Jump to content
Zandatsu

Сертификация ФСБ и ФСТЭК для продуктов ЛК [В процессе]

Recommended Posts

В 02.02.2018 в 15:18, OlegAndr сказал:

 

Это значит, что некоторый расширенный функционал KES 10 SP2 не сможет быть использован через KSC 10 SP2.  В настоящий момент мы готовим более подробную информацию по этому вопросу, это займет некоторое время.

Здравствуйте. Готова ли данная информация? И где с ней можно будет ознакомиться.

Share this post


Link to post

На данный момент ситуация такова: обновление сертификата ФСТЭК аннулировало сертификацию KES10SP1. То есть нам ничего не остается, как обновляться до сертифицированного KES10SP2. При этом на данный момент сертифицирован только KSC10SP2. Со слов техподдержки стабильность работы этой связки не просто ограничена, а вообще не исследована и не гарантируется. 

Так как быть организациям, которые приобретали (при том  за не малые деньги) соответствующий всем требованиям (сертифицированный ФСТЭК) продукт? И вдруг получили тыкву! ЛК вообще как-то собирается прокомментировать ситуацию, озвучить планы, дать официальные рекомендации!? (с момента возникновения ситуации прошло почти 3 месяца).

Share this post


Link to post
В 21.03.2018 в 13:02, dpk42 сказал:

На данный момент ситуация такова: обновление сертификата ФСТЭК аннулировало сертификацию KES10SP1. То есть нам ничего не остается, как обновляться до сертифицированного KES10SP2. При этом на данный момент сертифицирован только KSC10SP2. Со слов техподдержки стабильность работы этой связки не просто ограничена, а вообще не исследована и не гарантируется. 

Так как быть организациям, которые приобретали (при том  за не малые деньги) соответствующий всем требованиям (сертифицированный ФСТЭК) продукт? И вдруг получили тыкву! ЛК вообще как-то собирается прокомментировать ситуацию, озвучить планы, дать официальные рекомендации!? (с момента возникновения ситуации прошло почти 3 месяца).

Из-за медлительности работы госорганов, проводящих сертификацию, всегда будет зазор где-то в один год между сертифицированной версией и текущей/актуальной версии продуктов ЛК. Сделать тут ничего не получится, просто нужно быть готовым к такому исходу.

PS. В ближайшее время MS выпустит обновление W10 1803 и тут получается кот в мешке. Легко может оказаться так, что KES 10 SP2 (+MR1) не заработает на этой ОС. И всё, ближайшие две итерации обновлений W10 для организаций, использующих сертифицированные продукты ЛК, будут закрыты для использования.

Edited by Zandatsu

Share this post


Link to post
On 3/19/2018 at 10:32 AM, 065KistenevAS said:

Здравствуйте. Готова ли данная информация? И где с ней можно будет ознакомиться.

Тестирование закончили, ситуация следующая:

Блокеров для использования сертифицированной пары (KES 10 SP2 + KSC 10 SP2)  не найдено: сертифицированный функционал САВЗ работает в заявленном объеме.

Есть ограничения в Контроле запуска программ и Контроле устройств

  • Контроль запуска программ: недоступно управление из KSC
  • Контроль устройств: нет отчета KSC по логированию операций записи/удаления файлов со съемных носителей.

Техническая поддержка будет будет принимать запросы по этой связке продуктов при выполнении следующих условий:

  • от клиентов РФ
  • на сертифицированной версии KES/KSC
  • проблемы касающиеся сертифицированного функционала

Share this post


Link to post

А давайте я задам свой любимый вопрос в этой теме.
Когда ЛК будет получать сертификат ФСТЭК на следующую версию KES (10.х/11)? Или сохраняется стандартная схема "один сертификат раз в год"? Или будете до упора ждать релиза KES 11 (когда бы он ни случился) и сертифицировать уже его?

Edited by Zandatsu

Share this post


Link to post

Следующие версии будут KES 11 +KSC10 SP3. Рекомендованная связка.

Share this post


Link to post
16 минут назад, OlegAndr сказал:

Следующие версии будут KES 11 +KSC10 SP3. Рекомендованная связка.

Так когда? 1 год с даты релиза?

Share this post


Link to post

Мы приложим все усилия, чтобы быстрее. Документы на KSC я пишу прямо сейчас. :-)

Share this post


Link to post

Здравствуйте, планируется ли сертификация KES10 для Linux  по требованиям  ФСБ России?

Share this post


Link to post
1 hour ago, midwy said:

Здравствуйте, планируется ли сертификация KES10 для Linux  по требованиям  ФСБ России?

Планируется. Релиз с поддержкой замкнутой среды.

Share this post


Link to post

При использовании сертифицированной версии можно ли устанавливать галочку "Загружать обновления модулей программы"?

Будет ли это противоречить требованиям защиты информации?

 

avp_2018-05-17_09-05-18.png.d2a12289ec7e1767c1d6cbb37fcb48c3.png

Share this post


Link to post
12 минут назад, vorob сказал:

При использовании сертифицированной версии можно ли устанавливать галочку "Загружать обновления модулей программы"?

Будет ли это противоречить требованиям защиты информации?

Если вы разрешите антивирусу обновлять себя, то как только/если к нему выйдет какой-нибудь сервис-пак или иное обновление, то ваша версия перестанет быть сертифицированной. Со всеми вытекающими последствиями.

Share this post


Link to post

Добрый день. Может кто-то подскажет: в ИСПДн мы обязаны использовать сертифицированные средства защиты информации, в т.ч. и антивирусные продукты. На станциях и серверах очевидно должна быть установлена сертифицированная версия, а обязательно ли должен быть сертифицированный KSC?

Share this post


Link to post

KSC - это антивирусное средство типа А, на него требование тоже распространяется.

Share this post


Link to post

Подскажите, пожалуйста, можно ли при использовании сертифицированных версий разрешать продуктам доступ к KSN? 

Share this post


Link to post
1 hour ago, dpk42 said:

Подскажите, пожалуйста, можно ли при использовании сертифицированных версий разрешать продуктам доступ к KSN? 

Нет, возможно только использование сервиса KPSN - локальной копии KSN которая развертывается в инфраструктуре заказчика, в том числе за воздушным зазором если необходимо..

Share this post


Link to post
8 минут назад, OlegAndr сказал:

Нет, возможно только использование сервиса KPSN - локальной копии KSN которая развертывается в инфраструктуре заказчика, в том числе за воздушным зазором если необходимо..

Я правильно понимаю, что нельзя настроить доступ к KSN на KSC и потом использовать управляющий сервер в качестве прокси? Только локальный KSN настраивать? В чём разница между ними? Почему возникло такое ограничен

Share this post


Link to post
14 minutes ago, Zandatsu said:

Я правильно понимаю, что нельзя настроить доступ к KSN на KSC и потом использовать управляющий сервер в качестве прокси? Только локальный KSN настраивать? В чём разница между ними? Почему возникло такое ограничен

KSN - репутационный сервис, который принимает данные от антивирусов об обнаруженных объектах (URL, паттернах поведения программ и т.д.) и в ответ направляет данные об их репутации, если она известна.  Для аттестованных систем это считается каналом утечки данных - т.к. данные передаётся вовне периметра ИС. Подробнее https://www.kaspersky.ru/about/data-protection

Для этих случаев разработан  KPSN - Локальный KSN, где эти запросы проходят внутри инфраструктуры заказчика и его периметра не покидают.

KSN Proxy в составе KSC  лишь проксирует и кеширует запросы в KSN/KPSN. А вот куда пойдут запросы определяется отдельно.

Share this post


Link to post
В 29.03.2018 в 19:45, OlegAndr сказал:

Мы приложим все усилия, чтобы быстрее. Документы на KSC я пишу прямо сейчас. :-)

Приветствую!
Есть ли новости по сертификации KES 11? Или ничего не поменялось и только в конце года как обычно?

Share this post


Link to post

Прошла неделя, а вопрос актуальности так и не потерял.

Share this post


Link to post

Добрый день, именно сертификацией его мы сейчас и занимаемся. Но да, конец года по-прежнему самый реальный срок.

Share this post


Link to post

Сертификат №3025 имеет профили защиты:
типа Б второй класс защиты
типа В второй класс защиты
типа Г второй класс защиты
при условии выполнения указаний по эксплуатации, приведенных в формуляре:
Открываем формуляр на KES 10 windows п. 2.4 использовать для ИСПДн, и не использовать для государственной тайны (ГТ) !!!!!!!!
Вопрос по профилям защиты касперский подходит для АРМ обрабатывающих ГТ, а по формуляру получается что нельзя, дайте разъяснения можно его использовать или нет
В паспорте на KSC 10 п 2.5 четко оговаривает что можно использовать в ИС ГТ!!!!

Share this post


Link to post

В пункте 2.4 не написано "не использовать", там написано про ГИС. Он вам ничего не запрещает.

В формуляре KSC есть такой же пункт 2.4 + пункт 2.5 про ГТ, но он, строго говоря, не нужен, если есть сертификат на 2 уровень. Дело в том что ссылка на текущую нормативку в формуляре - очень волатильная история, зависит от личного мнения конкретных участников процесса сертификации. 

Share this post


Link to post
В 29.03.2018 в 16:59, OlegAndr сказал:

Тестирование закончили, ситуация следующая:

Блокеров для использования сертифицированной пары (KES 10 SP2 + KSC 10 SP2)  не найдено: сертифицированный функционал САВЗ работает в заявленном объеме.

Есть ограничения в Контроле запуска программ и Контроле устройств

  • Контроль запуска программ: недоступно управление из KSC
  • Контроль устройств: нет отчета KSC по логированию операций записи/удаления файлов со съемных носителей.

 

Сегодня нашел еще одни грабли сертифицированной связки. Одна экзотическая программа попадала в Слабые ограничения и из-за этого не могла получить доступ к веб-камере. Но чтобы принудительно добавить эту программу в группу Доверенные в Контроле активности программ - нужно выбрать исполняемый файл из реестра файлов. А KES 10 SP2 хочет только файлы с хэшами SHA-256. KSC 10.3 SHA-256 не понимает. Так что в группу Доверенных программ добавить не получилось.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.