By 
Мы все используем ПО, и дома, и на работе. И для работы, и для развлечений. Но некоторые используют сертифицированное ПО. Зачем? Для чего оно вообще нужно? И когда надо его использовать? Вопросы, вообще говоря, не праздные. И даже в организациях, которые должны использовать сертифицированное ПО, к сожалению, не всегда знают ответы на эти вопросы. Прежде всего надо сказать, что сертификация продукта или услуги, как таковая, это проверка на соответствие этого товара или услуги некоторым требованиям. Например, бывает сертификация товара на соответствие санитарным требованиям:- в этом случае, например, все клавиатуры для компьютеров и DVD-фильмы проверяются на то, что прикосновение к ним не вызывает болезней кожи. Иногда говорят о сертификации специалистов: в этом случае, например, проверяется – знает ли специалист как ремонтировать «Фольксваген», и если знает, то ему выдается соответаствующий сертификат. Требований к продуктам, услугам и людям в мире предъявляется великое множество, и так же много в мире разных сертификаций. Среди них есть требования к обеспечению информационной безопасности и соответствующие системы сертификации.
Систем сертификации на соответствие требованиям информационной безопасности не просто много. Во многих странах они есть свои собственные (например по требованиям FIPS в США, по требованиям ФСБ в России), но есть и международные системы. Самая известная из них Common Criteria (Общие Критерии). Эту систему признают не так много стран, и в России сертификаты Common Criteria также не являются легитимными.
Зачем нужны сертифицированные продукты? Во многих организациях надо соблюдать определенные требования по сохранности данных. Для этого необходимо убедиться, что используемое ПО достаточно «качественное» с точки зрения безопасности. Например, что доступ к данным на вашем компьютере невозможен постороннему человеку. Таких требований к «качеству» безопасности может быть несколько. Например, в системе сертификации ФСТЭК России есть классы защищенности 1Г, 2Б, и другие. Для обеспечения защищенности конфиденциальных данных обычно достаточно класса 1Г, этот класс защищенности зафиксирован во внутренних регламентирующих документах многих организаций, в том числе и государственных. Именно на соответствие ему проводится большинство сертификаций продуктов такими производителями, как Microsoft, IBM, SafeNet,… И организации, кто должен защищать данные в соответствии с 1Г приобетают и используют продукты с сертификатом на 1Г.
После появления закона о персональных данных производители стали делать сертификацию своих продуктов и на соответствие этим требованиям. Классы информационных систем, обрабатывающих персональные данные, имеют нумерацию от класса 1 (К1, самая высокая степень защиты) до класса 4. И в сертификатах, выданных ФСТЭК, теперь можно увидеть слова типа «продукт может использоваться при создании информационных систем персональных данных до 2 класса включительно». Список организаций, которые должны использовать продукты, сертифицированные на соответствие требованиям защиты персональных данных, включает в себя почти все организации страны – в организациях работают люди, и их учетные данные хранятся в отделах кадров.
Есть и редкие сертификаты – сертификаты от ФСБ. Для их получения надо обязательно предоставлять для исследования исходные коды продуктов. Есть только пара зарубежных производителей, которые могут похвастаться такими сертификатами. На этой неделе в прессе был анонс получения таких раритетов – вы без труда сможете их найти самостоятельно.
Вам же пожелаю не обращать на сертифицированные продукты никакого внимания – если вашей организации они не нужны, и заручиться поддержкой экспертов в этом вопросе – если вы все-таки столкнетесь с такой потребностью. Не забывайте в этом случае о получении требуемых законодательством сертифицированных обновлений к продуктам (даже к антивирусам) – поддержание безопасности это процесс, а не одноразовое действие!
Владимир Мамыкин http://i-business.ru/
Comments