2022 год показал, что все риски использования иностранного ПО реализовались в полной мере. Российские пользователи столкнулись с отзывом лицензий, отключением технической поддержки и с недоступностью обновлений программных продуктов. Параллельно с этим изменились векторы атак. По данным «Лаборатории Касперского», ландшафт угроз изменился в сторону атак на государство, объекты критической информационной инфраструктуры и военно-промышленный комплекс. Очевидно, в таких условиях заметно вырос спрос на доверенные продукты от российских компаний с высокой культурой безопасной разработки.
Весной 2023 года МойОфис выпустил два новых продукта. И если про единое цифровое пространство Squadus мы уже выпустили несколько статей (1, 2, 3, 4), то про «Mailion. Сертифицированный» на Хабре ещё не рассказывали. По состоянию на май 2023 года — это единственная защищенная почта с действующим сертификатом ФСТЭК России (проверить сертификат можно здесь, по наименованию продукта).
Под катом мы подробно рассказываем о продукте, демонстрируем его возможности и рассказываем, как получить его на тестирование.
Кому нужна защищенная почтовая система
Область применения «Mailion. Сертифицированный» — работа с конфиденциальной информацией в крупных коммерческих и государственных организациях, которым требуется построение защищенных информационных систем и прохождение аттестации систем безопасности в соответствии с требованиями законодательства РФ. Другими словами, речь об организациях-субъектах КИИ (критической информационной инфраструктуры), которые владеют объектами КИИ: например, государственными информационными системами (ГИС), автоматизированными системами управления производственными и технологическими процессами (АСУ ТП), а также информационными системами персональных данных (ИСПДн).
Для начала разберемся, какие организации получили название субъектов КИИ и почему. Определяющую роль в этом сыграл федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно закону, субъектами КИИ являются государственные органы и учреждения, а также российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ. То есть организации, действующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
В чем особенность «Mailion. Сертифицированный»
Новый продукт дополняет платформу наших защищенных и доверенных офисных решений, в том числе для организаций-субъектов КИИ. Теперь, помимо коммерческой корпоративной почты Mailion, пользователям доступен отдельный сертифицированный продукт «Mailion. Сертифицированный».
В обоих случаях речь о почтовой системе, которая позволяет отправлять электронные письма, управлять событиями в календарях и работать с контактами в адресной книге. Решения разворачиваются на собственных серверных мощностях организации и обеспечивают возможность одновременной работы до 1 миллиона пользователей.
Так в чем же разница?
Наличие сертификата ФСТЭК России №4648 гарантирует соответствие «Mailion. Сертифицированный» 4 уровню доверия, который позволяет работать с конфиденциальной информацией, а также подтверждает отсутствие недекларированных возможностей и корректную реализацию 60 мер защиты информации.
В полном соответствии с требованиями приказов ФСТЭК России №239 и №21 в «Mailion. Сертифицированный» реализованы:
11 мер защиты данных при идентификации и аутентификации (ИАФ);
19 мер управления доступом (УПД);
2 меры ограничения программной среды (ОПС);
5 мер обеспечения целостности (ОЦЛ);
7 мер обеспечения доступности (ОДТ);
7 мер защиты информационной (автоматизированной) системы и ее компонентов (ЗИС);
требования к защите персональных данных для каждого из уровней защищенности — регистрация информации о событиях безопасности (РСБ) и контроль состава технических средств, программного обеспечения и средств защиты информации (АНЗ).
Меры защиты информации соответствуют требованиям безопасной разработки, предъявляемым к прикладному ПО. То есть разработка выполняется по требованиям ГОСТ Р 56939-2016 «Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования».
На что указывает сертификация ФСТЭК России
Только комплексный подход к информационной безопасности позволит преградить злоумышленникам доступ к критически важным данным. Применение доверенных программных средств создает серьезный барьер для киберкриминала и хактивистов.
Можно сказать что, сертификация ФСТЭК России — это гарантия доверия к ПО для заказчика. При прохождении сертификации регулятор проверяет отсутствие в программных продуктах недекларированных возможностей и уязвимостей. Это сложный и многоэтапный процесс подтверждения безопасности программного обеспечения, с одной стороны, и возможности его применения в информационных системах, имеющих законодательные требования в части информационной безопасности для заказчика, с другой стороны.
Основные участники процесса: заявитель, испытательная лаборатория и орган по сертификации — ФСТЭК России. Причем, прежде чем подтвердить качество того или иного программного обеспечения, регулятор проводит серию подготовительной работы и комплекс испытаний. Заявитель должен не только предоставить сам продукт, но и сопроводить его комплектом документации, оформленным по требованиям стандартов. После этого регулятор разрабатывает программы и методики сертификационных испытаний, а затем проводит испытания по ним. Испытания включают функциональное тестирование продукта, выявление уязвимостей и недекларированных возможностей, а также проверку цикла разработки.
Что такое вертикаль доверия
Модель информационной безопасности организации должна строиться на трех базовых принципах: конфиденциальность, целостность, доступность. Но многие отраслевые эксперты все чаще сходятся во мнении, что для современных компаний, которые составляют контур национальной безопасности страны, свойственен четвертый принцип: доверие.
ИТ-директор организации должен разработать политику информационной безопасности и выбрать подходящие ИТ-решения. Желательно, чтобы ИТ-инфраструктура была консолидирована и находилась под полным контролем организации, а используемые программные средства — стандартизированы и регламентированы.
В такой парадигме основным становится вопрос доверия, причем не только к самому программному обеспечению, но и ко всем составляющим ИТ-инфраструктуры. То есть к платформам, операционным системам, средам исполнения и, конечно, к офисному и прикладному ПО.
Таким образом, в центре вертикали доверия будет находится доверенная аппаратная база, которая лишена аппаратных закладок и уязвимостей в микрокоде. Следующий уровень — доверенная операционная система, обеспечивающая доверенную загрузку и программную виртуализацию. С помощью доверенной ОС устраняется риск эксплуатации уязвимостей самой ОС и её драйверов. Самый же верхний уровень занимают доверенное прикладное программное обеспечение, такое как, например, почтовая система «Mailion. Сертифицированный», и наложенные средства защиты информации (СЗИ). Они нивелируют риски эксплуатации уязвимости приложений и подбора паролей.
Как построить доверенную среду с помощью «Mailion. Сертифицированный»
Почтовая система «Mailion. Сертифицированный» относится к продуктам, которые построены на базе микросервисной архитектуры, а не на монолитном ядре (как, к примеру, MS Exchange). Поэтому для её работы требуется не только наличие доверенной операционной системы, но и доверенной среды исполнения, а среди всех существующих операционных систем такими средствами сегодня обладает только Astra Linux Special Edition 1.7. При этом отметим, что коммерческий продукт Mailion поддерживает значительно большее количество операционных систем.
Что получает пользователь почтовой системы
В целом функциональность серверной и клиентской части «Mailion. Сертифицированный» совпадает с возможностями коммерческой почты Mailion. Пользовательский веб-интерфейс обеспечивает доступ ко всем возможностям почтового сервера. Однако в целях обеспечения повышенной безопасности из состава сертифицированного решения были исключены настольные и мобильные клиенты, доступные пользователям коммерческого продукта .
Помимо работы с электронными письмами, пользователи могут создавать встречи и планировать совместную работу команд, работать с контактами и глобальной адресной книгой. Разумеется, доступны все основные корпоративные функции, такие как возможность делегировать доступ к ящику и календарю, группировать письма в беседы, отзывать отправленные письма и многое другое. Например, предпросматривать документы в письме, что избавляет пользователя от необходимости скачивать файлы.
Среди инновационных функций, реализованных в продукте, определенно стоит выделить интеллектуальную медиа-панель, сквозной морфологический поиск и распределенное объектное хранилище.
Медиа-панель агрегирует все материалы и участников одной ветки переписки и отражает их на специальной панели, благодаря чему пользователю становится гораздо легче найти нужные данные в цепочке сообщений.
Другая фирменная технология — так называемый называемый умный поиск с поддержкой морфологии языковых запросов. Почтовая система сначала определит заложенный в поисковом запросе смысл, а затем найдет релевантные письма и объекты.
Наконец, применение распределенного объектного хранилища DOS позволяет достичь сразу нескольких целей — сократить объем данных, которые хранятся на обычных накопителях, повысить скорость работы всей системы, сократить издержки на поиск нужных данных, а кроме того, избавиться от необходимости хранить все данные внутри одного ЦОД. Последнее обстоятельство позволяет, например, развернуть «Mailion. Сертифицированный» в крупной холдинговой структуре, включающей десятки и даже сотни географически удаленных предприятий.
Для большего понимания принципов работы хранилища почтовой системы, рекомендуем наши хабр-статьи:
Как получить продукт на тестирование
Отправьте заявку на сайте Mailion. С заказчиком свяжется представитель МойОфис и разъяснит порядок организации тестирования.
Выводы и перспективы
В 2023 году перевод информационных систем на отечественное ПО превратился в жизненную необходимость. Геополитическая напряженность привела к вызовам и угрозам совершенно нового типа, усилились атаки на государственную инфраструктуру и значимость защиты критически важных данных уже ни у кого не вызывает сомнения — с начала этого года с утечками столкнулись, к примеру, сервисы Сбера и Агентство Стратегических Инициатив. Очевидно, что чем дальше российские организации будут эксплуатировать небезопасное ПО, тем большее число компаний будет попадать в такой список.
Применение доверенных программных продуктов, которые прошли сертификационные испытания ФСТЭК России и лишены недекларированных возможностей, позволяет значительно усложнить жизнь злоумышленникам.
Отдельно отметим, что по состоянию на май 2023 года в России доступно только одно почтовое решение с действующим сертификатом ФСТЭК России, и это — «Mailion. Сертифицированный».
Комментарии (7)
Vinni37
22.05.2023 10:58Все бы хорошо, но открываем формуляр с сайта и как то с ходу в пункте 2.7 становиться не серьезно, я понимаю что это опечатка но все же если такие формуляры отгружаются конечным заказчикам у них могут быть проблеммы:
Опечатка
Mike_666
Ссылка на проверку сертификата не работает.
Вопрос относительно сертификации и уязвимостей:
Проверки в ходе сертификации могут выявить уязвимости, но не гарантировать их отсутствие. В будущем обязательно будут выявлены новые уязвимости (ошибки в коде продукта, используемых библиотеках, компилляторе). Как в этом случае организован процесс поставки обновлений с исправлением уязвимостей - обновление сначала проходит повторную сертификацию или же поставляется пользователям сразу?
Samamy
Каждая новая версия(считай обновление) проходит сертификацию
Mike_666
А сколько это занимает примерно времени? Т.е. сколько времени у пользователя живет версия с известными уязвимостями?
Samamy
А вот остальное не подскажу, но точно не меньше нескольких месяцев там очень много бюрократии со ФСТЭК/ФСБ, там своя лаборатория которая это делает(причем скорее всего не бесплатно).
myoffice_ru Автор
Здравствуйте. Отвечаем по порядку:
Спасибо, что заметили ошибку. За время подготовки статьи обновился сайт ФСТЭК, заменили ссылку на корректную.
Процедура описана в формуляре и к сертифицированным версиям предъявляются требования ФСТЭК России по устранению найденных уязвимостей: информирование пользователей об уязвимостях и возможных компенсирующих мерах в срок не позднее 48 часов с момента выявления, общий срок устранения не должен превышать 60 дней с момента выявления (на практике мы стараемся сделать это как можно быстрее). В последующем все обновленные версии, содержащие исправления, проходят инспекционный контроль во ФСТЭК России.