05.09.2016 08:16
sysmetic 23 3400 Источник

В этом году мы получили сертификат ФСТЭК (ТУ+НДВ4) на версию Veeam Backup & Replication v8 Update #2. В этом посте я кратко расскажу о том, в каких случаях стоит выбирать именно эту (сертифицированную) версию продукта вместо обычной (не сертифицированной) версии, о ключевых отличиях нашей сертифицированной версии, и об общих требованиях законодательства к резервному копированию информации ограниченного доступа, не относящейся к гостайне.

Сертифицированную версию продукта, предназначенного для резервного копирования информации, в общем случае требуется применять в следующих случаях:

  • Если продукт применяется в государственных организациях, в сегментах сети, где в силу требований ФСТЭК, необходимо применять сертифицированные версии программных средств.

  • Если на виртуальных машинах обрабатывается информация ограниченного доступа, не относящаяся к государственной тайне. Этот термин определен в законодательстве, и фактически включает в себя любую информацию, доступ к которой ограничен в силу того или иного закона. Например, к информации ограниченного доступа относится: конфиденциальная информация компании, персональные данные физлиц, различные виды тайн (коммерческая, врачебная, адвокатская и др.), информация о секретах производства и т.д. Государственная тайна также, конечно, должна защищаться сертифицированными продуктами, однако, в этом случае сертификация должна быть более высокого уровня, чем есть у Veeam Backup & Replication, поэтому защищать данные, отнесенные к гостайне, с помощью имеющейся сертифицированной версии продукта нельзя.

  • Если в организации в силу политики безопасности требуется применять сертифицированные версии программных средств.

  • Если компания в рамках исполнения контракта получает от контрагента информацию ограниченного доступа (например, сведения, составляющие коммерческую тайну контрагента).

  • Если на информационную систему организации (в силу ее критичности и важности) явно распространяются законодательные требования, обязывающие применять в ней сертифицированные средства защиты информации. Например: не имеющие системы резервирования участки сетевой инфраструктуры Интернета, АСУ ТП АЭС, автоматизированные системы МЧС, информационные системы органов государственной власти, и др.

В 2013-2014 ФСТЭК выпустила приказы №17, №21 и №31, в которых средства резервного копирования в целом (и, в частности, средства резервного копирования виртуальных сред), были явно отнесены к средствам защиты информации, и для них были установлены специальные требования. В частности требования к резервному копированию средств виртуализации описывается мерой ЗСВ.8. Особо хочу отметить, что Veeam Backup & Replication v8 прошел сертификацию на ТУ в соответствии с требованиями этих приказов ФСТЭК.

Если же продукт резервного копирования проходил сертификацию до вступления в силу этих приказов ФСТЭК, то он имеет «обычный» сертификат на ТУ (без подтверждения соответствия мере ЗСВ.8), это усложняет задачу для пользователя, потому что ему нужно самостоятельно провести испытания, чтобы показать соответствие своей информационной системы актуальным требованиям приказов ФСТЭК.

Например, если говорить про резервное копирование персональных данных, то:

  • Требуется подтвердить соответствие функционала продукта защитным мерам из приказов ФСТЭК для случая 1-го и 2-го уровней защищенности ИСПДн, а для 3-го и 4-го уровней решение об их использовании принимает сам оператор, исходя из установленных им требований к функционированию информационных систем персональных данных. Сертификат ФСТЭК на ТУ позволяет подтвердить это «автоматически», не прибегая к аттестации или иным видам исследований безопасности информационной системы.

  • Также требуется подтвердить отсутствие недекларированных возможностей (НДВ) в продукте: поскольку в приказах ФСТЭК резервирование и восстановление данных прямо отнесено к «мерам обеспечения безопасности», то программные продукты, обеспечивающие выполнение резервного копирования, относятся к средствам защиты информации. Средства защиты информации, используемые в ИСПДн 1-го и 2-го уровней защищенности персональных данных, а также в системах 3-го уровня защищенности, для которых к актуальным отнесены угрозы, связанные с наличием недекларированных возможностей в прикладном программном обеспечении, должны пройти проверку не ниже чем по 4-му уровню контроля отсутствия недекларированных возможностей. Это очень важный момент для определения необходимости сертификации средств резервного копирования, потому что НДВ можно подтвердить только через систему государственной сертификации.

Касательно поддерживаемых платформ можно отметить, что сертифицированная версия Veeam Backup & Replication поддерживает такие распространенные версии платформ виртуализации Microsoft и VMware как VMware vSphere 5.5/6.0 и Microsoft Hyper-V Server 2012 R2.

Следует иметь в виду, что сертифицированная версия поставляется на физическом носителе с необходимой сопроводительной документацией (формуляр, ТУ, сертификат), но пробную версию можно скачать, как обычно, в электронном виде (путем обращения в отдел продаж). Количество лицензий, приобретаемых вместе с сертифицированным комплектом, может быть любым. Для поставки сертифицированной версии не требуется наличия лицензий ФСТЭК, поэтому поставку электронной лицензий и физического сертифицированного комплекта может произвести любой партнер Veeam в России.

Отдельным преимуществом сертифицированной версии Veeam Backup & Replication является ее техническая поддержка, которая осуществляется на территории России:

1) по специальным алгоритмам обслуживания, так как сертифицированный продукт нельзя обновлять (а именно это часто предлагается делать для обычной несертифицированной версии);
2) полностью (все три уровня) на русском языке.

Краткое заключение


Полученный сертификат ФСТЭК дает пользователям Veeam возможность организовать бизнес-процессы в соответствии с требованиями законодательства РФ. Сертифицированная версия Veeam Backup & Replication v8 может применяться для резервного копирования персональных данных физлиц, конфиденциальной информации организаций, ДСП-информации, коммерческой тайны и другой информации ограниченного доступа, не относящейся к государственной тайне, как в государственном секторе, так и в коммерческих организациях.

Дополнительные ссылки


1. Информационный сайт о сертифицированной ФСТЭК версии Veeam Backup & Replication и о резервном копирование информации ограниченного доступа в целом
2. Статья М.Ю. Емельянникова «Необходимость резервного копирования данных для бизнеса, и нужен ли для этого сертификат ФСТЭК»
3. Запись вебинара «Резервное копирование запросы бизнеса и требования закона» (спикеры Виталий Савченко, Михаил Емельянников, Мария Сидорова)
4. Сертификат ФСТЭК на Veeam Backup & Replication
Поделиться с друзьями
-->

Комментарии (23)


  1. erlyvideo
    05.09.2016 13:21
    #9788682

    чем-нибудь более детальным про саму процедуру сертификации поделитесь или предпочтете хранить эту информацию у себя как коммерческую организационную ценность?


    1. sysmetic
      05.09.2016 13:38
      #9788718
      +1

      А что конкретно интересует? Просто сама процедура сертификации в целом — довольно скучное бюрократическое мероприятие, которое, я полагал, не интересно читателям Хабра.


      1. erlyvideo
        05.09.2016 18:16
        #9789688
        +1

        вот я вполне себе читатель хабра и мне очень интересны все те круги ада, по которым вы прошли =)

        Можете ли назвать ориентировочную стоимость и если нет, то хотя бы от чего она зависит (скажем, 100 рублей за LOC или что-то ещё)?

        Отдавали ли вы исходники людям в погонах или вообще каким-то мутным гражданским не под присягой?

        Правильно ли я понимаю, что если вы отдали код на сертификацию и завтра же нашли критический баг, то всё очень и очень плохо?

        Насколько сложна досертификация обновлений или это повторная сертификация того же ПО?

        Кто и как готовит план сертификации ПО? Это какая-то карта вашей функциональности или что это?


        1. sysmetic
          06.09.2016 12:52
          #9791136

          Все вопросы обсудили в личке.


  1. V-core
    05.09.2016 13:32
    #9788706
    +1

    Скажите пожалуйста а как быть гос. сектору с тем что ( далее цитирую):

    «законодательством установлен запрет на закупку программ для электронных вычислительных машин и баз данных, реализуемых независимо от вида договора на материальном носителе и (или) в электронном виде по каналам связи, происходящих из иностранных государств, а также исключительных прав на такое программное обеспечение и прав использования такого программного обеспечения (далее — программное обеспечение и (или) права на него), для целей осуществления закупок для обеспечения государственных и муниципальных нужд, за исключением следующих случаев:
    а) в реестре (https://reestr.minsvyaz.ru) отсутствуют сведения о программном обеспечении, соответствующем тому же классу программного обеспечения, что и программное обеспечение, планируемое к закупке;
    б) программное обеспечение, сведения о котором включены в реестр и которое соответствует тому же классу программного обеспечения, что и программное обеспечение, планируемое к закупке, по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке программному обеспечению.

    В случаях, если:
    а) в едином реестре российских программ для электронных вычислительных машин и баз данных (далее — реестр) отсутствуют сведения о программном обеспечении, соответствующем тому же классу программного обеспечения, что и программное обеспечение, планируемое к закупке;
    б) программное обеспечение, сведения о котором включены в реестр и которое соответствует тому же классу программного обеспечения, что и программное обеспечение, планируемое к закупке, по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке программному обеспечению,
    должно быть подготовлено обоснование невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд.

    Указанные выше положения содержатся в ПП 1236 от 16.11.2015. „


    1. sysmetic
      05.09.2016 14:53
      #9789074
      +2

      Порядок подготовки обоснования невозможности закупки из Реестра подробно описан в этом же постановлении правительства ПП 1236 от 16.11.15.

      На текущий момент в Реестре нет сертифицированных ФСТЭК продуктов для резервного копирования VMware vSphere и Microsoft Hyper-V. Сертификат ФСТЭК обязателен в описанных мною в посте случаях. Поэтому государственный заказчик в своем обосновании невозможности закупки из реестра, может прямо сослаться на пункт «а» в вашей цитате выше.

      Примеры написания таких обоснований (и письменная работа с возражениями) для более сложного случая (пункт «б») в настоящий момент можно посмотреть на сайте госзакупок, например, закупка «Оказание услуг по предоставлению (продлению) неисключительных прав (лицензий) на использование программного обеспечения Microsoft». Кроме того, недавно опубликована подробная статья еще с одним примером:«Windows и SQL Server против российских аналогов: Результаты анализа ФОМС»

      Дополнительно еще можно посмотреть в статье М.Ю. Емельянникова (ссылка №2 в разделе «ссылки» в моем посте) — в статье есть в конце раздел «что делать в эпоху импортозамещения».


      1. V-core
        05.09.2016 15:00
        #9789098

        Спасибо за разъяснение.
        жаль не могу плюсовать


  1. nefigasi
    05.09.2016 17:39
    #9789576

    Возможно ли сертифицировать уже купленный продукт. Если да, то какова процедура?


    1. sysmetic
      05.09.2016 19:36
      #9789864

      Увы, нет- в прайсе есть SKU только под новые продажи ФСТЭК версии. Логика здесь в том, что если у заказчика установлена обычная версия Veeam, то ему, вроде бы, незачем переходить на сертифицированную версию, так как она старее, а при этом сертификат, видимо, заказчику не обязателен.


  1. Spewow
    05.09.2016 18:43
    #9789748

    ЗСВ.8 элементарно закрывается орг мерами.

    СЗИ от НДС типа SecretNet и Vgate, которые и так должны стоять на всех компонентах ИС (если конечно хотите аттестоваться), и так позволят использовать любой бакапер по вкусу.

    Сертифицированный бакапер можно конечно купить, если деньги девать некуда.


    1. sysmetic
      06.09.2016 14:38
      #9791378

      Это сложный вопрос, отвечу по пунктам:

      Про vGate и SecretNet и меру ЗСВ.8.
      SecretNet — это СЗИ от НСД, которое в среде виртуализации защищает от НСД только виртуальные машины и меру ЗСВ.8 не реализует. На хост ESX SecretNet вообще нельзя установить; на хост Hyper-V установить можно, но он будет защищать от НСД только сам физический хост, но не виртуальные машины и не среду виртуализации от угроз, которые специфичны для этой среды.

      vGate реализует меры ЗСВ.1- ЗСВ.7 и ЗСВ.10, и НЕ реализует меру ЗСВ.8 — например, можете это посмотреть в документе RISSPA “Проблема выбора средств защиты информации для виртуализированных инфраструктур”:

      Таблица №1.


      1. Spewow
        06.09.2016 19:26
        #9791984

        Компенсирующие меры применяются когда исключаем какие то меры.

        ЗСВ.8 мы не исключаем, а реализуем орг мерами.
        Н
        ЗСВ.8 это частный случай ОДТ.2, ОДТ.4, ОДТ.5. которые закрываются через организационно-распорядительные документы оператора. Приписывается что да бакапимся, да исправно. А чем уже до лампочки.

        Что касается вашего сертификата, то ТУ это ни о чем. Если бы было про сзи от НДС, или соответствие профилю защиты, То было бы интересно. Но увы бакапер это не сзи в контексте регулятора )


    1. valeko
      06.09.2016 21:54
      #9792184
      +2

      В мерах по резервному копированию нет требований по автоматизированному процессу резервного копирования с применением дополнительных средств, т.е можно закрыться орг. мерами (инструкция по резервному копированию, когда админ периодически копирует инфу на зарегистрированные носители).

      В случае если данная мера реализуется дополнительным средством, например Veeam Backup, то для ГИС и ИСПДн это средство должно пройти процедуру оценки соответствия (сертификацию). Мера ЗСВ.8, согласно ФСТЭК, является обязательной для ГИС К1 и К2, ИСПДн УЗ1 и УЗ2. Для этих классов СЗИ, закрывающие определенные меры, должны пройти контроль отсутвия недакларированных возмодностей, как минимум по уровню НДВ4.

      Итого, если хотим закрыть ЗСВ.8 есть два способа:
      • Орг. меры, т.е. ручками по инструкции.
      • Применением специализированного ПО, но в этом случае оно должно пройти оценку соответствия


  1. Loreweil
    06.09.2016 05:22
    #9790422

    Ой, лукавите вы конечно, когда пишите, что нужно обязательно использовать сертифицированный бэкапер. Как минимум, вопрос не такой однозначный. По сути бэкапер относится к средствам отказоустойчивости. Если говорить, что отказоустойчивость должна обеспечиваться только сертифицированными ФСТЭК решениями, то по такой логике все ИБП на машинах пользователей и в серверной должны иметь заветную голограмму. Еще, как пример, криптошлюз и межсетевой экран ViPNet Coordinator HW1000 сам по себе сертифицирован, а компонент failover, который позволяет держать две железки в горячем отказоустойчивом кластере — нет, и у ФСТЭК никогда претензий к этому факту не возникало, хотя в том же ЗСВ.8 прописано и резервирование технических средств. К тому же нигде не написано, что резервное копирование данных должно производиться специализированными бэкаперами, мы можем в техническом задании на систему защиты информации прописать, что это делается админом руками, что в этом случае сертифицировать?
    Я не хочу сказать, что это плохо, иметь такой продукт на рынке, очень даже хорошо и многим будет полезно. Но вопрос обязательности сертификации здесь как минимум обсуждаем и неоднозначен.


    1. erlyvideo
      06.09.2016 10:29
      #9790752
      -1

      боюсь, что вы не совсем правильно рисуете себе ситуацию =)

      Вряд ли кто-то будет писать ужасный закон или указ по которому только сертифицированное ПО. Другой вопрос в том, что покупатель теперь может указать что он хочет только с сертификатом и тем самым сузит круг предложения.

      Можете сказать: «взятки», «купленный тендер» и будете и правы, и не правы. Механизм тендеров подразумевает, что закупщик делает всё новые (обоснованные) условия, что бы выбрать того, с кем уже договорился и тем самым стимулирует других игроков рынка развиваться и идти дальше, добавляя эти фичи к себе в продукт.

      Гонка фич помогает сбросить тендерный фрод. Одно дело собрать однодневную компанию, которая занимается тендерным рейдерством, взяв у кого-то на реализацию софт 10-летней давности, другое дело гнаться за растущим перечнем требований.

      Так что тут есть разные грани ситуации.


      1. Loreweil
        07.09.2016 05:09
        #9792490

        Немного не понял к чему тут тендеры и взятки, я немного о другом. Но в конце вы пишите то же что и я — разные грани ситуации и нет однозначного ответа на вопрос «должны ли мы использовать только сертифицированные и только автоматические средства для бэкапа?».


    1. sysmetic
      06.09.2016 15:51
      #9791556

      "К тому же нигде не написано, что резервное копирование данных должно производиться специализированными бэкаперами" — увы, но статья М.Ю. Емельянникова (ссылка №2 в разделе ссылок в моем посте) как раз содержательно (18 страниц) описывает в каких законах, приказах и постановлениях правительства это написано.

      Да, ранее (до 2013 года) много лет резервное копирование данных считалось «общесистемной функцией», а не средством обеспечения защищенности системы, и на бэкап требования ФСТЭК не распространялись, потому что это не считалось средством защиты. Но приказы ФСТЭК 17, 21 и 31 отнесли бэкап к средствам защиты — для определенных систем и видов информации. Логика приказов состоит в том, что есть системы (например, в МЧС) для которых требуется государственный контроль за резервным копированием этих систем в виду их критичности. Или допустим вирус-шифровальщик зашифрует АСУ ТП на АЭС. Последствия могут быть плачевными, если нет бэкапа. Поэтому средства резервного копирования для определенных случаев были отнесены к средствам защиты, и стали подпадать под требования ФСТЭК к этим системам, что влечет необходимость сертификации в этих оговоренных в законодательстве случаях.

      Касательно резервирования или отказоустойчивости самих СЗИ — насколько я знаю, у ФСТЭК нет явных требований к отказоустоячивости СЗИ, поэтому эти механизмы и могут оставаться несертифицированными. Эти механизмы предлагаются производителями не в силу требований ФСТЭК, а в силу ожиданий заказчиков (требований бизнеса).

      Касательно «возможности делать бэкап руками» (т.н. «компенсирующие меры»), смотрите этот мой ответ на другой комментарий.


      1. Loreweil
        07.09.2016 04:31
        #9792488

        Читал я статью Емельянникова, сразу же как она вышла. Там, как и в любом маркетинговом материале, «необходимость» притянута за уши. Вот вы пишите, что там описана необходимость использовать специализированные средства для бэкапа, но нет, там этого нет. Там написано о том, что согласно законодательству нужно делать резервные копии и обеспечить возможность восстановления из них, а дальше идет манипулятивный и спекулятивный пассаж автора «логично предположить, что...». Но вот какая ерунда получается — Емельянникову логично, а мне и ФСТЭКу не логично. Ибо сколько уже прошло положительных проверок ГИСов 1 и 2 класса, где бэкапы делались руками или даже несертифицированными автоматическими средствами — я затрудняюсь сосчитать.

        Похоже пора писать очередное официальное письмо во ФСТЭК за разъяснениями, правда они уже 2 месяца не отвечают на вопросы про аттестацию типовых сегментов, но попробовать думаю стоит.


        1. Spewow
          07.09.2016 06:32
          #9792504
          +1

          В методичке к 17 приказу все в принципе расписано. Когда дело касается автоматизации, там применятся пассаж про «свойства» ОИ. В иных случаях просто говориться про выстраивание процессов оргмерами.
          Емельяников признанный спец, но тут видно писал чисто под заказ )


        1. Mikeme55
          07.09.2016 14:04
          #9793322

          Мне кажется, у регулятора (ФСТЭК) вполне понятная логика. СЗИ используются для нейтрализации актуальных угроз. Определяются системы, где сертификация СЗИ обязательна (приказ № 17 п.15.1 «осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы»). Определяются системы, где сертифицированные (прошедшие процедуру оценки соответствия) СЗИ необходимы для нейтрализации актуальных угроз (ст.19 152-ФЗ для ИСПДн). А про СЗИ без сертификатов на аттестованных объектах информатизации я и сам рассказать могу много. И про аттестаты на системы с единственных сертифицированным СЗИ тоже.


          1. Loreweil
            08.09.2016 06:26
            #9794608
            +1

            C СЗИ-то понятно, раньше могли в техническом задании обосновать использование несертефицированного бэкапера тем, что сертифицированных нет на рынке, сейчас уже будет сложнее, хотя 17 приказ любую меру компенсировать, которую затруднительно выполнить по следующим причинам: высокая стоимость, отсутствие апробированных технических реализаций, неприемлемо большие сроки реализации, отсутствие компетенции для эксплуатации и другие. Сложно, но возможно. Но нас тут пытаются убедить, что мы не можем прописать, что резервирование и восстановление мы делаем руками и тем самым выполняем требования и нейтрализуем угрозы. Я, как уже сказал, не против этого продукта, скорее даже за, пусть будет. А по поводу ручного/автоматического бэкапа все же напишу запрос на разъяснение во ФСТЭК. Мне-то в принципе все равно что ответят, мне главное получить ясность позиции регулятора.


  1. Mikeme55
    08.09.2016 09:14
    #9794740

    Я много раз сталкивался с тем, что позиция регулятора и надзора может быть очень разной, в зависимости от объекта и целей проверки, мнения конкретного исполнителя и т.д.И з приведенного мною текста, на мой взгляд, однозначно следует, что если угроза утраты целостности и доступности признана актуальной, для ее нейтрализации необходимо использовать сертифицированное СЗИ. Да, про компенсирующие меры и их обоснование в методичке очень много и правильно, но формальный повод для привлечения к административке по части 2 ст.13.12 КоАП существует. Все — на откуп надзору. А запросить разъяснение — это правильно. Только вот нормативного характера оно носить не будет, но это общая беда.


    1. Loreweil
      08.09.2016 10:08
      #9794832

      Ну вроде как и вернулись к тому, что как минимум вопрос не такой уж и однозначный =)
      Если проверка приходит с целью в итоге наказать, то формальный повод они найдут всегда, как бы прилизано все ни было.
      Скан письма с разъяснением всегда можно показать проверяющему, если он пытается продвигать противоположное мнение том, что изложено в письме, подписанном его начальством, обычно действует отрезвляюще.
      А так, да — даже у одного и того же сотрудника регулятора может быть сегодня одно мнение, а завтра диаметрально противоположное по одному и тому же вопросу. Это действительно проблема.