«АйТи Бастион» дважды получал сертификат на своё решение СКДПУ. Последний раз – осенью 2022 года после почти годовой работы с регулятором, лабораториями и документами. В компании сформировался мощный отдел профессионалов – технических писателей. Эти люди не просто говорят на одном языке с регуляторами, они понимают и даже чувствуют нормативные документы.
Сейчас рынок российского ИБ переживает непростые времена. Одни вендоры ушли насовсем, другие в том или ином виде остались, третьи пришли, четвертые решили получать сертификаты регуляторов для освоения новых «полей». Никоим образом не сомневаясь в тщательности работы лабораторий и регуляторов, осмелимся всё же дать несколько советов тем заказчикам, которые приобретают или берут «на пилот» «свежесертифицированные» решения.
На что обратить внимание?
При получении дистрибутива могут возникнуть вопросы к производителю, если:
- при получении дистрибутива обнаруживаются какие-то пакеты, суммы которых не указаны в формуляре. Контрольные суммы файлов должны быть указаны в формуляре.
- в формуляре отсутствуют контрольные суммы каких-либо файлов, при этом нет никаких пояснений по этому поводу.
- какая-то часть на дистрибутиве преподносится заказчику как сертифицированная, а другая идет вроде бы как поддержка сертифицированного решения.
Каждая из этих ситуаций свидетельствует о том, что с дистрибутивом или с продуктом что-то не так.
Вопрос «Как такое может быть?» — нужно задать вендору и получить на него развернутый ответ.
Потому что контрольные суммы исполняемых файлов на дистрибутиве, которые разворачиваются на стороне сервера или ПК, должны совпадать с тем, что заявляет поставщик ПО. Если контрольные суммы не совпадают, то тут что-то не так. Развернув решение, необходимо удостовериться, что контрольные суммы исполняемых файлов соответствуют контрольным суммам, которые заявлены в эксплуатационной документации ПО. В течение периода эксплуатации эти файлы не должны изменяться, что должно подтверждаться периодическим контролем.
Что касается сертифицированных и несертифицированных частей на одном дистрибутиве, то тут нужно понимать – целостность всего, что идет в комплекте поставки, должна быть подтверждена. Все, что заливается на диск в дистрибутиве (неважно, выполняет оно функции безопасности или нет) и заявляется как сертифицированный дистрибутив – и должно быть сертифицированным дистрибутивом. Без разночтений и оговорок. Все, что записано на диске, считается составными частями продукта, и все сертифицировано.
Что делать?
Если одна из вышеперечисленных ситуаций всё же произошла, и дистрибутив вызывает вопросы и сомнения, то действия довольно просты.
Первое – получить разъяснения у производителя ПО.
Второе – при возникновении малейших подозрений не эксплуатировать продукт, особенно в боевом режиме и на критической инфраструктуре.
Коллеги, будьте бдительны!