В системах обязательной сертификации имеется практика отзыва и приостановления лицензий и аттестатов аккредитаций в случае выявления грубых нарушений в процессе сертификации. Были случаи, когда под сомнение на продолжение деятельности подпали три лаборатории и орган по сертификации, в результате чего две организации прекратили дальнейшую активность в области сертификации. Кроме того, в случае возникновения инцидентов на объектах информатизации, связанных с утечкой информации, регулирующие органы могут проинспектировать лабораторию, которая проводила испытания.

Системы сертификации и требования

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании». Сертификация средств защиты информации может быть добровольной или обязательной - проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются.

Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации – и соответственно два типа нормативных документов.

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).
2. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей. Делается исключение для систем обработки персональных данных второго и третьего класса с целью снижения затрат на защиту информации для небольших частных организаций. Если программное средство не имеет каких-либо механизмов защиты информации, оно может быть сертифицировано только на предмет отсутствия недекларированных возможностей.

Мифология вокруг сертификации

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft - Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения - успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Будущее сертификации

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» - с другой.

Алексей Марков ([email protected]), Валентин Цирлов - сотрудники НПО «Эшелон» (Москва).

Операционные системы "Microsoft Windows 8.1", "Microsoft Windows 8.1 Профессиональная", "Microsoft Windows 8.1 Корпоративная"

Сертификат № 3263

07.11.2014 07.11.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.

Операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная"

Сертификат № 2180/1

04.10.2011 04.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:

Серверные операционные системы

Программный комплекс "Microsoft Windows Server 2012 Standard"

Сертификат № 2949

06.09.2013 05.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-002-82487552-2013 01 St ФО и 501110-002-82487552-2013 02 St ФО.

Ограничения по применению

1. Программный комплекс "Microsoft Windows Server 2012 Standard" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
2. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2012 Datacenter"

Сертификат № 2950

06.09.2013 06.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2012 Datacenter" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition"

Сертификат № 1928

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Standard Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Сертификат № 1928/1

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition"

Сертификат № 1929

27.10.2009 26.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Сертификат № 1929/1

14.05.2010 14.05.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно. серия ЗАО "Документальные системы"

Операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter

Сертификат № 2181/1

13.10.2011 13.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:
1.Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2.Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3.На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition"

Сертификат № 1930

29.10.2009 28.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ЗАО "Документальные системы"

СУБД

Система управления базами данных Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

Сертификат № 3518

15.02.2016 15.02.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ООО "Научно-производственное объединение вычислительных систем"

Система управления базами данных Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Сертификат № 2967

18.09.2013 18.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ЗАО "Документальные системы"

Офисные программные комплексы

Программный комплекс Microsoft Office. Professional Plus 2016

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. серия ЗАО "КЛИО"

Программный комплекс Microsoft Office. Professional Plus 2013

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ 5029-007-82487522-2013 серия ЗАО "Королевская лаборатория информационных объектов"

Программный комплекс Microsoft Office. Standard 2007

Сертификат № 1923

13.10.2009 13.10.2018 Программное средство общего назначения со встроенными стредствами защиты от несанкционированного доступа к информации

Соответствует ЗБ "Microsoft Office Standard 2007. Задание по безопасности. MS.Office_ST_2007.ЗБ. Версия 1.0", имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при выполнении ограничений.

Ограничения по применению:

• При использовании программного комплекса должны соблюдаться условия, определенные для среды функционирования в задании по безопасности MS.Office 2007.ЗБ.
• Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководством по безопасной настройке программного комплекса".
• Программный комплекс "Microsoft®Office. Standard 2007" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
• На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ООО "ЦБИ"

Межсетевые экраны и шлюзы

Программный комплекс UserGate UTM

Сертификат № 3905

23.03.2018 23.03.2021 Программно-техническое средство защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну Соответствует:
Требования к межсетевым экранам” (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.П3”. (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ”. (ФСТЭК России, 2016);
Требования к системам обнаружения вторжений" (ФСТЭК России, 2011);
Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.П3” (ФСТЭК России, 2012).
Может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г и информационных системах персональных данных (ИСПДн) и государственных информационных системах (ГИС) до 1 класса (уровня) защищенности включительно. Во исполнение требований ФСТЭК при сертификации пройден контроль отсутствия недекларированных возможностей по 4 уровню контроля. Серия АО "НПО "Эшелон"

Средства контроля доступа

Программный комплекс DeviceLock 8 DLP Suite

Сертификат № 3465

05.11.2015 05.11.2023 Программный комплекс, предназначенный для защиты информации от утечек, осуществляющий контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. Программный комплекс соответствует требованиям документов "Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России", утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 – по 4 классу защиты и "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)" (ФСТЭК России, 2014), руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999). Серия ООО "ЦБИ"

Средства резервного копирования и восстановления

Программный комплекс Acronis Backup & Recovery 11. Advanced Workstation

Сертификат № 2678

Программный комплекс Acronis Backup & Recovery 11. Advanced Server

Сертификат № 2677

16.07.2012 16.07.2021 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющее государственную тайну Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий, а также может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 1 класса включительно. Серия ООО "ЦБИ"

Антивирусные средства

Средства уничтожения данных и контроля удаления информации

Средства анализа защищенности

Програмнный комплекс Средство анализа защищенности RedCheck

Сертификат № 3172

23.06.2014 23.06.2020 Современное средство анализа защищенности, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий. серия ООО "ЦБИ"

Средства виртуализации

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну Соответствует требованиям технических условий при выполнении указаний по эксплуатации, приведенной в формуляре АЛМЮ.501000.ВМС06-01.30. серия ООО "ЦБИ"

Программный комплекс VMware Horizon 6 (в редакциях Standard, Advanced и Enterprise)

Сертификат № 3660

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ при выполнении указаний по эксплуатации, приведенных в формуляре АЛМЮ.501000.ВМХ06-01.30. серия ООО "ЦБИ"

Microsoft — транснациональная компания по производству проприетарного программного обеспечения для различного рода вычислительной техники - персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы - семейства операционных систем Windows.

Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т.д.). Продукция Microsoft продаётся более чем в 80 странах мира, программы переведены более чем на 45 языков.

Пользовательсткие ОС

Windows 7 - пользовательская операционная система семейства Windows NT.
В этой операционной системе реализована поддержка Unicode 5.1
Данная ОС обладает поддержкой мультитач-управления
Windows 7 поддерживает псевдонимы для папок на внутреннем уровне. Дополнительным преимуществом Windows 7 можно считать более тесную интеграцию с производителями драйверов. Большинство драйверов определяются автоматически.
В Windows 7 была также улучшена совместимость со старыми приложениями, некоторые из которых было невозможно запустить на Windows Vista. Особенно это касается старых игр, разработанных под Windows XP. Также в Windows 7 появился режим Windows XP Mode, позволяющий запускать старые приложения ввиртуальной машине Windows XP, что обеспечивает практически полную поддержку старых приложений.
Функция Удалённого рабочего стола также претерпела изменения. Была введена поддержка интерфейса Aero Peek, Direct 2D и Direct3D 10.1, поддержка нескольких мониторов, расширений мультимедиа, DirectShow, а также возможность воспроизведения звука с низкими задержками.
Сетевая технология Branch Cache позволяет кешировать содержимое интернет-трафика. Если пользователю в локальной сети потребуется файл, который уже был загружен кем-то из пользователей его сети, - он сможет получить его из локального кэш-хранилища, а не использовать канал с ограниченной пропускной способностью. Технология рассчитана на крупные сети и предлагается для внедрения на предприятиях в составе Корпоративной и Максимальной версий ОС.
Windows AIK, с помощью которого можно создавать образ с любыми конфигурациями и настройками. Таким образом можно в Windows 7 Добавить поддержку USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5 по умолчанию.
Windows 7 также получила OEM-поддержку UEFI, а также поддержку UEFI в Retail-образах Windows 7 SP1. При желании можно записать UEFI-установщик Windows 7 на USB-накопитель. Так же можно опять же самому с помощью Windows AIK добавить поддержку UEFI целиком. Однако внимательно читайте лицензионное соглашение, не всем пользователям подобные модификации разрешены.
В Windows 7 реализована более гибкая настройка User Account Control (UAC), которая в отличие от Windows Vista имеет ещё два промежуточных состояния - «Уведомлять, только при попытках программ внести изменения в компьютер» (положение по умолчанию), «Уведомлять, только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)».
Внесены изменения в технологию шифрования BitLocker и добавлена функция шифрования съёмных носителей BitLocker to go, позволяющая шифровать съёмные носители, причём даже при отсутствии модуля TPM.
Добавлена возможность защиты данных на USB-накопителях с помощью Enhanced Storage .
Улучшения коснулись и брандмауэра Windows: вернулась функция уведомления пользователя о блокировке программы, которая пытается получить доступ к сети.
С помощью групповой политики и функции AppLocker можно запретить запуск определенных приложений.
Функция DirectAccess позволяет устанавливать безопасное соединение с сервером в фоновом режиме, в отличие от VPN, которому требуется участие пользователя. Также DirectAccess может применять групповые политики до входа пользователя в систему.

Пакет обновления 1 (SP1) для Windows 7 - это обновление, содержащее ранее выпущенные обновления для системы безопасности, обеспечения производительности и стабильности работы Windows 7. Кроме того, в состав пакета обновления 1 входят новые улучшения компонентов и служб в Windows 7, например повышенная надежность подключений к звуковым устройствам HDMI, печать с помощью средства просмотра XPS и восстановление более ранних версий папок в проводнике ОС Windows после перезапуска.

OEM -версия программного обеспечения предназначена только для сборщиков персональных компьютеров и серверов.
— Согласно лицензии «Сборщик систем» - это изготовитель оборудования, сборщик, лицо, производящее доводку и обновление или лицо, производящее предустановку программного обеспечения на компьютеры для продажи полностью собранной системы/систем третьему лицу.
— Производить вскрытие упаковки ОЕМ-версии программного продукта Microsoft и установку ее на компьютер могут только сборщики систем, которые при этом связаны соглашением «Лицензия корпорации Майкрософт для сборщика систем». В случае если конечному пользователю в магазине продали ОЕМ-версию, рекомендуется, не вскрывая упаковку, вернуть ее в магазин.
— Компьютер с установленной ОЕМ-версией запрещается сдавать в аренду или временное пользование.
— Основной отличительной особенностью OEM-версий является то, что они «привязаны» к компьютеру, на который были первоначально установлены и не могут быть перенесены на заменяющий компьютер или любой другой ПК. Термин «персональный компьютер» означает полностью собранную компьютерную систему, включающую по крайней мере центральный процессор, материнскую плату, жесткий диск, блок питания и корпус. Необходимым подтверждением лицензионных прав пользователя является сертификат подлинности, наклеенный на корпус ПК. Для дополнительного подтверждения лицензионных прав и целей бухгалтерского учёта настоятельно рекомендуется сохранять упаковку, информационные носители (диски с голограммой, если они есть в составе продукта) и документы, подтверждающие покупку.

Средство защиты информации Secure Pack Rus версия 3.0 (СЗИ SPR 3.0) является сервисным пакетом для операционных систем семейства Microsoft Windows и позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2 и АК3.

Windows 8 - операционная система, принадлежащая к семейству ОС Microsoft Windows, в линейке следующая за Windows 7 и разработанная транснациональной корпорацией Microsoft. Серверной версией является Windows Server 2012.
Основные нововведения:
— Учетная запись Майкрософт и синхронизация параметров
— Магазин приложений Windows Store
— Internet Explorer 10
— Восстановление для Windows возвращает все системные файлы в исходное состояние, сохраняя при этом все настройки, пользовательские файлы и приложения
— Сброс для Windows возвращает компьютер к заводским настройкам
— Новый диспетчер задач
— Добавлена поддержка USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5
— Усовершенствованный поиск

Windows 8.1 - операционная система семейства Windows NT, производства корпорации Microsoft, следующая по времени выхода за Windows 8 и до Windows 10. Предназначена для рабочих станций, персональных компьютеров и портативных устройств; версия, предназначенная для решения серверных задач - Windows Server 2012 R2. По сравнению с Windows 8 имеет ряд обновлений и улучшений, направленных на облегчение работы с графическим интерфейсом. Windows 8.1, так же как и Windows 8, ориентирована на сенсорные ПК, но не исключает возможности использования на классических ПК.
Ключевые нововведения:
— Улучшения Metro-интерфейса
— Версия ядра NT - 6.3
— Улучшение в области энергопотребления
— Поддержка DirectX 11.2
— Поддержка 3D принтеров
— Поддержка биометрических устройств

CRM-системы

Microsoft Dynamics для планирования ресурсов предприятия (ERP) предоставляет компании (малого, среднего или крупного бизнеса) средства для управления всей организацией, начиная с цепочки поставок, закупок и управления персоналом и заканчивая финансами и проектами совместной работы. Она включает мощные возможности для операционного менеджмента, реализации отраслевой специфики, а также решения всего комплекса административных задач в области управления финансами и персоналом. Благодаря таким возможностям руководители всех уровней могут предвидеть изменения и предпринимать соответствующие меры, обеспечивающие эффективное развитие вашего бизнеса. Это единое мощное ERP решение по управлению корпоративными ресурсами для крупных международных, федеральных и государственных корпораций, а также — динамично растущего среднего бизнеса, которое помогает компаниям перейти на более высокий уровень управления бизнесом, повысить его операционную эффективность и найти новые возможности для развития – за счет интеграции индустриальных решений, вовлечения всех сотрудников к решению актуальных задач, стоящих перед бизнесом, а также – отличного масштабирования в решениях задач любого уровня сложности.

Microsoft Dynamics CRM – это пакет программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).
Dynamics CRM является клиент-серверным приложением. Это веб-приложение на основе IIS поддерживает множественные интерфейсы веб-сервисов. Клиенты получают доступ к Dynamics CRM через браузер, клиентский плагин к Microsoft Outlook или через планшеты и мобильные устройства. Кроме Internet Explorer, Microsoft Dynamics CRM, начиная с версии 2011 года Update Rollup 12, поддерживает браузеры Chrome и Firefox. Пакет используется как расширенная платформа для взаимодействия с клиентами, и может настраиваться в зависимости от целей с помощью программной платформы.NET
Линейка программного обеспечения Microsoft Dynamics включает ERP-приложения Microsoft Dynamics AX, Microsoft Dynamics GP, Microsoft Dynamics NAV, Microsoft Dynamics SL и Microsoft Dynamics Retail Management System, также известную как Dynamics RMS.

Microsoft Dynamics CRM 2015 – это актуальная версия пакета программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).

Офисные пакеты

Microsoft Office 2010
Версия Professional Plus включает:

• Excel
• OneNote
• PowerPoint
• Outlook
• Publisher
• Access
• InfoPath
• SharePoint Workspace

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Office 2013 - офисный пакет приложений, созданных корпорацией Microsoft для операционных систем Microsoft Windows, Windows Phone, Android, Apple Mac OS X, Apple iOS. В состав этого пакета входит программное обеспечение для работы с различными типами документов: текстами, электронными таблицами, базами данных и др.

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Microsoft Office 2016 - офисный пакет, предоставляющий эффективную платформу для бизнес-коммуникаций и совместной работы. Преимущества, которыми обеспечивает данный продукт, дают больше возможностей для роста производительности и использования расширенных технических служб. OfficeProPlus 2016 — комплексный продукт, позволяющий сотрудникам эффективно работать из различных мест. Причем, обрабатывать документы и взаимодействовать с коллегами можно, вне зависимости от того, что находится у Вас под руками – персональный компьютер, телефон или веб-браузер. Использование данного пакета программ позволяет добиться максимальной окупаемости вложений и наилучших результатов, благодаря применению знакомых сотрудникам приложений и реализации возможностей сервера Microsoft.
Версия Professional Plus включает:

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Серверные ОС

Windows Server 2008 R2 - серверная операционная система компании «Microsoft», являющаяся усовершенствованной версией Windows Server 2008, использующая ядро Windows NT 6.1. Новые возможности включают:
— улучшенную виртуализацию
— новую версию Active Directory
— Internet Information Services 7.5
— поддержку до 256 процессоров

(разновидность Server 2008) Microsoft Windows Server 2008 - версия серверной операционной системы производства компании Microsoft.
Приемущества:
— Возможность установки Server Core — существенно облегченная установка Windows Server 2008 в которую не включена оболочка Windows Explorer
— Active Directory — заказчики могут управлять удостоверениями и взаимоотношениями, формирующими сеть организации.
— Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0 .
— Возможность опубликовать одно конкретное приложение, вместо всего рабочего стола.
— Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN.
— Встроенный Windows PowerShell .
— Самовосстанавливающаяся NTFS — вместо блокировки всего тома блокируются только поврежденные файлы/папки, остающиеся недоступными на время исправления.
— Microsoft Hyper-V - система виртуализации на основе гипервизора для x64-систем.
— Windows System Resource Manager — дминистративное средство WSRM, которое позволяет управлять ресурсами сервера с целью равномерного распределения рабочей нагрузки между ролями.
— Server Manager — является комбинацией Управления данным сервером и Мастера настройки безопасности из Windows Server 2003. Server Manager является улучшенным диалогом Мастера настройки сервера, который запускался по умолчанию в Windows Server 2003 при входе в систему. Теперь он позволяет не только добавлять новые роли, но ещё и объединяет в себе все операции, которые пользователи могут выполнять на сервере, а также обеспечивает консолидированное, выполненное в виде единого портала отображение текущего состояния каждой роли.
Особенности:
— До 4 поддерживаемых процессоров
— Количество поддерживаемой памяти до 4 Гбайт на платформе x86 и до 32 Гбайт на платформе x64
— Нет кластеризации
— Право на 1 виртуальную машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008)
Особенности:
— До 8 поддерживаемых процессоров
— Количество поддерживаемой памяти до 32 Гбайт на платформе x86 и до 64 Гбайт на платформе x64
— Кластеризация до 16 узлов
— Право на 4 виртуальные машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008) Пакет обновления 2 (SP2) для Microsoft Windows Server 2003 – это накопительный пакет обновления, включающий последние обновления и повышающий безопасность и стабильность системы. Кроме того, он добавляет новые функции и обновления к существующим функциям и служебным программам ОС Windows Server 2003.

(разновидность Server 2008)
Особенности:
— До 32 поддерживаемых процессоров на платформе x86 и до 64 на платформе x64
— Количество поддерживаемой памяти до 64 Гбайт на платформе x86 и до 2 Тбайт на платформе x64
— Кластеризация до 16 узлов
— Нет ограничений на количество виртуальных машин

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012) Windows Server 2012 R2 - предназначен для создания и предоставления глобальных облачных сервисов, содержащих новые возможности и улучшения для виртуализации, управления, хранения, работы с сетями, инфраструктуры виртуальных рабочих столов, защиты доступа и информации, веб-платформы и платформы приложений, а также многих других компонентов.
Особенности:
— Не более двух виртуальных экземпляров
— Все функциональные возможности

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.
Особенности:
— Поддерживает 64 сокета, но лицензируется с шагом в 2 сокета
— Поддерживает 4 TB оперативной памяти (RAM)
— Поддерживает включение в домен
— Поддерживает некоторые роли, например: DNS и DHCP Server, но не поддерживает такие как: Active Directory® Domain Services (AD DS), Active Directory Certificate Services (AD CS), и Active Directory Federation Services (AD FS).

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Windows Storage Server 2012

(обнова для Storage 2012) Windows Storage Server 2012 R2 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012 R2. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Windows Storage Server 2012 R2 обладает всеми преимуществами, которые существуют в Windows Storage Server 2012, а также дополнен рядом новых возможностей:
— Экономичное хранение данных
— Улучшенная виртуализация
— Безопасность и надежность хранения данных

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Microsoft Windows Server 2012

Продлен не будет. Уточняйте наличие актуальной версии.

Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core

— Нет прав на виртуализацию
— Максимально 1 процессор
— Максимум 15 пользователей

Продлен не будет. Уточняйте наличие актуальной версии.

Windows Server 2012 Essentials - идеальное решение для предприятий малого бизнеса (до 25 пользователей и до 50 устройств).

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012 R2) Оптимальный сервер для малого бизнеса - Windows Server 2012 R2 Essentials - упрощает интеграцию дополнительных облачных приложений и сервисов, таких как Microsoft Office 365 и Microsoft Azure. Windows Server 2012 R2 Essentials помогает до минимума сократить время, усилия и средства, затрачиваемые на обслуживание ИТ-инфраструктуры.
Преимущества:
— Защита данных
— Интеграция облачных сервисов
— Безопасный удаленный доступ
— Виртуализация серверов
Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core
— Отсутствуют Active Directory Federation Services
— Права на виртуализацию одной машины
— Максимально 2 процессора
— Максимум 25 пользователей
— Множество функций ограничено или недоступно

Продлен не будет. Уточняйте наличие актуальной версии.

Hyper-V Serve r - это специальный автономный продукт, включающий в себя гипервизор, модель драйвера Windows Server, возможности виртуализации, а также вспомогательные компоненты, такие как отказоустойчивая кластеризация, однако он не содержит такого широкого набора функций и ролей, как ОС Windows Server.

СУБД

Microsoft SQL Server - система управления реляционными базами данных, разработанная корпорацией Microsoft. Использует язык запросов Transact-SQL, который является реализацией стандарта ANSI/ISO по структурированному языку запросов (SQL) с расширениями. Предназначен для работы с базами данных размером от персональных до крупных баз данных масштаба предприятия.

Продлен не будет. Уточняйте наличие актуальной версии.

Версия SQL Server 2012 несет в себе много важных изменений для платформы интеграции корпоративных данных, в частности упрощенный состав версий продукта и новую модель лицензирования. Кроме того, в SQL Server 2012 реализованы усовершенствования в части производительности, бизнес-аналитики (BI) и средств разработки. Ниже перечислены 10 наиболее важных нововведений в SQL Server 2012.
Особенности:
— Упрощенный состав версий
— Поддержка режима Server Core
— Службы обеспечения качества данных DQS позволяют поддерживать высокое качество и корректность данных в базе
— Усовершенствования языка T-SQL
— Автономные базы данных
— Столбцовые индексы
— SQL Server Data Tools
— Power View — Графический инструмент навигации и визуализации данных, позволяющий конечному пользователю проектировать форму отчетности
— Группы доступности AlwaysOn — Самым важным компонентом SQL Server 2012 является новая технология обеспечения высокой доступности базы данных.

Microsoft SQL Server 2014 в редакциях Standart, BI, EE, Express, Web, Compact - это наиболее актуальная версия из ленейки Microsoft SQL Server, которая подойдёт для организаций, требующих высокой производительности системы для создания, развертывания и поддержки больших производственных баз данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SQL Server 2016 отличается революционной производительностью обработки в памяти, непревзойденной безопасностью, комплексными возможностями мобильной бизнес-аналитики и продвинутой аналитики. Узнайте, почему Microsoft считается лидером отрасли в области платформ данных, ознакомившись с «Магическим квадрантом» Gartner по системам управления операционными базами данных, бизнес-аналитике, аналитике и хранению данных.Microsoft System Center 2016. Сертификат ФСТЭК России 3978. Срок действия до 06.08.2023

Система почтовых серверов

Microsoft Exchange Server

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Exchange Server - программный продукт для обмена сообщениями и совместной работы.
Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, интеграция с системами голосовых сообщений (начиная с Exchange 2007), поддержка систем обмена мгновенными сообщениями (поддержка удалена с версии Exchange 2003).
Microsoft Exchange Server поддерживает следующие протоколы: MAPI, SMTP, POP3, IMAP4, HTTP/HTTPS, LDAP/LDAPS SSL и DAVEx
С Microsoft Exchange Server могут работать следующие клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Outlook Web Access, Outlook Mobile Access, ActiveSync, Outlook Voice Access, Произвольные почтовые клиенты (кроме MAPI).
Основные нововведения:
— Поддержка нескольких поколений сотрудников
— Интеграция с SharePoint
— Улучшенные функции поиска и индексации позволяют вести поиск в Exchange 2013, Lync 2013, SharePoint 2013 и на файловых серверах Windows
— Использует архитектуру Exchange Server 2010, которая была переработана для упрощения масштабирования, использования оборудования и обнаружения сбоев.

Набор серверных приложений

Microsoft SharePoint Server 2010 - это рабочая платформа для предприятий и работы в сети Интернет, интегрированные функции которой предоставляют широкие возможности коммуникации между людьми, которая включает в себя следующие компоненты:
— набор веб-приложений для организации совместной работы
— функциональность для создания веб-порталов
— модуль поиска информации в документах и информационных системах
— функциональность управления рабочими процессами и систему управления содержимым масштаба предприятия
— модуль создания форм для ввода информации
— функциональность для бизнес-анализа

«SharePoint» может быть использован для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе «SharePoint» сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части (SharePoint WebParts).

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SharePoint Server 2013 SP1 представляет собой интегрированный пакет корпоративных приложений, который предназначен для увеличения производительности труда, организации совместной работы сотрудников, решения таких важных бизнес-задач, как контроль информационных потоков, принятие взвешенных решений и управление рабочими процессами. В продукте сделан акцент на социальную составляющую, облака и мобильность. Microsoft SharePoint 2013 предлагает новые средства простого администрирования, эффективной защиты коммуникации и информации и гибкой совместной работы. Социальные возможности позволяют легко обмениваться идеями, отслеживать действия коллег, отыскивать экспертов и информацию и т. п.

Microsoft SharePoint Server 2016 предназначен для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе Microsoft SharePoint 2016 сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части.

Федеральная служба по техническому и экспортному контролю — это федеральный орган исполнительной власти, который осуществляет проверку и контроль в области государственной безопасности. Сегодня каждый владелец ноутбука при покупке той или иной антивирусной программы или программного обеспечения не раз слышал такое выражение как сертификация ФСТЭК. Но мало кто знает, что же собой представляет сертификат ФСТЭК .

Сегодня вопрос защиты информации тесно переплетается с интересами общества, бизнеса и государства. Обычно каждое государство стремится контролировать информацию, которая связана с национальной безопасностью. Поэтому из года в год оно ставит основной задачей разработку, эксплуатацию хорошо защищенных информационных систем, баз персональных данных. В таких системах хранится, перерабатывается огромное количество информации связанной практически со всеми видами деятельности государства. Именно по этой причине производители программного обеспечения должны учитывать законодательные требования, налагаемые на информационные системы, которые участвуют в государственной деятельности. Процедура сертификации ФСТЭК осуществляется для проверки соответствия основным показателям безопасности.

Сертификат ФСТЭК выдается по итогам прохождения следующих этапов:

• оформление заявления на осуществление процедуры проверки;
• получение решения на проведение сертификации;
• оформление договора на осуществление процесса сертификации;
• утверждение программы испытаний;
• проведение испытаний;
• оформление протокола испытаний;
• заключение договора с экспертной организацией;
• экспертиза лабораторных испытаний;
• оформление сертификата.

Система российской сертификации ПО коренным образом отличается от сертификации на западе. Во-первых, каждая копия программного обеспечения, претендующая на сертификат ФСТЭК , проходит ряд испытаний и экспертиз, которым подвергался первоначальный продукт. Во-вторых, каждая компания, которая приобрела сертифицированный продукт,имеет защищенный доступ к информационной базе данного программного обеспечения, откуда организация будет получать обновления.

С 2004 года федеральный орган исполнительной власти обладает следующими полномочиями:

1. Обеспечение защиты и безопасности в ключевых системах инфраструктуры;
2. Осуществление технической информации;
3. Защита информации от иностранных технических разведок;
4. Обеспечение экспортного контроля.

ФСТЭК не занимается сертификационной деятельностью, он является основным организатором сертификации. Львиную долю действий выполняют его лицензиары – испытательные лаборатории и экспертные центры. Лаборатории исследуют программное обеспечение, а экспертные организации проверяют качество проведенных испытаний. Безусловно, заявитель может оформить сертификат ФСТЭК по результатам испытаний сторонних организаций. Но в этом случае переде тем, как выдать сертификат,ФСТЭК оставляет за собой право назначить перепроверку результатов другой экспертной организации. По этой причине в системе ФСТЭКа работает институт заявителя. Они проводят сравнение копий продаваемых продуктов с программами, которые ранее получили сертификат ФСТЭК .

Для чего нужна сертификация

Для чего нужна сертификация программного обеспечения?

Вопросы защиты конфиденциальной информации тесно переплетены с интересами общества, личности, бизнеса и государства. В наше время, в условиях формирования единого информационного пространства, они являются важнейшей составной частью задач, решаемых государственными органами, учреждениями и организациями при разработке, создании, эксплуатации информационных систем, баз и банка персональных данных информационных систем.

Любое государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. И поэтому к программному обеспечению, которое поставляется на рынок и используется для построения ключевых систем информационной инфраструктуры, предъявляются особые требования.

Ключевые системы информационной инфраструктуры

К таким ключевым системам можно отнести :

• информационные системы органов государственной власти, органов управления и правоохранительных структур;
• информационные системы финансово-кредитной и банковской деятельности;
• информационно-телекоммуникационные системы специального назначения;
• сети связи правоохранительных структур;
• сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
• автоматизированные системы управления энергоснабжением;
• автоматизированные системы управления наземным и воздушным транспортом;
• автоматизированные системы управления добычей и транспортировкой нефти и газа;
• автоматизированные системы предупреждения и ликвидации чрезвычайных ситуаций;
• автоматизированные системы управления экологически опасными производствами;
• автоматизированные системы управления водоснабжением;
• географические и навигационные системы.

И это далеко не полный перечень. В указанных системах накапливается, обрабатывается и передается информация, связанная с производственной, организационно-экономической, научно-технической, кредитно-финансовой и другой деятельностью государства. В ряде систем и сетей циркулирует информация оперативно-диспетчерского и технологического управления, определяющая надежность и безопасность функционирования всего хозяйственного комплекса России и оказывающая существенное влияние на обеспечение ее национальной безопасности в информационной сфере. Именно поэтому эти системы являются ключевыми.

В связи с этим, производители программного обеспечения обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией.

Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации!

Кто обязан использовать сертифицированные программные средства?

Все государственные организации, негосударственные организации, работающие с так называемой «служебной информацией государственных органов», а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных» ).

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

• В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании»
• В ФЗ 184 «О техническом регулировании» в ст.4 . «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5»
• Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»)
• Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
• В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
  • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».
  • п. 2.16 . « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
  • п.2.17 . «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».
• Закон РФ N 5485-1 от 21 июля 1993 г . («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

Органы сертификации

Кем осуществляется сертификация ПО в Российской Федерации?

В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).

Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

• Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными , ознакомление с ними предполагает наличие специальных допусков.
• Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте .

Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону . Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, - идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата .

Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Что такое ФСТЭК России и каковы его функции?

ФСТЭК России (до 2004 года – Гостехкомиссия России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями :

• обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
• противодействие иностранным техническим разведкам;
• обеспечение технической защиты информации некриптографическими методами ;
• осуществление экспортного контроля.

В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.

Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями .

Каким образом осуществляется сертификация ФСТЭК?

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов.

Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.

По аналогии работает и система сертификации ФСБ.

Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей . Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.

Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей.

Сертификация продуктов 1С-Битрикс

С какими организациями сотрудничает «1С-Битрикс» в процессе сертификации и в каком формате?

В данный момент компания «1С-Битрикс» сотрудничает с компанией . Данная компания выступила в следующей роли:

Заявитель , который

a. выполняет все организационные мероприятия, связанные с сертификацией;

b. несет затраты на постоянный учет сертифицированных копий продуктов;

c. непосредственно продает сертифицированные программные продукты «1С-Битрикс».

Достаточно ли использования сертифицированных продукта «1С-Битрикс» для итоговой аттестации информационной системы?

Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.

Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.

Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.

В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.

Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.

Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию . В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.

Как и в какие сроки заказчики получают обновления сертифицированных продуктов?

При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.

Все обновления проходят проверку в испытательной лаборатории. Далее все сертифицированные обновления становятся доступны на Портале сертифицированных обновлений компании "СИС груп". Как правило, данная процедура занимает от нескольких дней до нескольких недель.

Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.

В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет , поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «Сертифицированные информационные системы груп», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.

Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений