Microsoft — транснациональная компания по производству проприетарного программного обеспечения для различного рода вычислительной техники - персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы - семейства операционных систем Windows.

Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т.д.). Продукция Microsoft продаётся более чем в 80 странах мира, программы переведены более чем на 45 языков.

Пользовательсткие ОС

Windows 7 - пользовательская операционная система семейства Windows NT.
В этой операционной системе реализована поддержка Unicode 5.1
Данная ОС обладает поддержкой мультитач-управления
Windows 7 поддерживает псевдонимы для папок на внутреннем уровне. Дополнительным преимуществом Windows 7 можно считать более тесную интеграцию с производителями драйверов. Большинство драйверов определяются автоматически.
В Windows 7 была также улучшена совместимость со старыми приложениями, некоторые из которых было невозможно запустить на Windows Vista. Особенно это касается старых игр, разработанных под Windows XP. Также в Windows 7 появился режим Windows XP Mode, позволяющий запускать старые приложения ввиртуальной машине Windows XP, что обеспечивает практически полную поддержку старых приложений.
Функция Удалённого рабочего стола также претерпела изменения. Была введена поддержка интерфейса Aero Peek, Direct 2D и Direct3D 10.1, поддержка нескольких мониторов, расширений мультимедиа, DirectShow, а также возможность воспроизведения звука с низкими задержками.
Сетевая технология Branch Cache позволяет кешировать содержимое интернет-трафика. Если пользователю в локальной сети потребуется файл, который уже был загружен кем-то из пользователей его сети, - он сможет получить его из локального кэш-хранилища, а не использовать канал с ограниченной пропускной способностью. Технология рассчитана на крупные сети и предлагается для внедрения на предприятиях в составе Корпоративной и Максимальной версий ОС.
Windows AIK, с помощью которого можно создавать образ с любыми конфигурациями и настройками. Таким образом можно в Windows 7 Добавить поддержку USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5 по умолчанию.
Windows 7 также получила OEM-поддержку UEFI, а также поддержку UEFI в Retail-образах Windows 7 SP1. При желании можно записать UEFI-установщик Windows 7 на USB-накопитель. Так же можно опять же самому с помощью Windows AIK добавить поддержку UEFI целиком. Однако внимательно читайте лицензионное соглашение, не всем пользователям подобные модификации разрешены.
В Windows 7 реализована более гибкая настройка User Account Control (UAC), которая в отличие от Windows Vista имеет ещё два промежуточных состояния - «Уведомлять, только при попытках программ внести изменения в компьютер» (положение по умолчанию), «Уведомлять, только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)».
Внесены изменения в технологию шифрования BitLocker и добавлена функция шифрования съёмных носителей BitLocker to go, позволяющая шифровать съёмные носители, причём даже при отсутствии модуля TPM.
Добавлена возможность защиты данных на USB-накопителях с помощью Enhanced Storage .
Улучшения коснулись и брандмауэра Windows: вернулась функция уведомления пользователя о блокировке программы, которая пытается получить доступ к сети.
С помощью групповой политики и функции AppLocker можно запретить запуск определенных приложений.
Функция DirectAccess позволяет устанавливать безопасное соединение с сервером в фоновом режиме, в отличие от VPN, которому требуется участие пользователя. Также DirectAccess может применять групповые политики до входа пользователя в систему.

Пакет обновления 1 (SP1) для Windows 7 - это обновление, содержащее ранее выпущенные обновления для системы безопасности, обеспечения производительности и стабильности работы Windows 7. Кроме того, в состав пакета обновления 1 входят новые улучшения компонентов и служб в Windows 7, например повышенная надежность подключений к звуковым устройствам HDMI, печать с помощью средства просмотра XPS и восстановление более ранних версий папок в проводнике ОС Windows после перезапуска.

OEM -версия программного обеспечения предназначена только для сборщиков персональных компьютеров и серверов.
— Согласно лицензии «Сборщик систем» - это изготовитель оборудования, сборщик, лицо, производящее доводку и обновление или лицо, производящее предустановку программного обеспечения на компьютеры для продажи полностью собранной системы/систем третьему лицу.
— Производить вскрытие упаковки ОЕМ-версии программного продукта Microsoft и установку ее на компьютер могут только сборщики систем, которые при этом связаны соглашением «Лицензия корпорации Майкрософт для сборщика систем». В случае если конечному пользователю в магазине продали ОЕМ-версию, рекомендуется, не вскрывая упаковку, вернуть ее в магазин.
— Компьютер с установленной ОЕМ-версией запрещается сдавать в аренду или временное пользование.
— Основной отличительной особенностью OEM-версий является то, что они «привязаны» к компьютеру, на который были первоначально установлены и не могут быть перенесены на заменяющий компьютер или любой другой ПК. Термин «персональный компьютер» означает полностью собранную компьютерную систему, включающую по крайней мере центральный процессор, материнскую плату, жесткий диск, блок питания и корпус. Необходимым подтверждением лицензионных прав пользователя является сертификат подлинности, наклеенный на корпус ПК. Для дополнительного подтверждения лицензионных прав и целей бухгалтерского учёта настоятельно рекомендуется сохранять упаковку, информационные носители (диски с голограммой, если они есть в составе продукта) и документы, подтверждающие покупку.

Средство защиты информации Secure Pack Rus версия 3.0 (СЗИ SPR 3.0) является сервисным пакетом для операционных систем семейства Microsoft Windows и позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2 и АК3.

Windows 8 - операционная система, принадлежащая к семейству ОС Microsoft Windows, в линейке следующая за Windows 7 и разработанная транснациональной корпорацией Microsoft. Серверной версией является Windows Server 2012.
Основные нововведения:
— Учетная запись Майкрософт и синхронизация параметров
— Магазин приложений Windows Store
— Internet Explorer 10
— Восстановление для Windows возвращает все системные файлы в исходное состояние, сохраняя при этом все настройки, пользовательские файлы и приложения
— Сброс для Windows возвращает компьютер к заводским настройкам
— Новый диспетчер задач
— Добавлена поддержка USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5
— Усовершенствованный поиск

Windows 8.1 - операционная система семейства Windows NT, производства корпорации Microsoft, следующая по времени выхода за Windows 8 и до Windows 10. Предназначена для рабочих станций, персональных компьютеров и портативных устройств; версия, предназначенная для решения серверных задач - Windows Server 2012 R2. По сравнению с Windows 8 имеет ряд обновлений и улучшений, направленных на облегчение работы с графическим интерфейсом. Windows 8.1, так же как и Windows 8, ориентирована на сенсорные ПК, но не исключает возможности использования на классических ПК.
Ключевые нововведения:
— Улучшения Metro-интерфейса
— Версия ядра NT - 6.3
— Улучшение в области энергопотребления
— Поддержка DirectX 11.2
— Поддержка 3D принтеров
— Поддержка биометрических устройств

CRM-системы

Microsoft Dynamics для планирования ресурсов предприятия (ERP) предоставляет компании (малого, среднего или крупного бизнеса) средства для управления всей организацией, начиная с цепочки поставок, закупок и управления персоналом и заканчивая финансами и проектами совместной работы. Она включает мощные возможности для операционного менеджмента, реализации отраслевой специфики, а также решения всего комплекса административных задач в области управления финансами и персоналом. Благодаря таким возможностям руководители всех уровней могут предвидеть изменения и предпринимать соответствующие меры, обеспечивающие эффективное развитие вашего бизнеса. Это единое мощное ERP решение по управлению корпоративными ресурсами для крупных международных, федеральных и государственных корпораций, а также — динамично растущего среднего бизнеса, которое помогает компаниям перейти на более высокий уровень управления бизнесом, повысить его операционную эффективность и найти новые возможности для развития – за счет интеграции индустриальных решений, вовлечения всех сотрудников к решению актуальных задач, стоящих перед бизнесом, а также – отличного масштабирования в решениях задач любого уровня сложности.

Microsoft Dynamics CRM – это пакет программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).
Dynamics CRM является клиент-серверным приложением. Это веб-приложение на основе IIS поддерживает множественные интерфейсы веб-сервисов. Клиенты получают доступ к Dynamics CRM через браузер, клиентский плагин к Microsoft Outlook или через планшеты и мобильные устройства. Кроме Internet Explorer, Microsoft Dynamics CRM, начиная с версии 2011 года Update Rollup 12, поддерживает браузеры Chrome и Firefox. Пакет используется как расширенная платформа для взаимодействия с клиентами, и может настраиваться в зависимости от целей с помощью программной платформы.NET
Линейка программного обеспечения Microsoft Dynamics включает ERP-приложения Microsoft Dynamics AX, Microsoft Dynamics GP, Microsoft Dynamics NAV, Microsoft Dynamics SL и Microsoft Dynamics Retail Management System, также известную как Dynamics RMS.

Microsoft Dynamics CRM 2015 – это актуальная версия пакета программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).

Офисные пакеты

Microsoft Office 2010
Версия Professional Plus включает:

• Excel
• OneNote
• PowerPoint
• Outlook
• Publisher
• Access
• InfoPath
• SharePoint Workspace

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Office 2013 - офисный пакет приложений, созданных корпорацией Microsoft для операционных систем Microsoft Windows, Windows Phone, Android, Apple Mac OS X, Apple iOS. В состав этого пакета входит программное обеспечение для работы с различными типами документов: текстами, электронными таблицами, базами данных и др.

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Microsoft Office 2016 - офисный пакет, предоставляющий эффективную платформу для бизнес-коммуникаций и совместной работы. Преимущества, которыми обеспечивает данный продукт, дают больше возможностей для роста производительности и использования расширенных технических служб. OfficeProPlus 2016 — комплексный продукт, позволяющий сотрудникам эффективно работать из различных мест. Причем, обрабатывать документы и взаимодействовать с коллегами можно, вне зависимости от того, что находится у Вас под руками – персональный компьютер, телефон или веб-браузер. Использование данного пакета программ позволяет добиться максимальной окупаемости вложений и наилучших результатов, благодаря применению знакомых сотрудникам приложений и реализации возможностей сервера Microsoft.
Версия Professional Plus включает:

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Серверные ОС

Windows Server 2008 R2 - серверная операционная система компании «Microsoft», являющаяся усовершенствованной версией Windows Server 2008, использующая ядро Windows NT 6.1. Новые возможности включают:
— улучшенную виртуализацию
— новую версию Active Directory
— Internet Information Services 7.5
— поддержку до 256 процессоров

(разновидность Server 2008) Microsoft Windows Server 2008 - версия серверной операционной системы производства компании Microsoft.
Приемущества:
— Возможность установки Server Core — существенно облегченная установка Windows Server 2008 в которую не включена оболочка Windows Explorer
— Active Directory — заказчики могут управлять удостоверениями и взаимоотношениями, формирующими сеть организации.
— Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0 .
— Возможность опубликовать одно конкретное приложение, вместо всего рабочего стола.
— Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN.
— Встроенный Windows PowerShell .
— Самовосстанавливающаяся NTFS — вместо блокировки всего тома блокируются только поврежденные файлы/папки, остающиеся недоступными на время исправления.
— Microsoft Hyper-V - система виртуализации на основе гипервизора для x64-систем.
— Windows System Resource Manager — дминистративное средство WSRM, которое позволяет управлять ресурсами сервера с целью равномерного распределения рабочей нагрузки между ролями.
— Server Manager — является комбинацией Управления данным сервером и Мастера настройки безопасности из Windows Server 2003. Server Manager является улучшенным диалогом Мастера настройки сервера, который запускался по умолчанию в Windows Server 2003 при входе в систему. Теперь он позволяет не только добавлять новые роли, но ещё и объединяет в себе все операции, которые пользователи могут выполнять на сервере, а также обеспечивает консолидированное, выполненное в виде единого портала отображение текущего состояния каждой роли.
Особенности:
— До 4 поддерживаемых процессоров
— Количество поддерживаемой памяти до 4 Гбайт на платформе x86 и до 32 Гбайт на платформе x64
— Нет кластеризации
— Право на 1 виртуальную машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008)
Особенности:
— До 8 поддерживаемых процессоров
— Количество поддерживаемой памяти до 32 Гбайт на платформе x86 и до 64 Гбайт на платформе x64
— Кластеризация до 16 узлов
— Право на 4 виртуальные машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008) Пакет обновления 2 (SP2) для Microsoft Windows Server 2003 – это накопительный пакет обновления, включающий последние обновления и повышающий безопасность и стабильность системы. Кроме того, он добавляет новые функции и обновления к существующим функциям и служебным программам ОС Windows Server 2003.

(разновидность Server 2008)
Особенности:
— До 32 поддерживаемых процессоров на платформе x86 и до 64 на платформе x64
— Количество поддерживаемой памяти до 64 Гбайт на платформе x86 и до 2 Тбайт на платформе x64
— Кластеризация до 16 узлов
— Нет ограничений на количество виртуальных машин

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012) Windows Server 2012 R2 - предназначен для создания и предоставления глобальных облачных сервисов, содержащих новые возможности и улучшения для виртуализации, управления, хранения, работы с сетями, инфраструктуры виртуальных рабочих столов, защиты доступа и информации, веб-платформы и платформы приложений, а также многих других компонентов.
Особенности:
— Не более двух виртуальных экземпляров
— Все функциональные возможности

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.
Особенности:
— Поддерживает 64 сокета, но лицензируется с шагом в 2 сокета
— Поддерживает 4 TB оперативной памяти (RAM)
— Поддерживает включение в домен
— Поддерживает некоторые роли, например: DNS и DHCP Server, но не поддерживает такие как: Active Directory® Domain Services (AD DS), Active Directory Certificate Services (AD CS), и Active Directory Federation Services (AD FS).

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Windows Storage Server 2012

(обнова для Storage 2012) Windows Storage Server 2012 R2 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012 R2. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Windows Storage Server 2012 R2 обладает всеми преимуществами, которые существуют в Windows Storage Server 2012, а также дополнен рядом новых возможностей:
— Экономичное хранение данных
— Улучшенная виртуализация
— Безопасность и надежность хранения данных

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Microsoft Windows Server 2012

Продлен не будет. Уточняйте наличие актуальной версии.

Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core

— Нет прав на виртуализацию
— Максимально 1 процессор
— Максимум 15 пользователей

Продлен не будет. Уточняйте наличие актуальной версии.

Windows Server 2012 Essentials - идеальное решение для предприятий малого бизнеса (до 25 пользователей и до 50 устройств).

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012 R2) Оптимальный сервер для малого бизнеса - Windows Server 2012 R2 Essentials - упрощает интеграцию дополнительных облачных приложений и сервисов, таких как Microsoft Office 365 и Microsoft Azure. Windows Server 2012 R2 Essentials помогает до минимума сократить время, усилия и средства, затрачиваемые на обслуживание ИТ-инфраструктуры.
Преимущества:
— Защита данных
— Интеграция облачных сервисов
— Безопасный удаленный доступ
— Виртуализация серверов
Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core
— Отсутствуют Active Directory Federation Services
— Права на виртуализацию одной машины
— Максимально 2 процессора
— Максимум 25 пользователей
— Множество функций ограничено или недоступно

Продлен не будет. Уточняйте наличие актуальной версии.

Hyper-V Serve r - это специальный автономный продукт, включающий в себя гипервизор, модель драйвера Windows Server, возможности виртуализации, а также вспомогательные компоненты, такие как отказоустойчивая кластеризация, однако он не содержит такого широкого набора функций и ролей, как ОС Windows Server.

СУБД

Microsoft SQL Server - система управления реляционными базами данных, разработанная корпорацией Microsoft. Использует язык запросов Transact-SQL, который является реализацией стандарта ANSI/ISO по структурированному языку запросов (SQL) с расширениями. Предназначен для работы с базами данных размером от персональных до крупных баз данных масштаба предприятия.

Продлен не будет. Уточняйте наличие актуальной версии.

Версия SQL Server 2012 несет в себе много важных изменений для платформы интеграции корпоративных данных, в частности упрощенный состав версий продукта и новую модель лицензирования. Кроме того, в SQL Server 2012 реализованы усовершенствования в части производительности, бизнес-аналитики (BI) и средств разработки. Ниже перечислены 10 наиболее важных нововведений в SQL Server 2012.
Особенности:
— Упрощенный состав версий
— Поддержка режима Server Core
— Службы обеспечения качества данных DQS позволяют поддерживать высокое качество и корректность данных в базе
— Усовершенствования языка T-SQL
— Автономные базы данных
— Столбцовые индексы
— SQL Server Data Tools
— Power View — Графический инструмент навигации и визуализации данных, позволяющий конечному пользователю проектировать форму отчетности
— Группы доступности AlwaysOn — Самым важным компонентом SQL Server 2012 является новая технология обеспечения высокой доступности базы данных.

Microsoft SQL Server 2014 в редакциях Standart, BI, EE, Express, Web, Compact - это наиболее актуальная версия из ленейки Microsoft SQL Server, которая подойдёт для организаций, требующих высокой производительности системы для создания, развертывания и поддержки больших производственных баз данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SQL Server 2016 отличается революционной производительностью обработки в памяти, непревзойденной безопасностью, комплексными возможностями мобильной бизнес-аналитики и продвинутой аналитики. Узнайте, почему Microsoft считается лидером отрасли в области платформ данных, ознакомившись с «Магическим квадрантом» Gartner по системам управления операционными базами данных, бизнес-аналитике, аналитике и хранению данных.Microsoft System Center 2016. Сертификат ФСТЭК России 3978. Срок действия до 06.08.2023

Система почтовых серверов

Microsoft Exchange Server

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Exchange Server - программный продукт для обмена сообщениями и совместной работы.
Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, интеграция с системами голосовых сообщений (начиная с Exchange 2007), поддержка систем обмена мгновенными сообщениями (поддержка удалена с версии Exchange 2003).
Microsoft Exchange Server поддерживает следующие протоколы: MAPI, SMTP, POP3, IMAP4, HTTP/HTTPS, LDAP/LDAPS SSL и DAVEx
С Microsoft Exchange Server могут работать следующие клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Outlook Web Access, Outlook Mobile Access, ActiveSync, Outlook Voice Access, Произвольные почтовые клиенты (кроме MAPI).
Основные нововведения:
— Поддержка нескольких поколений сотрудников
— Интеграция с SharePoint
— Улучшенные функции поиска и индексации позволяют вести поиск в Exchange 2013, Lync 2013, SharePoint 2013 и на файловых серверах Windows
— Использует архитектуру Exchange Server 2010, которая была переработана для упрощения масштабирования, использования оборудования и обнаружения сбоев.

Набор серверных приложений

Microsoft SharePoint Server 2010 - это рабочая платформа для предприятий и работы в сети Интернет, интегрированные функции которой предоставляют широкие возможности коммуникации между людьми, которая включает в себя следующие компоненты:
— набор веб-приложений для организации совместной работы
— функциональность для создания веб-порталов
— модуль поиска информации в документах и информационных системах
— функциональность управления рабочими процессами и систему управления содержимым масштаба предприятия
— модуль создания форм для ввода информации
— функциональность для бизнес-анализа

«SharePoint» может быть использован для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе «SharePoint» сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части (SharePoint WebParts).

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SharePoint Server 2013 SP1 представляет собой интегрированный пакет корпоративных приложений, который предназначен для увеличения производительности труда, организации совместной работы сотрудников, решения таких важных бизнес-задач, как контроль информационных потоков, принятие взвешенных решений и управление рабочими процессами. В продукте сделан акцент на социальную составляющую, облака и мобильность. Microsoft SharePoint 2013 предлагает новые средства простого администрирования, эффективной защиты коммуникации и информации и гибкой совместной работы. Социальные возможности позволяют легко обмениваться идеями, отслеживать действия коллег, отыскивать экспертов и информацию и т. п.

Microsoft SharePoint Server 2016 предназначен для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе Microsoft SharePoint 2016 сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части.

Операционные системы "Microsoft Windows 8.1", "Microsoft Windows 8.1 Профессиональная", "Microsoft Windows 8.1 Корпоративная"

Сертификат № 3263

07.11.2014 07.11.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-001-82487552-2014 03 ФО и 501110-001-82487552-2014 02 ФО.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2. Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.

Операционная система Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная"

Сертификат № 2180/1

04.10.2011 04.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:

Серверные операционные системы

Программный комплекс "Microsoft Windows Server 2012 Standard"

Сертификат № 2949

06.09.2013 05.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в формулярах 501110-002-82487552-2013 01 St ФО и 501110-002-82487552-2013 02 St ФО.

Ограничения по применению

1. Программный комплекс "Microsoft Windows Server 2012 Standard" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
2. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2012 Datacenter"

Сертификат № 2950

06.09.2013 06.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2012 Datacenter" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition"

Сертификат № 1928

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Standard Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Standard Edition Service Pack 2"

Сертификат № 1928/1

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition"

Сертификат № 1929

27.10.2009 26.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Enterprise Edition Service Pack 2"

Сертификат № 1929/1

14.05.2010 14.05.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно. серия ЗАО "Документальные системы"

Операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter

Сертификат № 2181/1

13.10.2011 13.10.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Ограничения по применению:
1.Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке системы".
2.Программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3.На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. серия ЗАО "Документальные системы"

Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition"

Сертификат № 1930

29.10.2009 28.10.2018 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации Соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 3 класса включительно.

Ограничения по применению

1. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководство по настройке программного комплекса".
2. Программный комплекс "Microsoft Windows Server 2008 Datacenter Edition" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
3. На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ЗАО "Документальные системы"

СУБД

Система управления базами данных Microsoft SQL Server 2014 (Enterprise Edition, Standard Edition, Business Intelligent, Web Express, Express with tools)

Сертификат № 3518

15.02.2016 15.02.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ООО "Научно-производственное объединение вычислительных систем"

Система управления базами данных Microsoft SQL Server 2012 (Enterprise Edition, Standard Edition, Business Intelligent Edition, Web Edition)

Сертификат № 2967

18.09.2013 18.09.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции контроля доступа, идентификации и аутентификации, регистрации событий безопасности и соответствует требованиям ТУ серия ЗАО "Документальные системы"

Офисные программные комплексы

Программный комплекс Microsoft Office. Professional Plus 2016

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. серия ЗАО "КЛИО"

Программный комплекс Microsoft Office. Professional Plus 2013

Сертификат № 3161

23.06.2014 23.06.2020 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ 5029-007-82487522-2013 серия ЗАО "Королевская лаборатория информационных объектов"

Программный комплекс Microsoft Office. Standard 2007

Сертификат № 1923

13.10.2009 13.10.2018 Программное средство общего назначения со встроенными стредствами защиты от несанкционированного доступа к информации

Соответствует ЗБ "Microsoft Office Standard 2007. Задание по безопасности. MS.Office_ST_2007.ЗБ. Версия 1.0", имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002) и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при выполнении ограничений.

Ограничения по применению:

• При использовании программного комплекса должны соблюдаться условия, определенные для среды функционирования в задании по безопасности MS.Office 2007.ЗБ.
• Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководством по безопасной настройке программного комплекса".
• Программный комплекс "Microsoft®Office. Standard 2007" должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
• На программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.

Серия ООО "ЦБИ"

Межсетевые экраны и шлюзы

Программный комплекс UserGate UTM

Сертификат № 3905

23.03.2018 23.03.2021 Программно-техническое средство защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну Соответствует:
Требования к межсетевым экранам” (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.П3”. (ФСТЭК России, 2016);
Профиль защиты межсетевого экрана типа Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ”. (ФСТЭК России, 2016);
Требования к системам обнаружения вторжений" (ФСТЭК России, 2011);
Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.П3” (ФСТЭК России, 2012).
Может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г и информационных системах персональных данных (ИСПДн) и государственных информационных системах (ГИС) до 1 класса (уровня) защищенности включительно. Во исполнение требований ФСТЭК при сертификации пройден контроль отсутствия недекларированных возможностей по 4 уровню контроля. Серия АО "НПО "Эшелон"

Средства контроля доступа

Программный комплекс DeviceLock 8 DLP Suite

Сертификат № 3465

05.11.2015 05.11.2023 Программный комплекс, предназначенный для защиты информации от утечек, осуществляющий контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. Программный комплекс соответствует требованиям документов "Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России", утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 – по 4 классу защиты и "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)" (ФСТЭК России, 2014), руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999). Серия ООО "ЦБИ"

Средства резервного копирования и восстановления

Программный комплекс Acronis Backup & Recovery 11. Advanced Workstation

Сертификат № 2678

Программный комплекс Acronis Backup & Recovery 11. Advanced Server

Сертификат № 2677

16.07.2012 16.07.2021 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющее государственную тайну Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий, а также может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 1 класса включительно. Серия ООО "ЦБИ"

Антивирусные средства

Средства уничтожения данных и контроля удаления информации

Средства анализа защищенности

Програмнный комплекс Средство анализа защищенности RedCheck

Сертификат № 3172

23.06.2014 23.06.2020 Современное средство анализа защищенности, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий. серия ООО "ЦБИ"

Средства виртуализации

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну Соответствует требованиям технических условий при выполнении указаний по эксплуатации, приведенной в формуляре АЛМЮ.501000.ВМС06-01.30. серия ООО "ЦБИ"

Программный комплекс VMware Horizon 6 (в редакциях Standard, Advanced и Enterprise)

Сертификат № 3660

21.11.2016 21.11.2019 Программное средство общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Соответствует требованиям ТУ при выполнении указаний по эксплуатации, приведенных в формуляре АЛМЮ.501000.ВМХ06-01.30. серия ООО "ЦБИ"

Обратите внимание, что в настоящий момент наш центр сертификации оформляет только идентификационное заключение по ФСТЭК в рамках экспортного контроля. Статья носит информационный характер!

Сертификат соответствия ФСТЭК – это дословно документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов. Попробуем это расшифровать на понятийном уровне, и определиться, с чем это связано и о чем идет речь.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю , в функции которой включен специальный контроль в некоторых областях. ФСТЭК в настоящее время подчинена Министерству обороны РФ. До августа 2004 года данная служба имела другое название и подчинение. Это была Государственная техническая комиссия при Президенте РФ. Одна из функций, которые определены ФСТЭК государством, является техническая защита информации.

К сфере деятельности сертификата соответствия ФСТЭК относятся средства защиты информации (СЗИ) без использования средств криптографии и не составляющих государственную тайну. Т.е обеспечение защиты информационной безопасности некриптографическими методами.

Наш центр сертификации в настоящий момент не оформляет данный разрешительный документ в отношении программного обеспечения. Обратитесь к нам для получения дополнительной информации .

Продукция, подлежащая сертификации ФСТЭК

К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:

• антивирусные программы массового использования для реализации на российском рынке (центр «РеГОСТ» сертификат ФСТЭК на программное обеспечение не оформляет);
• межсетевые экраны;
• средства защиты системного и сетевого уровня (сканеры безопасности, средства мониторинга безопасности, средства защиты от несанкционированного доступа);
• операционные системы;
• системы управления базами данных;
• прикладные информационные системы;
• системы генерации паролей для доступа к информационным ресурсам;
• электронные системы документооборота и другие.

В органах государственной власти, а также в государственных корпорациях могут применяться только программные средства, имеющие требуемые по закону лицензии и сертификаты безопасности информации, включая сертификаты соответствия ФСТЭК.

Основным законом, который регулирует сертификацию в сфере СЗИ является Постановление Правительства РФ № 608 «О сертификации СЗИ» , введенное в действие в 1995 году. Этот закон предписывает: обязательная сертификация и оформление сертификата соответствия ФСТЭК предусмотрено только для продукции, относящейся к средствам защиты информации для предохранения сведений, являющимися государственной тайной.

Для защиты от несанкционированного доступа к конфиденциальным данным не требуется обязательный сертификат соответствия ФСТЭК или Декларация соответствия на СЗИ. В этом случае оценка соответствия СЗИ является добровольной.

Система сертификации ФСТЭК

ФСТЭК (ранее Правительственная комиссия) создала Систему сертификации средств защиты информации по требованиям безопасности информации, которая имеет Свидетельство № Р0СС RU.0001.01БИ00 и зарегистрирована в Государственном реестре в 1995 году.

Органы сертификации данной системы производят оценку соответствия СЗИ на основе Руководящих документов (РД) «Защита от несанкционированного доступа к информации». Данные документы разработаны на разные группы продуктов, относящихся к программному, техническому обеспечению, к автоматизированным системам в целом.

Во всех документах имеется показатель — Оценочный уровень доверия (ОУД) . Он введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187. ОУД характеризует уровень доверия к практическому исполнению требований по защите информации.

Классы защищенности изделий

Для защиты информации, значимость которой определяется градацией «секретность/конфиденциальность», установлены следующие классы защищенности изделий Информационных Технологий (ИТ):

• четвертый класс защищенности изделий ИТ является достаточным для защиты конфиденциальной информации;
• третий класс защищенности используется для защиты информации с грифом «Секретно»;
• второй класс — с грифом «Совершенно секретно»;
• первый класс используется для защиты информации с грифом «Особой важности».

Сертификат соответствия ФСТЭК содержит сведения: на основе каких нормативных документов происходило изготовление продукции, содержащей СЗИ и соответствует ли конечный товар требованиям, изложенным в указанном нормативном акте. Здесь же указывается класс защищенности продукта по классификации уровня контроля отсутствия недекларированных возможностей.

Сертификат соответствия ФСТЭК также содержит сведения о сертификационных испытаниях, об экспертном заключении и о лаборатории, где проходили лабораторные исследования с указанием, когда и кем был выполнен инспекционный контроль данной сертификационной лаборатории.

Процедура получения сертификата соответствия ФСТЭК

Сертификационные лаборатории для оформления сертификата соответствия ФСТЭК могут проводить целый ряд различных испытаний:

• на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
• на соответствие требованиям Технических условий;
• на соответствие функциональных возможностей, которые реально имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
• на соответствие декларируемой безопасности исследуемого товара;
• на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации будущего пользователя;
• на соответствие требованиям стандартов предприятий, международным стандартам в сфере СЗИ;
• исследование датчиков случайных чисел на соответствие криптографическим требованиям и другие исследования.

Федеральный Закон «О персональных данных»

Приказ ФСТЭК N 58 ввел в действие 5 февраля 2010 года Положение, определяющее способы и методы защиты информации о персональных данных в различных в информационных системах. В нем указано, что СЗИ должны пройти сертификацию в установленном порядке. Но такого документа, установленного Президентом или Правительством РФ, пока не издано.

Тем не менее поставщики информационных систем, которые могут попасть под действие ФЗ № 152 «О персональных данных», стремятся получить Сертификат соответствия ФСТЭК, который подтверждает, что заказчики информационной системы, имеющей данный документ, защищают информацию о персональных данных от несанкционированного доступа по требованиям закона.

Добровольный сертификат ФСТЭК

Добровольный сертификат на СЗИ можно оформить не только как сертификат соответствия ФСТЭК, но и обратиться в другие системы сертификации. К ним относятся:

• Система добровольной сертификации «Газпромсерт». Данная система создана ОАО «Газпром» для нужд своей корпорации. В некоторых случаях при проведении тендеров на поставки требуется от участника получить сертификат соответствия в данной системе.
• Система добровольной сертификации «АйТиСертифика» создана ассоциацией «ЕВРААС».

Продукты Microsoft, сертифицированные ФСТЭК , с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

• каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
• каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Продукты Microsoft, сертифицированные другими уполномоченными органами , содержат дополнительное программное обеспечение, а именно сервисные пакеты, разработанные российскими организациями, которые позволяют этим продуктам Microsoft удовлетворять требованиям. Эти сервисные пакеты ‘Secure Pack Rus’ содержат в себе прежде всего российскую сертифицированную криптографию, которую Microsoft не производит.

Использование сертифицированных продуктов

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами. Поэтому Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков.

В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСТЭК

В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:

• клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
• клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
• серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
• серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
• система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
• платформа офисных приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
• платформа офисных приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
• межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия - на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
• антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
• сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
• серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
• система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
• платформа офисных приложений Microsoft Office Professional Plus 2007, русская версия;
• система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
• система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
• система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
• система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
• система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
• система управления предприятием Microsoft Dynamics AX 2009;
• система управления предприятием Microsoft Dynamics AX 4.0;
• система управления предприятием Microsoft Dynamics NAV 5.0;
• клиентская операционная система Windows 7 (все издания), русская и английская версии;
• серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии;
• сервер для управления бизнес процессами Microsoft BizTalk Server 2009 (все издания), русская версия;
• сервер управления идентификацией в гетерогенных системах Microsoft Forefront Identity Manager 2010, русская и английская версии;
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2010 (все издания), русская и английская версии;
• система управления сервисами в информационных системах Microsoft System Center Service Manager 2010, русская и английская версии;
• система управления отношениями с клиентами Microsoft Dynamics CRM 2011, русская версия;
• система управления предприятием Microsoft Dynamics NAV 2009 R2, русская версия;
• платформа офисных приложений Microsoft Office Professional Plus 2010, русская и английская версии;
• система антивирусной защиты Microsoft Forefront Endpoint Protection 2010, русская и английская версии;
• сервер документооборота Microsoft SharePoint Server 2010 (все издания), русская и английская версии;
• сервер коммуникаций Microsoft Lync Server 2010 Enterprise, русская и английская версии;
• система управления предприятием Microsoft Dynamics AX 2012 R2;
• клиентская операционная система Microsoft Windows 8 (версии Windows 8, Windows 8 Профессиональная, Windows 8 Корпоративная);
• серверная операционная система Microsoft Windows Server 2012 (версии Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
• система управления информационной структурой Microsoft System Center 2012 (версии Standard и Datacenter);
• система управления базами данных Microsoft SQL Server 2012 (версии Standard, Enterprise, Business Intelligence, Web);
• платформа офисных приложений Office Professional Plus 2013;
• сервер управления виртуальными структурами Microsoft Hyper-V Server 2012;
• система управления информационной структурой Microsoft System Center 2012 R2 (версии Standard и Datacenter);
• система управления отношениями с клиентами Microsoft Dynamics CRM 2013;
• сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 (версии Standard и Enterprise);
• сервер документооборота Microsoft SharePoint Server 2013;
• системы управления базами данных Microsoft SQL Server 2014 в редакциях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
• система управления отношениями с клиентами Microsoft Dynamics CRM Server 2015.

В соответствии с полученными сертификатами ФСТЭК, указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, те из них которые вышли поcле принятия ФЗ-152 «О персональных данных», сертифицированы и на соответствие законодательству о персональных данных.

В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:

• Lync Server 2013;
• Windows 8.1;
• Windows Server 2012 R2.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ другими уполномоченными органами

Следующие продукты Microsoft сертифицированы ФСБ:

• клиентская операционная система Microsoft Windows XP Professional, русская версия;
• серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
• сервер документооборота Microsoft SharePoint Server 2007;
• система управления базами данных Microsoft SQL Server 2008;
• Microsoft Windows 7 Professional, Enterprise и Максимальная все с SP1;
• Microsoft Windows 8 Professional и Enterprise;
• Microsoft Windows 8.1 Professional и Enterprise;
• Microsoft Windows Server 2008 Standard R2 и Enterprise R2 обе c SP1;
• Microsoft Windows Server 2012 Standard c SP1;
• Microsoft Windows Server 2012 R2 c SP1.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

• защите информации, не содержащей сведений, составляющих государственную тайну,
• защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Кроме того, уполномоченные органы сделали положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с национальными требованиями.

Недавно получены положительные заключения по результатам проведенных сертификационных испытаний следующих продуктов:

• Microsoft Exchange Server 2010.

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации, однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

02.08.2011 Алексей Марков, Валентин Цирлов

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации. Например, за рубежом обязательную проверку проходят государственные и платежные программные системы, а в России преобладают директивные методы сертификации по требованиям безопасности информации. Однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

На Западе обязательные проверки предусмотрены для государственных и платежных программных систем, а банки, брокерские, инвестиционные, страховыеи сервисные компании, предоставляющие услуги в индустрии недвижимости и в Интернете, проходят добровольный аудит. В нашей стране традиционно преобладают директивные методы оценки соответствия, в частности программное обеспечение ряда информационных систем подлежит обязательной сертификации по требованиям безопасности информации.

Исторически система сертификации по требованиям безопасности информации в России возникла после распада СССР, когда появилась потребность в контроле безопасности зарубежного программного обеспечения, а также качества российских программных систем, связанных с обработкой и защитой государственной тайны. Активными участниками процесса сертификации стали Минобороны, ФСБ и ФСТЭК.

До недавнего времени сертификация главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, аосновная масса специалистов в области информационных технологий мало интересовалась данной проблемой. Ситуация значительно изменилась с принятием ФЗ-152 «О персональных данных» и последовавших за ним нормативно-методических документов. Оказалось, что сертификация программного обеспечения и аттестация объектов информатизации необходима большинству коммерческих компаний и всем государственным организациям, работающим в области медицины, образования, транспорта. Это немедленно породило множество вопросов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации.

В общем случае под сертификацией принято понимать независимое подтверждение соответствия тех или иных характеристик товаров или услуг некоторым требованиям. В нашем случае речь идет о программных средствах защиты или программ в защищенном исполнении – соответственно в качестве требований выступают нормативные документы и документация, касающаяся безопасности информации.

Как проводится сертификация?

Принципиальная особенность любых сертификационных испытаний - это независимость испытательной лаборатории, проводящей испытания, и сертифицирующей организации, осуществляющей независимый контроль результатов испытаний, проведенных лабораторией. В общем случае схема проведения сертификации выглядит следующим образом.

1. Заявитель (разработчик либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган (ФСБ, ФСТЭК или Минобороны) по сертификации заявку на проведение сертификационных испытаний некоторого продукта.
2. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации.
3. Испытательная лаборатория совместно с заявителем проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке, что и происходит в большинстве случаев, либо может быть принято решение об изменении требований к продукту, например о снижении класса защищенности. Возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом. Наиболее нашумевшим в прессе примером можно назвать случай, когда испытательная лаборатория НИИ ВМФ после года проверок выдала отрицательное сертификационное заключение на программные изделия специального назначения. Известны как минимум пять случаев, когда определенные версии ОС и СУБД не смогли получить сертификат на отсутствие недекларированных возможностей по причине потери части исходного кода старых модулей. Если посмотреть реестр ФСТЭК, то можно заметить, что ряд программных систем защиты (например, СУБД Oracle и система безопасности приложений IBM Guardium) получили сертификаты лишь на соответствие ТУ, а не на соответствие руководящему документу Гостехкомиссии - это значит, что орган по сертификации посчитал, что не все требования руководящего документа подтверждены при испытаниях.
4. Материалы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в экспертизе участвуют не менее двух экспертов, которые независимо друг от друга подтверждают корректность и полноту проведения испытаний.
5. Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия. Надо сказать, что в случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов.

В системах обязательной сертификации имеется практика отзыва и приостановления лицензий и аттестатов аккредитаций в случае выявления грубых нарушений в процессе сертификации. Были случаи, когда под сомнение на продолжение деятельности подпали три лаборатории и орган по сертификации, в результате чего две организации прекратили дальнейшую активность в области сертификации. Кроме того, в случае возникновения инцидентов на объектах информатизации, связанных с утечкой информации, регулирующие органы могут проинспектировать лабораторию, которая проводила испытания.

Системы сертификации и требования

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании». Сертификация средств защиты информации может быть добровольной или обязательной - проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются.

Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации – и соответственно два типа нормативных документов.

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).
2. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей. Делается исключение для систем обработки персональных данных второго и третьего класса с целью снижения затрат на защиту информации для небольших частных организаций. Если программное средство не имеет каких-либо механизмов защиты информации, оно может быть сертифицировано только на предмет отсутствия недекларированных возможностей.

Мифология вокруг сертификации

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft - Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения - успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Будущее сертификации

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» - с другой.

Алексей Марков ([email protected]), Валентин Цирлов - сотрудники НПО «Эшелон» (Москва).