IBM продолжает сертификацию своих программных продуктов на соответствие российским требованиям безопасности информации
Работа с госструктурами для большинства ИТ-компаний, работающих на российском рынке, — весьма важная составляющая бизнеса. Применяемые при этом программные решения по закону должны соответствовать определенным требованиям в области безопасности. В частности, программы должны быть надежными, способными противостоять внешним и внутренним угрозам. Для конфиденциальной информации, защищаемой в соответствии с российским законодательством, обязательно должна быть предусмотрена возможность корректной обработки на клиентских рабочих местах.
Если госсистемы базируются на программных продуктах западных производителей, не имеющих сертификатов безопасности, то в обязательном порядке в состав решений должны быть включены так называемые «наложенные средства безопасности» — специальные программные средства, разработанные и сертифицированные российскими специалистами (этого не требуется, если используемые западные программные продукты имеют необходимые сертификаты).
С учетом требований безопасности, предъявляемых российским законадательством, компания IBM объявила о программе сертификации своих программных продуктов. Эта программа включает, во-первых, план по получению сертификатов Федеральной службы по техническому и экспортному контролю (сертификация ФСТЭК — обязательное требование при рассмотрении вопросов о применении программных продуктов в госсекторе). Во-вторых, намечен выпуск сертифицированных версий продуктов. Также будет проводиться сертификация обновлений и обеспечение клиентов обновленными версиями.
Процесс сертификации начат в прошлом году. Свои продукты в IBM сертифицируют на соответствие требованиям по безопасности ИТ (первый-четвертый оценочные уровни доверия) и защиты от несанкционированного доступа к информации, с проведением классификации по уровню контроля отсутствия недекларированных возможностей (четвертый уровень), предписываемым руководящим документом «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий».
Процесс сертификации включает в себя исследование соответствия предоставленного исходного кода, а также анализ документации, описывающей все аспекты разработки, тестирования и поддержки дистрибутива, выпуска обновлений. Сертификационные испытания программных продуктов IBM были проведены испытательной лабораторией «Центра безопасности информации».
В феврале 2006 года был получен сертификат ФСТЭК на WebSphere MQ 6.0, в октябре — на WebSphere Portal 5.1.0.1. В конце прошлого года сертификацию прошли Red Hat Linux AS 4.0 и Red Hat Enterprise Linux WS 4.0. В апреле 2007 года закончены сертификационные испытания и выдан сертификат IBM Tivoli Access Manager 6.0.0.3.
В текущем году IBM планирует сертифицировать, в частности, Tivoli Access Manager, Tivoli Identity Manager, DB2 Enterprise Server, Lotus Domino Enterprise Server, WebSphere Massage Broker и WebSphere Application Server.
По словам Леонида Алтухова, директора по продажам программного обеспечения IBM EE/A, очередность сертификационных испытаний будет устанавливаться в зависимости от сроков реализации проектов автоматизации с использованием какого-либо из названных продуктов.
Правом выпуска сертифицированных ФСТЭК версий программных продуктов IBM и их тиражированием обладает компания «Элвис Плюс». С апреля 2007 года такое же право и соответствующий сертификат ФСТЭК получил НИИ «Восход».
ФСТЭК: на страже безопасности информации
Федеральная служба России по техническому и экспортному контролю — федеральный орган, осуществляющий межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты некриптографическими методами информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа, от специальных воздействий и по противодействию техническим средствам разведки на территории Российской Федерации.
Приказы, распоряжения и указания ФСТЭК России, изданные в пределах ее компетенции, обязательны для исполнения аппаратами органов власти, органами местного самоуправления, предприятиями, учреждениями и организациями.