Как указано в экспертном заключении Органа по сертификации ФАУ «ГНИИИ ПТЗИ ФСТЭК России», СКДПУ соответствует требованиям документов Т ДОВ по 4 уровню доверия и технических условий ЦВЛК.3260.12.ТУ.
Компанией «АйТи БАСТИОН» обеспечивается поддержка безопасности СКДПУ в ходе его разработки и эксплуатации. Программная и эксплуатационная документация на продукт соответствует требованиям по безопасности информации и позволяет осуществлять его эксплуатацию и поддержку безопасности.
Сертификационные испытания проведены в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55. На основании результатов сертификационных испытаний орган по сертификации ФАУ «ГНИИИ ПТЗИ ФСТЭК России» посчитал возможным оформить сертификат соответствия требованиям безопасности информации на СКДПУ. Сертификат СКДПУ №4465 от 17.10.2021 внесен в Государственный реестр сертифицированных средств защиты информации.
«Над получением этого сертификата мы работали больше года. В тот момент, когда в 2020-ом году регулятор отменил сертификацию на НДВ в России, мы уже были в процессе оформления сертификата на НДВ 4. И нам пришлось достаточно жестко «перезаходить» в сертификацию по ОУД. Заявку нам оставили, но вся остальная документация была серьезно доработана», — рассказал технический директор «АйТи БАСТИОН» Дмитрий Михеев.
Система контроля действий поставщиков ИТ-услуг компании «АйТи БАСТИОН» является единственным на текущий момент решением на российском рынке информационной безопасности в своем классе, которое не только имеет действующий сертификат по ОУД, но и работает под управлением операционной системы, внесенный в реестр отечественного ПО и имеющие соответствующие сертификаты.
СКДПУ реализует функции безопасности в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11.02.2013 г.) и методическим документом «Меры защиты информации в государственных информационных системах» (полный список приведён ниже).
Также СКДПУ обеспечивает защиту от следующих угроз безопасности информации:
• несанкционированный доступ к информации, содержащейся в СКДПУ и контролируемых автоматизированных системах;
• несанкционированное уничтожение, блокирование, модификация, копирование информации, содержащейся в СКДПУ и контролируемых автоматизированных системах;
• несанкционированная передача информации из СКДПУ и контролируемых автоматизированных систем в информационно-телекоммуникационные сети или иные информационные системы.
«Получение сертификата ФСТЭК РФ на наш продукт ждали и мы, и наши заказчики. Многим из них нужна не просто надёжная система по управлению доступом и действиями привилегированных пользователей, но и то решение, которое «закрывает» требования регулятора по импортозамещению и сертификации. Теперь, когда сертификат у нас в руках, мы можем удовлетворить запросы, в первую очередь, крупных заказчиков из государственного сектора», — считает генеральный директор «АйТи БАСТИОН» Александр Новожилов.
Компания продолжает развитие продукта по обеспечению безопасного доступа в ИТ-инфраструктуру СКДПУ НТ и работает над предоставлением все более широких возможностей для своих текущих и будущих Заказчиков.
***
В соответствии с требованиями документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11.02.2013 г.) и методического документа «Меры защиты информации в государственных информационных системах» (утверждены ФСТЭК России 11.02.2014 г.) СКДПУ реализует следующие функции безопасности:
• ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора;
• ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных;
• ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
• ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
• ИАФ.5 Защита обратной связи при вводе аутентификационной информации;
• УПД.1 (усиление 1, 2) Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
• УПД.2 (усиление 2) Реализация необходимых методов управления доступом (ролевой и дискреционный), типов и правил разграничения доступа;
• УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
• УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации;
• УПД.10 (усиление 2) Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
• УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;
• РСБ.1 (усиление 2, 3) Определение событий безопасности, подлежащих регистрации, и сроков их хранения;
• РСБ.2 (усиление 1а, 4) Определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
• РСБ.3 Cбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
• РСБ.4 (усиление 1) Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти;
• РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;
• РСБ.7 Защита информации о событиях безопасности;
• РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе.
Состав и характеристики функций безопасности СКДПУ соответствуют требованиям по безопасности информации, на соответствие которым проводились сертификационные испытания.
