Сертификация ФСБ и ФСТЭК продуктов Лаборатории Касперского

[Zandatsu]

Так как форум больше недоступен, то продолжаю свою тему тут.

Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам?

//ModNote:

Ответ в сообщении.

Тема из одного вопроса конвертирована в обсуждение различных вопросов по сертифицированным версиям (ФСТЭК, ФСБ).

Статьи Базы знаний по теме:

KES 11, 12 https://support.kaspersky.ru/14693

KES 10 https://support.kaspersky.ru/11319

KSC https://support.kaspersky.ru/11320

KSWS https://support.kaspersky.ru/13750

Полный список https://support.kaspersky.ru/common/certificates

[dpk422]

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?

[Zandatsu]

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?

Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275. В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция.

[dpk422]

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?

Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275. В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция.

Вообще сертификат для KES 10.3.0.6294 валиден и выдавался до 25.11.19. Вопрос в том, означает ли переоформление этого сертификата, что версия 10.3.0.6294 более не является сертифицированной. По идее в сертификате указывается номер формуляра, в котором в свою очередь контрольные суммы. Исходя из этой логики сертифицированность предыдущей версии слетела автоматически.

[Zandatsu]

Вообще сертификат для KES 10.3.0.6294 валиден и выдавался до 25.11.19. Вопрос в том, означает ли переоформление этого сертификата, что версия 10.3.0.6294 более не является сертифицированной. По идее в сертификате указывается номер формуляра, в котором в свою очередь контрольные суммы. Исходя из этой логики сертифицированность предыдущей версии слетела автоматически.

На мой взгляд сертификаты не должны отменять друг друга пока есть формуляры на руках. Но предлагаю дождаться тут ответа спецов ЛК по сертификации (если они вообще сюда заходят).

[Success]

Так как форум больше недоступен, то продолжаю свою тему тут. Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам?

Прошел по ссылке, действительно внушительный список, насчитал порядка 60 патчей. Стало интересно сколько патчей включено в KES 10, если правильно нашел ссылку https://support.kaspersky.ru/14426#block1 то в нем под сотню, можно сказать в два раза меньше. Может большое количество патчей норма?

[Zandatsu]

Может большое количество патчей норма?

Большое количество патчей означает, ИМХО, что продукт, мягко говоря, недоделали, не довели до ума, не протестировали как следует (нужное подчеркнуть). Беда в том, что те, кто вынуждены использовать сертифицированные сборки, не могут ими (патчами) воспользоваться, а ЛК не может произвести аттестацию новых сборок (тех, что уже с патчами) в короткие сроки.

[Kommunist7304]

Вот что написано в формуляре KES 10: 6.5.Предприятие, осуществляющее эксплуатацию программного изделия, должно периодически (не реже одного раза в 6 месяцев) проверять отсутствие обнаруженных уязвимостей в программном изделии, используя сайт предприятия-изготовителя (https://support.kaspersky.ru/vulnerability), базу данных уязвимостей ФСТЭК России (www.bdu.fstec.ru) и иные общедоступные источники. 12.6.В случае обнаружения уязвимостей, изготовитель распространяет обновления безопасности потребителям. Для этого изготовитель:Доводит до потребителя информацию о наличии уязвимости и способах ее устранения путем рассылки по электронной почте, указанной при заказе программного изделия, и публикации на своем веб-сайте на странице https://support.kaspersky.ru/vulnerability;Проводит в установленном порядке сертификационные испытания обновления безопасности;Размещает обновление безопасности, измененную эксплуатационную документацию, обновленный сертификат соответствия (в случае переоформления) на странице https://certifiedbuilds.kaspersky.ru/;Потребитель, при получении указанной информации, предпринимает необходимые действия для обновления программного изделия, описанные в разделе 16. 16.2.Этапы жизненного цикла обновлений программного изделия от выпуска до применения: там здоровенная табличка - читайте сами. 16.3.Потребитель может получить обновление 3 типа следующими способами: 1.Приобрести новый комплект поставки программного изделия («медиа-пак»), содержащий обновление и эксплуатационную документацию в печатном виде, согласно комплекту поставки (см. п. 5.1), обратившись к дистрибьюторам АО «Лаборатория Касперского». 2.Загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с веб-сайта АО «Лаборатория Касперского» (https://certifiedbuilds.kaspersky.ru). По итогу получается что медиапак можно использовать не более 6 месяцев после выхода более новой версии. Если у Вас периодическая проверка по журналу учета проверки новой версии ПО произойдет раньше истечения этого срока - значит и обновиться надо раньше. Срок действия сертификата указывает на максимальный срок действия, но он может быть снижен из-за различных причин: отозван службой сертификации, обнаружение критической уязвимости из-за которой выпустили новый сертифицированный дистрибутив и другие факторы, на которые организация - эксплуатант ПО не может повлиять. Также имеются гарантийные обязательства ЛК к дистрибутиву равному 12 месяцам с момент приобретения медиапака. Можно ли по этим гарантийным обязательствам обменивать медиапак на актуальный - я не знаю, т.к. не проверял. Учитывая что медиапак копеечный никогда этим не заморачивался, а просто раз в год заказывал новый медиапак.

[dpk422]

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?

Ответ техподдержки: версия 10.3.0.6294 остается сертифицированной в течение всего срока действия выданного на неё сертификата.

[Zandatsu]

Ответ техподдержки: версия 10.3.0.6294 остается сертифицированной в течение всего срока действия выданного на неё сертификата.

А можно ссылку где вам такой ответ дали? Или это было в CA?

[Sir_Freeze]

Коллеги! По-моему, Вы немного запутались и путает остальных! По поводу сертификации ФСТЭК. В сертификате ФСТЭК четко указано "Kaspersky Endpoint Security 10 для Windows" и не о каких-либо конкретных паках/релизах версии 10 разговора нет. Т.е. юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата, а просто самостоятельно специальным образом подготовив цифровой носитель с устанавливаемым паком/релизом версии 10 либо купить новый медиапак из-за установочного диска. (С версией 11 все происходит аналогичным способом). По поводу сертификации ФСБ. Тут в сертификате ФСБ конкретно указана версия, пак, релиз, и поэтому использование любой не совпадающей с указанной в сертификате версии/пака/релиза требует приобретение нового медиапака с требуемым сертификатом и этой же версии KES на установочном диске.

[Zandatsu]

Коллеги! По-моему, Вы немного запутались и путает остальных! По поводу сертификации ФСТЭК. В сертификате ФСТЭК четко указано "Kaspersky Endpoint Security 10 для Windows" и не о каких-либо конкретных паках/релизах версии 10 разговора нет. Т.е. юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата, а просто самостоятельно специальным образом подготовив цифровой носитель с устанавливаемым паком/релизом версии 10 либо купить новый медиапак из-за установочного диска. (С версией 11 все происходит аналогичным способом). По поводу сертификации ФСБ. Тут в сертификате ФСБ конкретно указана версия, пак, релиз, и поэтому использование любой не совпадающей с указанной в сертификате версии/пака/релиза требует приобретение нового медиапака с требуемым сертификатом и этой же версии KES на установочном диске.

Не вводите в заблуждение остальных. Первое. Когда ЛК проводит ФСБ/ФСТЭК сертификацию, то всегда и везде указывается ЧТО именно она сертифицирует, вплоть до конкретной сборки. Страница 3 формуляра ФСТЭК на KES 10, к примеру. Второе. Когда/если организация покупает медиапак ФСБ и/или ФСТЭК, то там в формуляре указаны конкретные контрольные суммы того антивируса, который разрешено ставить в рамках данного сертификата и данного формуляра. Установка любых других патчей/сборок ведёт к неизбежному изменению приведённых контрольных сумм и нарушением сертифицированного статуса установленного продукта. То есть ставить-то можно, но сертифицированным антивирусом на ПК уже не будет. Третье. Сами сотрудники поддержки ЛК в курсе того, что на сертифицированные сборки запрещено ставить патчи (а MR/SP/PF это и есть патчи). В CA мы это уже проходили неоднократно. Четвёртое. Вам не кажется странным, что ЛК отдельно провела сертификацию одной из сборок KES 10 и отдельно сообщила об этом, хотя сертификат предыдущей версии KES 10 ещё не закончился? Если бы ваши утверждения имели отношение к реальности, то ЛК, исходя из вашей логики, сделала это зря, ведь можно "обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата". У вас точно есть письменные подтверждения/разрешения от ЛК/контролирующих органов, что так можно делать или это лишь теоретические предположения? В любом случае предлагаю дождаться ответов сотрудника ЛК, который специализируется на сертификации.

[Sir_Freeze]

Ах, да простите, забыл, что многие не читают данных рекомендаций https://certifiedbuilds.kaspersky.ru/?_ga=2.59018157.1268668469.1558444336-1658925467.1537341783 по самостоятельному скачиванию обновленных формуляров, носителей и т.д.! Это же так сложно! Про патчи я абсолютно ничего не говорил, ибо это однозначно персональные сборки и сертификации они не имеют, пока не войдут в конкретный пак/релиз. И если Вы почитает по приведенной выше ссылке, то Вы поймете, что по мнению ЛК: обновление - использование новых дистрибутивов и сопутствующей документации заказчиками, имеющих сертифицированный медиапак с предыдущей версией продукта (имеющей тот же номер сертификата соответствия). А заказ медиапака при приобретении новых сертифицированных продуктов является обязательным (т.е имеющие другой номер сертификата соответствия).

[Zandatsu]

Ах, да простите, забыл, что многие не читают данных рекомендацийhttps://certifiedbuilds.kaspersky.ru/?_ga=2.59018157.1268668469.1558444336-1658925467.1537341783по самостоятельному скачиванию обновленных формуляров, носителей и т.д.! Это же так сложно! Про патчи я абсолютно ничего не говорил, ибо это однозначно персональные сборки и сертификации они не имеют, пока не войдут в конкретный пак/релиз. И если Вы почитает по приведенной выше ссылке, то Вы поймете, что по мнению ЛК: обновление - использование новых дистрибутивов и сопутствующей документации заказчиками, имеющих сертифицированный медиапак с предыдущей версией продукта (имеющей тот же номер сертификата соответствия). А заказ медиапака при приобретении новых сертифицированных продуктов является обязательным (т.е имеющие другой номер сертификата соответствия).

Хм. Ну, тогда я отсылаю вас вот к этой статье базы знаний, https://support.kaspersky.ru/common/certificates/11319, в которой чёрным по зелёному написано, цитирую "Если на предприятии уже применяется сертифицированная версия продукта и принято решение заменить ее на новую сертифицированную версию, уже прошедшую инспекционный контроль, предприятию необходимо приобрести обновленный медиа-пак у наших партнеров или загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с сайта АО «Лаборатория Касперского»". Это противоречит вашему утверждению, цитирую "...юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата...", в котором вы говорите, что можно якобы ставить что угодно в пределах, к примеру, версии 10 пока действует сертификат.

[Sir_Freeze]

Zandatsu Хм. Вы пытаетесь опровергнуть мои слова подтверждая мои слова??? Если Вы все же так и не поняли не моих слов, не своих, то я поясню (используя цитаты из моей и Вашей ссылки на сайт ЛК): изменение релиза/пака в пределах одного ПО (например, Kaspersky Endpoint Security 10 для Windows, имеющей тот же номер сертификата соответствия) не требует приобретение нового сертификата - называется у ЛК: "Замена на новую сертифицированную версию". переход с одного ПО на другое (например, с Kaspersky Endpoint Security 10 для Windows на Kaspersky Endpoint Security 11 для Windows, имеющих разные номера сертификатов соответствия) требую приобретение нового медиапака - называется у ЛК: "Приобретении новых сертифицированных продуктов".

[Zandatsu]

Zandatsu Хм. Вы пытаетесь опровергнуть мои слова подтверждая мои слова???

Nope. Просто ваше исходное сообщение с моей колокольни имело для меня тот смысл, что можно ставить что угодно пока есть сертификат и пока он действует. А я хотел сказать в своих ответах, что менять сертифицированную версию можно только на другую сертифицированную версию, а не на какую хочется. Я ничего не говорил про купленные медиапаки и возможность обновления с https://certifiedbuilds.kaspersky.ru/. Тут у меня нет возражений кроме одного. Обновление с https://certifiedbuilds.kaspersky.ru/ неприменимо для версии 11, там только покупать медиапак. Хотя мы покупаем все медиапаки для всех сертифицированных версий на всякий случай.

[Sir_Freeze]

Zandatsu Рад, что мы с Вами достигли взаимопонимания. По поводу KES 11, к Вашим словам могу добавить только одно: по мнению ЛК это НЕ новая версия, а новый продукт, и, соответственно, переход с KES 10 на KES 11 возможен только покупкой медиапака. Обновление же версий внутри продукта KES 11 пока не доступно из-за наличия только одной сертифицированной версии, которая и присутствует в составе медиапака, 11.0.0.6499.

[Kommunist7304]

Zandatsu Рад, что мы с Вами достигли взаимопонимания. По поводу KES 11, к Вашим словам могу добавить только одно: по мнению ЛК это НЕ новая версия, а новый продукт, и, соответственно, переход с KES 10 на KES 11 возможен только покупкой медиапака. Обновление же версий внутри продукта KES 11 пока не доступно из-за наличия только одной сертифицированной версии, которая и присутствует в составе медиапака, 11.0.0.6499.

Насколько я знаю в новых медиапак кладут уже KES 11.0.1.90. А насчет слов @Zandatsu что он воспринял ваши слова как "ставлю что хочу в пределах одной версии", то я ваши слова прочитал точно так же и точно так же с ними не согласен что "что хочу, то и ворочу", а только прошедшие сертификацию (как и написал @Zandatsu). Опять же в самом формуляре KES 10 указано только 2 варианта обновления сертифицированной версии: новый медиапак или сертифицированный дистрибутив с https://certifiedbuilds.kaspersky.ru/. Надеюсь другие пользователи воспримут ваши слова в том виде, который согласуется с позицией ЛК и контролирующих органов, а не том, в котором им удобнее.

[Sir_Freeze]

Kommunist7304 Опять 25! Не надо додумывать мои слова! Я написал только то, что и хотел написать! Во первых, в данной теме обсуждаются сертифицированные версии продуктов Kaspersky. Во вторых, кто запрещает обновляться на любую версию в рамках одного продукта? Например, у меня установлен KES 10.2.4.674, планирую обновить его в рамках данного сертификата до KES 10.3.0.6294 или 10.3.3.275. Можно ли? Можно. Главное все выполнить в соответствии с "Порядком загрузки и применения обновлений" https://certifiedbuilds.kaspersky.ru/ .

[Zandatsu]

Насколько я знаю в новых медиапак кладут уже KES 11.0.1.90.

У меня сейчас есть на руках медиапак ЛК с KES 11, но внутри только сборка 11.0.0.6499. Если бы другие версии KES 11 прошли аттестацию, то ЛК бы об этом написала и в почту и на сайте. Но увы, сертификация это процесс длиной в 12-15 месяцев...

[Zandatsu]

Вопрос сотрудникам ЛК. По этой теме будет ли ответ от ваших коллег, ответственных за сертификацию? Или тут ждать бесполезно и лучше писать в CA?

[OlegAndr]

Всем привет. Я не очень отследил переезд любимой темы на новую платформу. По пунктам: Новое положение ФСТЭК изменяет условия использования сертифицированной версии. Вы можете прочитать на сайте ФСТЭК, но вкратце:

1. Пользователь может использовать сертифицированную версию, которая у него стоит пока: a) не кончилась техническая поддержка. б) для данной версии нет открытых уязвимостей.
2. Окончание срока действия сертификата означает что ЛК не может больше отгружать этот продукт заказчикам в сертифицированных медиапаках (или онлайн). Пользователи могут продолжать на ней сидеть пока выполняется условие выше.
3. при проведении инспекционного контроля срок действия сертификата теперь не продлевается.
4. сертификат на 5 лет.

Что это значит для нас:

1. под продуктом тут понимаем конкретный билд, соответствующий указанному в формуляре.
2. соответственно как только новый билд проходит ИК (в описываемом случае SP2MR3) мы перестаём отгружать SP2 (68-05), т.к. сертификат на него больше не действует а действует на SP2MR3 (68-06). Но пользователи могут на нём (SP2) сидеть пока не закончится его ТехПоддержка.
3. продукты, прошедшие ИК в рамках одного номера сертификата выкладываются на certifiedbuilds.
4. прошедший сейчас ИК версии SP2MR3 не повлиял на срок сертификата и он заканчивается 25 ноября 2019 года. Таким образом отгрузка версии SP2MR3 прекратится в этот день.
5. Насколько я знаю по умолчанию сейчас грузят KES11, KES10 только по явному заказу.

Если у нас не очень понятно где-то написано - скажите мы поправим.

Обновление же версий внутри продукта KES 11 пока не доступно из-за наличия только одной сертифицированной версии, которая и присутствует в составе медиапака, 11.0.0.6499.

Именно так. Версия 11.1.1.хххх планируется к сертификации.

[Zandatsu]

Именно так. Версия 11.1.1.хххх планируется к сертификации.

Возникли вопросы.

1. Есть ли новости касательно сроков сертификации версии 11.1? Есть ли вероятность что сроки будут меньше чем раньше?
2. С учётом того, что сертифицированные сборки теряют более эксплуатации из-за прохождения ИК, возможно ли увеличение сроков техподдержки для сертифицированных сборок? Что-то типа LTSB/LTSC веток определённых версий W10 у MS. К примеру, если сертификат 5 лет живёт, то пусть техподдержка будет тоже 5 лет или что-то вроде того.
3. Вы говорили про открытые уязвимости. Где/как их мониторить?

[OlegAndr]

Возникли вопросы.

1. Есть ли новости касательно сроков сертификации версии 11.1? Есть ли вероятность что сроки будут меньше чем раньше?

Нет. У нас тут как парадокс ахиллеса и черепахи, как только мы отлаживаем процесс, ФСТЭК вносит в него изменения.

1. С учётом того, что сертифицированные сборки теряют более эксплуатации из-за прохождения ИК, возможно ли увеличение сроков техподдержки для сертифицированных сборок? Что-то типа LTSB/LTSC веток определённых версий W10 у MS. К примеру, если сертификат 5 лет живёт, то пусть техподдержка будет тоже 5 лет или что-то вроде того.

У вас ошибка? Не очень понятно. Вариант LTSB обсуждали, пока нет такого решения. Практика показывает что поддержка версий, на которых люди сильно задерживаются часто продлевается. Заранее гарантировать расширенные сроки поддержки не можем.

1. Вы говорили про открытые уязвимости. Где/как их мониторить?

http://bdu.fstec.ru https://support.kaspersky.ru/vulnerability Также при обнаружении открытых уязвимостей в сертифицированных продуктах мы будем делать рассылку по подписавшимся на рассылку сертификационных новостей, а возможно и более широким охватом.

[Zandatsu]

У вас ошибка? Не очень понятно. Вариант LTSB обсуждали, пока нет такого решения. Практика показывает что поддержка версий, на которых люди сильно задерживаются часто продлевается. Заранее гарантировать расширенные сроки поддержки не можем.

Да, пардон, я пропустил слово. Хотел сказать "...сертифицированные сборки теряют более года эксплуатации из-за прохождения ИК..." К примеру, KES 11.0 релизнулся 10.04.19, ИК прошёл почти через год (включая приобретение медиапака), а поддержка отвалится 01.04.21. То есть треть жизненного цикла продукта ушла впустую пока продукт проходил ИК. Поэтому было бы справедливо сертифицированные продукты поддерживать, к примеру, плюс дополнительный год потому что те, кто пользуются ими в силу необходимости, этот год потеряли не по своей вине, но за свои деньги. Что касается вашего высказывания о том, что "...поддержка версий, на которых люди сильно задерживаются часто продлевается", то, честно говоря, для меня это новость. Я минимум за последние 5-6 лет нигде не видел никаких сообщений от ЛК, что они на какие-то версии продлевали поддержку. Особенно для сертифицированных продуктов. Обычно вся поддержка хором "пинками и вилами" всех выгоняет на новые версии продуктов так как текущие всё, более не поддерживаются. Если у вас есть какие-то данные о том, что продления поддержки были, то накидайте, пожалуйста, ссылок, я хоть почитаю, вдруг пригодится в будущем.