Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Click to order
Корзина
Total: 
Контактные данные
Нажимая на кнопку заказать, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.

Установка и эксплуатация

Время на чтение: ~6 минут
Итак, комплект сертифицированного ПО заказан, оплачен и доставлен. Значит ли это, что его можно поставить на полку и забыть? Конечно же, нет. Давайте посмотрим, какие есть требования по эксплуатации сертифицированного ПО, а также по его установке.

Установка

Первое, о чем необходимо помнить — сертификат подтверждает соответствие для каждого отдельного образца (копии, экземпляра, установки) программного обеспечения. Прохождение каким-либо продуктом сертификации и выдача сертификата соответствия не делает автоматически все экземпляры этого программного обеспечения сертифицированными, не подтверждает их соответствие требованиям. Сертифицированными признаются только те копии, которые полностью идентичны тем, что проходили испытания, и которые были произведены или верифицированы изготовителем. Для этого организуется поэкземплярная маркировка и учет: каждой копии установочного комплекта (дистрибутива) присваивается ее серийный (заводской) номер, этот номер вписывается в формуляр как часть идентификатора, а в журнале изготовителя котором регистрируются все выпущенные и промаркированные образцы (экземпляры).

Далее, должна быть уверенность в идентичности образа программного обеспечения. Как правило, для дистрибутивов используются оптические диски с однократной записью: дополнительная гарантия того, что образ дистрибутива не был модифицирован (хотя в принципе дистрибутив может поставляться и на USB-диске, и на карте памяти, и даже загружаться по сети). Этот эталонный дистрибутив надо будет беречь, так как он — часть комплекта сертифицированного ПО. Носитель обычно опечатывается пломбой изготовителя. В формуляре же указывается эталонные контрольные суммы и способы их вычисления для файлов дистрибутива, с которых будет идти установка, а также описана маркировка (надписи) на носителе и его упаковке. Могут использоваться и более сложные механизмы проверки подлинности (особенно если дистрибутив не записан на опечатанном оптическом диске, а передается на других носителях или вообще скачивается по сети) — например, цифровая подпись.

Условия эксплуатации

Еще одно условие сертифицированного статуса программного обеспечения — соблюдение условий (ограничений) эксплуатации, которые перечислены в формуляре. Об этом прямо написано в самом сертификате соответствия. А уже формуляр может ссылаться на другую эксплуатационную документацию (чаще всего руководство пользователя и/или администратора) и требовать соблюдения их правил. В формуляре может быть отдельный раздел, посвященный требованиям по использованию сертифицированного программного обеспечения. Эти условия накладываются для того, чтобы обеспечить те же условия, что и на сертификационных испытаниях. Одно из первых требований — эксплуатация в соответствии с документацией.

Какие ограничения чаще всего указывают в формуляре? Контроль сохранности дистрибутива — как механической (визуальный), так и информационный — для этого рассчитываются и сверяются контрольные суммы файлов. Часть требований касается аппаратуры, на которой будет запускаться сертифицированное ПО. Эта аппаратура должна быть совместимой (в формуляре указаны системные требования). Совместимость с оборудованием (обычно для этого в формуляре перечисляются системные требования) и достаточность вычислительных ресурсов. Защита оборудования от повреждений: нельзя предсказать, как программное обеспечение будет работать на поврежденном оборудовании. Использование в соответствии с эксплуатационной документацией.

Технические меры

Антивирусы, доверенная загрузка, доверенный маршрут и доверенный канал, контроль программной среды и прочее – некоторые из этих мер могут совпадать с теми, что описаны в мерах защиты из приказов ФСТЭК, и в свою очередь требовать сертифицированных специализированных средств защиты. Если сертифицированное ПО — это операционная система или среда виртуализации, то, как правило, предъявляются требования к доверенной загрузке, чтобы ПО загружалось под управлением штатного загрузчика и само контролировало ход своей загрузки.

Организационные меры

Это требования к персоналу и его действиям: соблюдение эксплуатационной документации, уровень подготовки, содержание информации (прежде всего паролей) в тайне. Периодический контроль целостности файлов и периодический анализ уязвимостей. Действия при нештатных ситуациях. Контроль физического доступа других людей к оборудованию, на котором установлено сертифицированное программное обеспечение (например, блокировка консоли, блокировка доступа к режиму конфигурирования).

Обновления

Отдельную проблему представляют собой обновления. Современное программное обеспечение немыслимо без обновлений. Одни добавляют новые функции, возможности. Другие (исправления, патчи, багфиксы) устраняют ошибки, некорректную работу программного обеспечения. Особенно важны исправления, которые устраняют найденные уязвимости. Но как в условиях гарантировать, что после обновлений программное обеспечение соответствует тем же требованиям безопасности, на соответствие которым оно проходило испытания? Ведь обновления могут изменять (намеренно или случайно) работу функций безопасности. Более того, через механизм обновлений злоумышленники могут намеренно нарушать работу функций безопасности. Если раньше обновления компоновались в пакеты (сервиспаки) и выходили сравнительно редко (раз в полгода-год), то теперь, с распространением Интернета и модели непрерывной разработки, исправления появляются буквально ежедневно. Обновлять нельзя, но и не обновлять тоже нельзя: часть обновлений закрывает критические уязвимости.

Подход к решению этой сложной задачи описан в новом положении о сертификации. Среди обновлений выделяются те, которые добавляют или изменяют функции безопасности. Программное обеспечение после этих обновлений нужно испытывать заново в испытательной лаборатории.

Но, как известно, среди обновлений безопасности есть и критические, которые нужно применять немедленно. А испытания в лаборатории в любом случае займут дни или даже недели. Как же быть? В положении написано, что проинформировать пользователей и передать им эти обновления нужно сразу, до проведения испытаний. Другие обновления, то есть те, которые не влияют на функции безопасности, заявитель может испытывать и самостоятельно.
Нужно отметить, что пользователи должны получать обновления сертифицированного программного обеспечения только от заявителя. Обновления напрямую от разработчика (если он — не заявитель) не допускаются. Для этого заявители должны поддерживать канал доставки таких «сертифицированных» обновлений. Обычно это защищенный раздел веб-сайта, куда заявитель выкладывает эти обновления. Доступ к такому разделу защищается паролем или двухфакторной аутентификацией. Например, у СИС для этой цели предусмотрены USBключи — их можно заказать как часть комплекта сертификации.

Выводы

1
Программное обеспечение считается сертифицированным не просто по факту покупки комплекта сертификации, а только при соблюдении ряда специальных требований.
2
Все эти требования по установке сертифицированного программного обеспечения, а также его использованию должны быть описаны в эксплуатационной документации.
3
При необходимости обращайтесь за помощью к изготовителю: это входит в сертификационную поддержку.
4
Для сертифицированного программного обеспечения установлен особый порядок обновлений.