С какими организациями сотрудничает «1С-Битрикс» в процессе сертификации и в каком формате?
В данный момент компания «1С-Битрикс» сотрудничает с компанией «ООО Сертифицированные информационные системы». Данная компания выступила в следующих ролях:
1) Испытательная лаборатория, которая осуществляла испытания наших программных продуктов
2) Заявитель, который
a. выполняет все организационные мероприятия, связанные с сертификацией;
b. несет затраты на постоянный учет сертифицированных копий продуктов;
c. проводит сертификацию всех обновлений программных продуктов «1С-Битрикс» для поддержания сертифицированного статуса продуктов;
d. непосредственно продает сертифицированные программные продукты «1С-Битрикс».
Достаточно ли использования сертифицированных продукта «1С-Битрикс» для итоговой аттестации информационной системы?
Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.
Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.
Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.
В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.
Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.
Аттестацию проводят организации, лицензированные для этого ФСТЭК.
Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию. В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.
Как и в какие сроки заказчики получают обновления сертифицированных продуктов?
При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.
Все обновления сертифицируются в испытательной лаборатории ООО Сертифицированные информационные системы. Как правило, это занимает от нескольких дней до нескольких недель.
Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.
В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет, поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «ООО Сертифицированные информационные системы», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.
Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений SiteUpdate.