FSTEC ソフトウェア認証。認定マイクロソフト製品 FSTEC 証明書番号 81 の発行者

なぜ認定が必要なのでしょうか?

ソフトウェア認定が必要なのはなぜですか?

機密情報の保護の問題は、社会、個人、企業、国家の利益と密接に絡み合っています。今日、統一情報空間の形成の条件において、情報システム、データベース、情報システムの個人データバンクの開発、構築、運用において、政府機関、機関、組織が解決するタスクの最も重要な要素となっています。。

どの国も、国家安全保障の確保に関連する情報の管理を確保するよう努めています。販売され、構築に使用されるソフトウェアも同様です。 主要システム情報インフラストラクチャには特別な要件があります。

主要な情報インフラストラクチャシステム

このような主要なシステムには次のようなものがあります。

政府機関、管理機関、法執行機関の情報システム。
金融、信用、銀行活動のための情報システム。
特別な目的のための情報通信システム。
法執行機関の通信ネットワーク。
バックアップまたは代替通信のない地域の公衆通信ネットワーク。
自動エネルギー供給管理システム。
地上および航空輸送用の自動制御システム。
石油とガスの生産と輸送のための自動制御システム。
緊急事態への警告と対応のための自動システム。
環境に有害な生産のための自動制御システム。
自動給水管理システム。
地理システムとナビゲーションシステム。

これは完全なリストではありません。これらのシステムでは、国家の生産、組織、経済、科学、技術、信用、財務、その他の活動に関連する情報が蓄積、処理、送信されます。作戦派遣および技術管理情報は多くのシステムおよびネットワーク内で流通しており、ロシアの経済複合体全体の機能の信頼性と安全性を決定し、情報分野における国家安全保障の確保に重大な影響を及ぼしている。だからこそ、これらのシステムが重要なのです。

この点に関して、ソフトウェアメーカーは、 考慮しなければならないこのような情報を扱うように設計された情報システムに対して、国際法および国内法によって課せられる要件。

ソフトウェアがこれらの要件を満たしていることを確認するには、認証手順が必要です。

認定ソフトウェアを使用する必要があるのは誰ですか?

すべての政府機関、いわゆる「政府機関の公式情報」を扱う非政府機関、およびロシアの法律に準拠したその他の多くの組織（たとえば、関連要件の対象となる組織）「個人情報法」).

以下は立法および規制に関する文書からの抜粋であり、認定された情報セキュリティツールを使用する必要性を示しています。

連邦法 149 (FZ) 第 14 条第 8 項「...ソフトウェアおよびハードウェアおよび情報セキュリティ手段を含む、国家情報システムに含まれる情報を処理することを目的とした技術的手段は、技術的規制に関するロシア連邦法の要件に準拠しなければならない」と言われています。
連邦法第 184 号第4条の「技術的規制について」。「連邦行政当局は、第 5 条で定められた場合に、技術規制の分野で強制法を制定する権利を与えられている。」
連邦法第 184 条第 5 条とりわけ、ロシア連邦の法律に従って保護される制限情報として分類された情報 (「政府機関の公式情報」を含む) を保護するために使用される製品に適用されます。
情報保護のための必須要件を確立する権限を与えられた認可機関。連邦法 149 の第 15 条より、ロシアの FSTEC です
特に規制文書では、 STR-K（機密情報保護に関する特別要件）ロシアのFSTECを承認
- 2.3項。「この文書の要件と推奨事項は、技術的チャネルを通じた保護された情報の漏洩、情報への不正アクセス、および破壊を目的とした情報への特別な影響を防止することを目的とした、非暗号化手法による国家情報リソースの保護に適用されます。」、歪みとブロッキング。」
- 2.16項。「機密情報を保護するために、情報セキュリティ要件に従って認定された情報セキュリティツールが使用されています。認証手順はロシア連邦の法律によって決定されます。」
- 2.17項。「情報化オブジェクトは、ロシアの FSTEC の規制文書およびこの文書の要件に従って、情報セキュリティ要件に従って認証されなければなりません。」
1993 年 7 月 21 日のロシア連邦法 N 5485-1。（「公務機密法」）は、情報セキュリティツールを「情報システムまたは製品の不可欠な部分」と定義しています。

これらの法律に従って、関連組織 (特に政府機関) は、認定された情報セキュリティ手段を備えたソフトウェアおよびハードウェアを使用することが義務付けられています。

認証機関

ロシア連邦でソフトウェア認証を実施するのは誰ですか?

私たちの国には、さまざまな種類のソフトウェアに焦点を当てたいくつかの異なる認証システムがあります (FSTEC、FSB、国防省など)。

ほとんどのソフトウェアの主な認証システムは、FSB および FSTEC 認証システムです。

FSB 認証は、暗号化保護を使用するソフトウェアサブシステムを検証することを目的としています (我が国では、ロシアの暗号化アルゴリズムのみが許可されています)。 FSB認証システムの要件 公開されていません、それらに慣れるには特別な許可が必要です。
FSTEC 認証は、非暗号化方式を使用した情報の技術的保護を検証することを目的としています。 FSTEC 認証システムの要件はオープンであり、次のサイトで公開されています。公式ウェブサイト .

現在の 1C-Bitrix ソフトウェア製品には暗号化保護ツールが組み込まれていないため、FSB 認証は必要ありません。本文では、FSTEC 認証についてのみ説明します。

ロシア連邦の認定製品とは何ですか?

ロシアの認証システムは他の国で採用されているシステムとは根本的に異なります。良い方向へ。証明書を申請するソフトウェアの各コピーは、認定中に直接テストされたものとの準拠性がチェックされます。つまり、バイナリレベルでは、すべての認定コピーは完全に同一です。これらの製品の整合性を担当するサービスは、ユーザーが必要な認定パッチとアップデートをすべて備えていることをいつでも確認でき、製品に未認定の変更がないかチェックできます。

しかし、国際認証システム Common Criteria の規約によれば、認証に合格したソフトウェアのライセンスコピーは認証されたとみなされます。直接認証されたコピーの販売コピーの同一性は検証されません。しかし、プログラムのパッチや新しいバージョンは定期的にリリースされるため、現在市場に供給されているソフトウェアのバージョンは、その時点でテストされ、証明書を取得するために提出されたコピーとは単に異なる可能性があります。

認定された 1C-Bitrix 製品の各コピーには、この製品が認定されていることを確認する州発行の文書のパッケージが含まれています。さらに、認定製品の州登録システムでこのインスタンスを識別する固有の番号が付いたホログラフィック FSTEC 適合マークがあります。

認定製品を購入した各組織は、専用 Web サイト上のこの組織の個人ページに安全にアクセスでき、この組織はそこから認定された更新プログラムやその他の情報を受け取ります。

ロシアのFSTECとは何ですか?またその機能は何ですか?

ロシアの FSTEC (2004 年まで – ロシア国家技術委員会) は、次の権限を持つ連邦執行機関です。

主要な情報通信インフラストラクチャシステムにおける情報セキュリティを確保する。
外国の技術情報に対抗する。
技術情報セキュリティの確保 非暗号化方式;
輸出規制の実施。

ロシアの FSTEC に関する規制に従って、その主な任務の 1 つは、連邦レベル、地域間レベル、地域レベル、産業レベルおよび施設レベルでの技術的インテリジェンスおよび情報の技術的保護に対抗するための国家システムの活動を組織することです。指定された状態システムを管理します。

ロシアのFSTECの活動に関して発行されたすべての規制法的行為および方法論的文書、必須連邦政府機関およびロシア連邦の構成主体の政府機関、連邦行政当局、ロシア連邦の構成主体の執行当局、地方自治体および組織の機関。

FSTEC 認証はどのように行われますか?

FSTEC は認証の主催者であり、トップレベルの管理サービスにすぎません。直接的なアクションが実行される FSTEC ライセンサー– 試験機関および専門家組織。前者はソフトウェアの研究を直接実施し、後者はこれらのテストの品質をチェックします。

お客様は（FSTECの同意を得て）試験機関を選択する権利を有しますが、結果を確認するためにFSTECが独自に専門機関を任命します。

したがって、検査機関がクライアントをめぐって（検査コストやタイミングなどで）競争する環境が存在する一方で、検査の品質は独立した専門家によって明確にチェックされます。

FSB 認証システムも同様に機能します。

さらに、FSTEC認証制度には、申請者の研究所。これらの企業は、試験機関や専門機関と直接連携し、販売された製品と自社の認定サンプルとの適合性を比較します。また、そのような比較を行った製品のコピーごとに標準文書を発行し、そのような製品の記録を保管します。

申請者は、製品の検査、関連文書の発行、認定製品の永久記録（製品がどこに、どのような状態で置かれているか）の維持にかかる費用を負担します。場合によっては、製品所有者との合意により、すべてのパッチの認定も実施します。自己負担で。

1C-Bitrix 製品の認証

1C-Bitrix は認証プロセスにおいてどの組織とどのような形式で協力していますか?

現在、1C-Bitrix社と提携している。この会社は次のような役割を果たしました。

申請者、どれの

ａ．認証に関連するすべての組織活動を実行します。

b. 製品の認証コピーの永久記録を維持するコストを負担します。

c. は、認定された 1C-Bitrix ソフトウェア製品を直接販売しています。

情報システムの最終認証には、認証された 1C-Bitrix 製品を使用するだけで十分ですか?

もちろん違います。認定されたソフトウェアの使用は、顧客の情報システムの最終認定の必要条件ではありますが、十分条件ではありません。

まず、原則として、認定製品は IT インフラストラクチャで動作します。 1C-Bitrix 製品の場合、Web サーバーおよびデータベースサーバー、DBMS サーバー、Web サーバー、PHP インタープリター、PHP プリコンパイラーなどのオペレーティングシステムです。したがって、システム全体のセキュリティは、そのすべてのコンポーネントが安全である場合にのみ実現できます。これは、コンポーネント上の適切な証明書の存在によっても決まります。

第 2 に、実装段階で、システム全体のセキュリティを低下させる可能性のある変更が製品に加えられる可能性があり、これらの変更もテストおよび認定される必要があります。

第三に、製品の認定バージョンのパッケージには、インストールと使用に関する推奨事項のリストが含まれています。これらの推奨事項は試験機関で作成されており、その準拠により、顧客の要件を満たす最高レベルの保護が保証されます。これらの推奨事項は必須です。

したがって、いかなる場合でも、情報システムが FSTEC および (または) FSB の要件に準拠しているかどうかの最終認証が必要です。

認定バージョンの使用これにより、情報システムおよび（または）職場が特定のカテゴリの情報を保護するための要件に準拠しているかどうかの最終認証の手順を大幅に節約できます。自動認証は必要ありません。認定されていないソフトウェアを使用する場合、追加の認定されたセキュリティツールを購入して実装する必要があり、認定コストが大幅に増加する可能性があります。

顧客はいつ、どのようにして認定製品のアップデートを受け取りますか?

製品アップデートがリリースされるときは、その認証が必要です。そうでない場合、認証されていないアップデートをインストールすることにより、エンドユーザーは情報セキュリティシステムの完全性を侵害し、情報セキュリティシステムは認証ステータスを失います。

すべてのアップデートはテストラボでテストされます。さらに、すべての認定アップデートは、SIS グループ認定アップデートポータルで利用できるようになります。通常、この手順には数日から数週間かかります。

ただし、原則として、認定バージョンの顧客の保守的な傾向とその内部承認手順を考慮すると、そのような遅れは重大ではなく、アップデートの認定は決定が下される直前に間に合うと考えられます。

1C-Bitrix 製品の認定バージョン 標準のアップデートシステムは使用されませんサイト更新 インターネットを通じてこれらの更新プログラムは認定されていないためです。認定アップデートは、Certified Information Systems Group Web サイトの安全なセクションから入手できます。各顧客は、利用可能なアップデートが含まれる個人アカウントを持っています。

認定アップデートをダウンロードする場合、顧客はアップデートシステムの特別なダイアログにファイルとしてアップロードします。

オペレーティングシステム「Microsoft Windows 8.1」、「Microsoft Windows 8.1 Professional」、「Microsoft Windows 8.1 Enterprise」

認定番号第3263号

2014/11/07 2020/11/07 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。セキュリティクラス 5 に従って、ガイダンス文書「コンピュータ設備。情報への不正アクセスに対する保護。情報への不正アクセスに対するセキュリティの指標」（ロシア国家技術委員会、1992 年）の要件を遵守し、最新のすべての機器の設置を条件とします。必須の認定セキュリティ更新プログラムおよび操作指示への準拠。フォーム 501110-001-82487552-2014 03 連邦地区および 501110-001-82487552-2014 02 連邦地区。

使用制限

セキュリティ保護機構の設定および監視は、『システムセットアップガイド』に従って行う必要があります。
ソフトウェアパッケージは、認定された規格によるコンプライアンス管理 (検証) 手順を受ける必要があります。

「Professional」、「Corporate」、および「Ultimate」エディションの Microsoft Windows 7 (SP1) オペレーティングシステム

証明書番号 2180/1

2011/10/04 2020/04/10 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。ガイダンス文書「コンピュータ設備。情報への不正アクセスに対する保護。情報への不正アクセスに対するセキュリティの指標」（ロシア国家技術委員会、1992 年）の要件に準拠し、セキュリティクラス 5 に準拠し、自動化されたセキュリティを作成するときに使用できます。システムはセキュリティクラス 1G まで、個人データ情報システムを作成する場合はグレード 2 までです。

使用上の制限:

サーバーのオペレーティングシステム

ソフトウェアパッケージ「Microsoft Windows Server 2012 Standard」

認定番号第2949号

2013/09/06 2019/09/05 情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアガイダンス文書「コンピュータ技術。情報への不正アクセスに対する保護。不正に対するセキュリティの指標」の要件に準拠情報へのアクセス」 (ロシア国家技術委員会、1992 年) – セキュリティクラス 5 に従い、現在必須の認定セキュリティアップデートをすべてインストールし、フォーム 501110-002-82487552-2013 01 St に記載されている操作指示に準拠することが条件となります。連邦区および501110-002-82487552-2013 02 St 連邦区。

使用制限

Microsoft Windows Server 2012 Standard ソフトウェアパッケージは、認定された標準によるコンプライアンス監視 (検証) 手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

JSC「ドキュメンタリーシステム」シリーズ

ソフトウェアパッケージ「Microsoft Windows Server 2012 Datacenter」

認定番号第2950号

2013/09/06 2019/09/06 情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアガイダンス文書「コンピュータ技術。情報への不正アクセスに対する保護。不正に対するセキュリティの指標」の要件に準拠「情報へのアクセス」（ロシア国家技術委員会、1992 年） – セキュリティクラス 5 に準拠しており、セキュリティクラス 1G までの自動化システムを作成する場合と、クラス 3 までの個人データ情報システムを作成する場合に使用できます。

使用制限

セキュリティ保護機構の設定および監視は、「ソフトウェアセットアップガイド」に従って行う必要があります。
Microsoft Windows Server 2012 Datacenter ソフトウェアパッケージは、認定された標準によるコンプライアンス監視 (検証) 手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

JSC「ドキュメンタリーシステム」シリーズ

ソフトウェアパッケージ「Microsoft Windows Server 2008 Standard Edition」

認定番号第1928号

使用制限

セキュリティ保護機構の設定および監視は、「ソフトウェアセットアップガイド」に従って行う必要があります。
Microsoft Windows Server 2008 Standard Edition ソフトウェアパッケージは、認定された標準によるコンプライアンス監視 (検証) 手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

JSC「ドキュメンタリーシステム」シリーズ

ソフトウェアパッケージ「Microsoft Windows Server 2008 Standard Edition Service Pack 2」

証明書番号 1928/1

ソフトウェアパッケージ「Microsoft Windows Server 2008 Enterprise Edition」

認定番号第1929号

2009.10.27 2018.10.26 情報への不正アクセスに対する保護手段を組み込んだ汎用ソフトウェアガイダンス文書「コンピュータ技術、情報への不正アクセスに対する保護。情報への不正アクセスに対するセキュリティの指標」の要件に準拠(ロシア国家技術委員会、1992 年) – セキュリティクラス 5 に準拠しており、セキュリティクラス 1G までの自動化システムを作成する場合と、クラス 3 までの個人データ情報システムを作成する場合に使用できます。

使用制限

セキュリティ保護機構の設定および監視は、「ソフトウェアセットアップガイド」に従って行う必要があります。
Microsoft Windows Server 2008 Enterprise Edition ソフトウェアパッケージは、認定された標準によるコンプライアンス監視 (検証) 手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

JSC「ドキュメンタリーシステム」シリーズ

ソフトウェアパッケージ「Microsoft Windows Server 2008 Enterprise Edition Service Pack 2」

証明書番号 1929/1

2010/05/14 2019/05/14 情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアガイダンス文書「コンピュータ技術。情報への不正アクセスに対する保護。不正に対するセキュリティの指標」の要件に準拠「情報へのアクセス」（ロシア国家技術委員会、1992 年） – セキュリティクラス 5 に準拠しており、セキュリティクラス 1G までの自動化システムを作成する場合と、クラス 2 までの個人データ情報システムを作成する場合に使用できます。 JSC「ドキュメンタリーシステム」シリーズ

オペレーティングシステム Microsoft Windows Server 2008 R2 (SP1) (Standard、Enterprise、および Datacenter エディション)

証明書番号 2181/1

2011/10/13 2020/10/13 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。ガイダンス文書「コンピュータ設備。情報への不正アクセスに対する保護。情報への不正アクセスに対するセキュリティの指標」（ロシア国家技術委員会、1992 年）の要件に準拠し、セキュリティクラス 5 に準拠し、自動化されたセキュリティを作成するときに使用できます。システムはセキュリティクラス 1G まで、個人データ情報システムを作成する場合はグレード 2 までです。

使用上の制限:
1.セキュリティ保護機構の設定および制御は、『システムセットアップガイド』に従って行う必要があります。
2. ソフトウェアパッケージは、認定された規格によるコンプライアンス管理 (検証) 手順を受ける必要があります。
3. 現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。 JSC「ドキュメンタリーシステム」シリーズ

ソフトウェアパッケージ「Microsoft Windows Server 2008 Datacenter Edition」

認定番号第1930号

2009.10.29 2018.10.28 情報への不正アクセスに対する保護手段を内蔵した汎用ソフトウェアガイダンス文書「コンピュータ技術、情報への不正アクセスに対する保護。情報への不正アクセスに対するセキュリティの指標」の要件に準拠(ロシア国家技術委員会、1992 年) – セキュリティクラス 5 に準拠しており、セキュリティクラス 1G までの自動化システムを作成する場合と、クラス 3 までの個人データ情報システムを作成する場合に使用できます。

使用制限

セキュリティ保護機構の設定および監視は、「ソフトウェアセットアップガイド」に従って行う必要があります。
Microsoft Windows Server 2008 Datacenter Edition ソフトウェアパッケージは、認定された標準によるコンプライアンス監視 (検証) 手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

JSC「ドキュメンタリーシステム」シリーズ

DBMS

Microsoft SQL Server 2014 データベース管理システム (Enterprise Edition、Standard Edition、Business Intelligent、Web Express、Express with tools)

認定番号第3518号

2016/02/15 2019/02/15 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段を組み込んだ汎用ソフトウェアで、アクセス制御、識別と認証、セキュリティイベントの記録、会議の機能を実装します。 Scientific and Production LLC のコンピューティングシステムの統合に関する技術仕様シリーズの要件」

Microsoft SQL Server 2012 データベース管理システム (Enterprise Edition、Standard Edition、Business Intelligent Edition、Web Edition)

認定番号第2967号

2013/09/18 2019/09/18 国家機密を構成しない情報への不正アクセスに対する保護手段を組み込み、アクセス制御、識別と認証、セキュリティイベントの記録機能を実装し、次の要件を満たす汎用ソフトウェア。 JSC「ドキュメンタリーシステム」技術仕様書シリーズ

オフィスソフトウェアシステム

Microsoft Office ソフトウェアパッケージ。プロフェッショナルプラス 2016

認定番号第3161号

2014/06/23 2020/06/23 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。 JSC「CLIO」シリーズ

Microsoft Office ソフトウェアパッケージ。プロフェッショナルプラス 2013

認定番号第3161号

2014/06/23 2020/06/23 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。 JSC「Royal Laboratory of Information Objects」のTU 5029-007-82487522-2013シリーズの要件に準拠

Microsoft Office ソフトウェアパッケージ。スタンダード 2007

認定番号第1923号

2009/10/13 2018/10/13 情報への不正アクセスに対する保護機能が組み込まれた汎用ソフトウェア

ST「Microsoft Office Standard 2007. Security Assignment. MS.Office_ST_2007.ZB. Version 1.0」に対応し、ガイダンス文書「Security of Information Technologies. Criteria for Assessment. 「情報技術のセキュリティ」 (ロシア国家技術委員会、2002 年) に準拠しており、制限が満たされている場合はセキュリティクラス 1G までの自動化システムを作成するために使用できます。

使用上の制限:

ソフトウェアパッケージを使用する場合は、MS.Office 2007.ZB のセキュリティ仕様で動作環境に指定されている条件を遵守する必要があります。
セキュリティ保護メカニズムの設定と監視は、「ソフトウェアシステムの安全な構成に関するガイド」に従って実行する必要があります。
ソフトウェアパッケージ「Microsoft®Office.Standard 2007」は、認定規格への準拠を監視（検証）するための手順を受ける必要があります。
現在必須の認定セキュリティ更新プログラムはすべて、ソフトウェアパッケージにインストールする必要があります。

シリーズLLC「CBI」

ファイアウォールとゲートウェイ

UserGate UTM ソフトウェアパッケージ

認定番号第3905号

2018 年 3 月 23 日 2021 年 3 月 23 日国家機密を構成する情報を含まない情報への不正アクセスに対するソフトウェアおよびハードウェアの保護以下に対応します。
ファイアウォールの要件」（ロシアの FSTEC、2016 年）。
4 番目の保護クラスのタイプ A ファイアウォール保護プロファイル。 IT.ME.A4.P3.」 (ロシアのFSTEC、2016年);
4 番目の保護クラスのファイアウォールタイプ B 保護プロファイル。 IT.ME.B4.PZ.」 (ロシアのFSTEC、2016年);
侵入検知システムの要件」 (ロシアの FSTEC、2011 年)。
4 番目の保護クラスのネットワークレベルの侵入検知システムの保護プロファイル。 IT.SOV.S4.P3」 (ロシアの FSTEC、2012 年)。
セキュリティクラス 1G までの自動化システム (AS)、セキュリティクラス 1 (レベル) までの個人データ情報システム (ISPDn) および政府情報システム (GIS) の一部として使用できます。 FSTEC の要件に従って、認証中に、未申告の機能がないかどうかが第 4 の管理レベルでチェックされました。 JSC連載「NPO法人エシュロン」

アクセス制御

DeviceLock 8 DLP Suite ソフトウェアパッケージ

認定番号第3465号

2015/11/05 2023/11/05 情報漏洩から保護し、デバイス、I/O ポート、ネットワークプロトコルへのユーザーアクセスを監視および記録するように設計されたソフトウェアパッケージ。ソフトウェアパッケージは、2014 年 7 月 28 日付ロシア FSTEC 命令 N 87 によって承認された文書「リムーバブルコンピュータストレージメディアの監視手段の要件、ロシア FSTEC」の要件に準拠しており、第 4 クラスの保護および「保護」第 4 クラスの保護のリムーバブルコンピュータストレージメディアの接続を監視する手段のプロファイル (IT.SKN.P4.PZ) (ロシアの FSTEC、2014)、ガイダンス文書「情報への不正アクセスに対する保護第 1 部ソフトウェア。情報セキュリティツールについては、未申告の機能の欠如に対する管理レベルによる分類」 (ロシア国家技術委員会、1999 年)。シリーズLLC「CBI」

バックアップおよび回復ツール

Acronis Backup & Recovery 11. アドバンストワークステーションソフトウェアパッケージ

認定第2678号

Acronis Backup & Recovery 11. Advanced Server ソフトウェアパッケージ

認定番号第2677号

2012/07/16 2021/07/16 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアガイダンス文書「情報への不正アクセスに対する保護」の要件に準拠パート 1. 情報保護手段のためのソフトウェア。宣言されていない機能の欠如に関する制御レベルによる分類 (ロシア国家技術委員会、1999) - 第 4 レベルの制御および技術条件に従って、セキュリティクラス 1G までの自動化システムと、クラス 1 までの個人データ情報システムの情報を保護します。シリーズLLC「CBI」

ウイルス対策製品

データ破壊・情報削除制御ツール

セキュリティ分析ツール

ソフトウェアパッケージ RedCheck セキュリティ分析ツール

認定番号第3172号

2014/06/23 2020/06/23 企業ネットワーク内の情報とその個々の要素を保護するための対策の有効性に関する詳細な情報を提供する最新のセキュリティ分析ツール。ガイダンス文書「情報への不正アクセスに対する保護。パート I. 情報セキュリティツール用ソフトウェア。未申告の機能の欠如の管理レベルに応じた分類」（ロシア国家技術委員会、1999 年）の要件に準拠しています。コントロールおよび技術的条件のレベル 4。シリーズ合同会社「CBI」

仮想化ツール

2016 年 11 月 21 日 2019 年 11 月 21 日国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェア ALMYU.501000 の形式で提供される操作指示に従う場合、技術仕様の要件を満たします。 VMS06-01.30。シリーズ合同会社「CBI」

VMware Horizon 6 ソフトウェアパッケージ (Standard、Advanced、および Enterprise エディション)

認定番号第3660号

2016/11/21 2019/11/21 国家機密を構成する情報を含まない情報への不正アクセスに対する保護手段が組み込まれた汎用ソフトウェアツール。 ALMYU.501000.VMH06-01.30 の形式で提供される操作指示に従う場合、技術仕様の要件に準拠します。シリーズ合同会社「CBI」

個人データプライバシーポリシー

この個人データプライバシーポリシー（以下、プライバシーポリシーといいます）は、ドメイン名（およびそのサブドメイン）上にあるKASL会社ウェブサイト（以下、KASL LLCウェブサイトといいます）が受け取ることのできるユーザーに関するすべての情報に適用されます。サイト (およびそのサブドメイン)、そのプログラム、およびその製品を使用している間。

用語の定義
1.1 このプライバシーポリシーでは次の用語が使用されます。
1.1.1. 「サイト管理者」（以下、管理者といいます） - KASL LLC に代わって KASL 会社のサイトを管理する権限を与えられた従業員であり、個人データの処理を整理および（または）実行し、目的も決定します。個人データの処理の方法、処理の対象となる個人データの構成、個人データに対して実行されるアクション（操作）。
1.1.2. 「個人データ」 - 直接的または間接的に特定される、または特定可能な個人 (個人データの主体) に関連するあらゆる情報。
1.1.3. 「個人データの処理」 - 自動化ツールを使用して、またはそのような手段を使用せずに個人データに対して実行される、収集、記録、体系化、蓄積、保管、明確化（更新、変更）を含む、あらゆるアクション（操作）または一連のアクション（操作）。）、個人データの抽出、使用、譲渡（配布、提供、アクセス）、非個人化、ブロック、削除、破壊。
1.1.4. 「個人データの機密保持」は、個人データの主体の同意または別の法的根拠の存在なしに、個人データの配布を許可しないという、オペレーターまたは個人データにアクセスできるその他の者に対する必須要件です。
1.1.5. 「KASL 企業 Web サイト」とは、インターネット上の固有のアドレス (URL): およびそのサブドメインにある相互接続された Web ページの集合です。
1.1.6. 「サブドメイン」とは、KASL 企業 Web サイトに属する第 3 レベルドメインにあるページまたは一連のページ、およびその他の一時的なページであり、その下部に管理者の連絡先情報が示されています。
1.1.5. 「KASL社ウェブサイトの利用者」（以下、利用者）とは、インターネット経由でKASL社ウェブサイトにアクセスし、KASL社ウェブサイトの情報、資料、製品を利用する者をいいます。
1.1.7. 「Cookie」は、Web サーバーによって送信され、ユーザーのコンピュータに保存される小さなデータです。Web クライアントまたは Web ブラウザは、対応するサイト上のページを開こうとするたびに、HTTP リクエストで Web サーバーに送信します。。
1.1.8. 「IP アドレス」とは、ユーザーが KASL LLC ウェブサイトにアクセスするために使用するコンピューターネットワーク内のノードの一意のネットワークアドレスです。
一般規定 2.1. ユーザーによる KASL 会社 Web サイトの使用は、このプライバシーポリシーとユーザーの個人データの処理条件に同意することを意味します。
2.2. プライバシーポリシーの条項に同意できない場合、ユーザーは KASL Web サイトの使用を停止する必要があります。
2.3. このプライバシーポリシーは KASL ウェブサイトに適用されます。 KASL LLC Web サイトは、KASL 会社 Web サイトで利用可能なリンクを介してユーザーがアクセスできるサードパーティのサイトを管理せず、責任を負いません。
2.4. 管理者は、ユーザーから提供された個人データの正確性を検証しません。

プライバシーポリシーの対象

3.1. このプライバシーポリシーは、KASL 会社 Web サイトへの登録時、電子メールニュースレターの購読時、または電子メールニュースレターの配信時にユーザーが管理者の要求に応じて提供した個人データを非開示にし、機密性を保護するための体制を確保する管理者の義務を確立します。注文。
3.2. このプライバシーポリシーに基づいて処理が許可されている個人データは、KASL Web サイト上のフォームに記入することによってユーザーによって提供され、次の情報が含まれます。
3.2.1. ユーザー名;
3.2.2. ユーザーの連絡先電話番号。
3.2.3. メールアドレス（メールアドレス）
3.3. KASL LLC Web サイトは、次のページにアクセスしたときに自動的に送信されるデータを保護します。
IPアドレス
クッキーからの情報
ブラウザ情報
アクセス時間
参照元（前のページのアドレス）。
3.3.1. Cookie を無効にすると、サイト内の認証が必要な部分にアクセスできなくなる可能性があります。
3.3.2. KASL LLC Web サイトは、訪問者の IP アドレスに関する統計を収集します。この情報は、技術的な問題を防止、特定、解決するために使用されます。
3.4. 上記以外の個人情報（訪問履歴、使用ブラウザ、オペレーティングシステムなど）は、各項に定める場合を除き、安全に保管し、配布することはありません。 5.2. および5.3。このプライバシーポリシーの内容。

ユーザーの個人情報を収集する目的

4.1. 管理者は、ユーザーの個人データを次の目的で使用することがあります。
4.1.1. さらなる承認、注文、その他のアクションのために KASL 会社 Web サイトに登録されたユーザーの ID。
4.1.2. ユーザーに KASL Web サイトからパーソナライズされたデータへのアクセスを提供します。
4.1.3. KASL Web サイトの使用に関する通知やリクエストの送信、サービスの提供、ユーザーからのリクエストやアプリケーションの処理など、ユーザーとのフィードバックを確立します。
4.1.4. セキュリティを確保し、詐欺を防止するためにユーザーの所在地を特定します。
4.1.5. ユーザーが提供した個人データの正確性と完全性の確認。
4.1.6. ユーザーがアカウントの作成に同意した場合、KASL Web サイトの一部を使用するためのアカウントの作成。
4.1.7. 電子メールによるユーザーへの通知。
4.1.8. KASL Web サイトの使用に関連して問題が発生した場合に、ユーザーに効果的な技術サポートを提供します。
4.1.9. KASL 会社 Web サイトに代わって、ユーザーの同意を得て、特別オファー、価格に関する情報、ニュースレター、その他の情報をユーザーに提供します。
4.1.10。ユーザーの同意を得て広告活動を行うこと。

個人情報の処理方法と条件

5.1. ユーザーの個人データの処理は、自動化ツールを使用する、またはそのようなツールを使用しない個人データ情報システムを含む、法的な方法で、期限なく実行されます。
5.2. ユーザーは、管理者が、KASL 会社 Web サイト上で行われたユーザーの注文を履行する目的のみを目的として、個人データを第三者、特に宅配便サービス、郵便機関 (電子を含む)、電気通信事業者に転送する権利を有することに同意するものとします。商品、書類、または電子メールメッセージの配送。
5.3. ユーザーの個人データは、ロシア連邦の法律で定められた根拠および方法に基づいてのみ、ロシア連邦の認可された政府機関に転送される場合があります。
5.4. 個人データの損失または開示が発生した場合、管理者は個人データの損失または開示についてユーザーに通知しない権利を有します。
5.5. 管理者は、ユーザーの個人情報を不正または偶発的なアクセス、破壊、変更、ブロック、コピー、配布、および第三者のその他の違法行為から保護するために必要な組織的および技術的措置を講じます。
5.6. 管理者はユーザーと協力して、ユーザーの個人データの損失または開示によって引き起こされる損失またはその他の悪影響を防ぐために必要なあらゆる措置を講じます。

当事者の権利と義務

6.1. ユーザーには次の権利があります。
6.1.1. KASL Web サイトの使用に必要な個人データを提供し、その処理に同意するかどうかは、自由な決定で行ってください。
6.1.2. この情報が変更された場合は、提供された個人データに関する情報を更新し、補足します。
6.1.3. ユーザーは、連邦法に従って権利が制限されない限り、自分の個人データの処理に関する情報を管理局から受け取る権利を有します。ユーザーは、個人データが不完全、古い、不正確、違法に取得された場合、または明示された処理目的に必要でない場合、管理者に対して個人データの明確化、ブロックまたは破棄を要求し、措置を講じる権利を有します。彼の権利を保護するために法律で定められています。
6.2. 行政には次の義務があります。
6.2.1. 受け取った情報は、このプライバシーポリシーの第 4 項に指定された目的にのみ使用してください。
6.2.2. 機密情報が秘密に保たれ、ユーザーの事前の書面による許可なしに開示されないことを保証し、また、一部の条項を除き、転送されたユーザーの個人データを販売、交換、公開、またはその他の可能な方法で開示しないことを保証します。 5.2および5.3。このプライバシーポリシーの内容。
6.2.3. 既存の商取引においてこの種の情報を保護するために通常使用される手順に従って、ユーザーの個人データの機密性を保護するための予防措置を講じてください。
6.2.4. 信頼性の低いデータが検出された場合、個人データ主体の権利を保護するために、ユーザー、その法定代理人、または権限を与えられた機関からの申請または要求の瞬間から、検証期間中、関連するユーザーに関連する個人データをブロックします。個人データまたは違法行為。

当事者の責任

7.1. 義務を履行しなかった管理局は、各項に規定する場合を除き、ロシア連邦の法律に従い、個人データの不法使用に関連してユーザーが被った損失について責任を負います。 5.2、5.3。および7.2。このプライバシーポリシーの内容。
7.2. 機密情報の紛失または開示の場合、この機密情報が以下の場合、管理局は責任を負いません。
7.2.1. 紛失または公開されるまでパブリックドメインになりました。
7.2.2. リソース管理が受け取る前に第三者から受け取った。
7.2.3. ユーザーの同意を得て開示しました。
7.3. ユーザーは、広告に関する法律、著作権および関連する権利の保護、商標およびサービスマークの保護に関する法律を含むロシア連邦の法律の要件を遵守する全責任を負いますが、上記に限定されず、完全なものを含みます。資料の内容と形式については責任を負います。
7.4. ユーザーは、KASL Web サイトの一部としてアクセスできるあらゆる情報 (データファイル、テキストなどを含むがこれらに限定されない) に対する責任は、そのような情報を提供した人にあることを認めます。
7.5。ユーザーは、KASL 会社の Web サイトの一部として提供される情報が知的財産の対象となる可能性があり、その権利は KASL 会社の Web サイトにそのような情報を投稿する他のユーザー、パートナー、または広告主によって保護および所有されていることに同意します。
ユーザーは、かかる行為が、以下の条件に従ってかかるコンテンツの所有者によって書面で明示的に許可されている場合を除き、かかるコンテンツ (全部または一部) に基づいて修正、レンタル、貸与、販売、配布、または二次的著作物を作成することはできません。別途契約。
7.6. テキスト資料（KASL 会社 Web サイトで一般に無料で公開されている記事、出版物）に関しては、KASL LLC Web サイトへのリンクが提供されている場合にその配布が許可されます。
7.7. 管理者は、KASL Web サイトに含まれる、または KASL Web サイトを通じて送信されるコンテンツおよびその他の通信データの削除、失敗、保存不能の結果としてユーザーが被った損失または損害について、ユーザーに対して責任を負いません。
7.8. 管理者は、サイトまたは個々のサービスの使用または使用不能によって生じる直接的または間接的な損失については責任を負いません。ユーザーの通信への不正アクセス。サイト上での第三者の発言または行為。
7.9. 管理者は、著作権所有者の明示的な同意がない限り、著作権で保護された情報を含むがこれに限定されない、ユーザーが KASL ウェブサイトに投稿したあらゆる情報について責任を負いません。

論争の解決

8.1. ユーザーと運営会社との間の関係から生じる紛争に関して法廷に申し立てを行う前に、申し立て（紛争の自主的解決のための書面による提案書または電子提案書）を提出することが義務付けられています。
8.2. 請求の受領者は、請求の受領日から 30 暦日以内に、請求の検討結果を書面または電子的に請求者に通知します。
8.3. 合意に達しない場合、紛争はモスクワ仲裁裁判所に付託される。
8.4. ロシア連邦の現行法は、このプライバシーポリシーおよびユーザーと管理者の関係に適用されます。

追加条件

9.1. 管理者は、ユーザーの同意なしにこのプライバシーポリシーを変更する権利を有します。
9.2. 新しいプライバシーポリシーは、新版のプライバシーポリシーに別段の定めがない限り、KASL 会社の Web サイトに掲載された瞬間から発効します。
9.3. このプライバシーポリシーに関するすべての提案や質問は、info@site に送信してください。
9.4. 現在のプライバシーポリシーは次のページにあります。
更新日: 2018 年 4 月 6 日
モスクワ本社、KASL LLC、Butyrsky Val 5 サンクトペテルブルク駐在員事務所、KASL LLC、Leninsky Prospekt 160

Microsoft は、パーソナルコンピュータ、ゲーム機、PDA、携帯電話などのさまざまな種類のコンピューティング機器用の独自のソフトウェアを製造する多国籍企業であり、現在世界で最も広く使用されているソフトウェアプラットフォームである Windows ファミリのオペレーティングシステムの開発者です。。

同社の各部門では、Xbox ファミリのゲームコンソールやパーソナルコンピュータのアクセサリ (キーボード、マウスなど) も製造しています。 Microsoft 製品は 80 か国以上で販売されており、プログラムは 45 以上の言語に翻訳されています。

カスタムOS

Windows 7- Windows NT ファミリのユーザーオペレーティングシステム。
このオペレーティングシステムは Unicode 5.1 をサポートしています
このOSはマルチタッチコントロールをサポートしています
Windows 7 は内部的にフォルダーエイリアスをサポートしています。 Windows 7 のさらなる利点は、ドライバーの製造元との緊密な統合です。ほとんどのドライバーは自動的に検出されます。
Windows 7 では、Windows Vista では実行できない古いアプリケーションとの互換性も向上しました。これは、Windows XP 用に開発された古いゲームに特に当てはまります。 Windows 7 では、Windows XP 仮想マシンで古いアプリケーションを実行できる Windows XP モードも導入され、古いアプリケーションがほぼ完全にサポートされます。
リモートデスクトップ機能にも変更が加えられました。 Aero Peek インターフェイス、Direct 2D および Direct3D 10.1 のサポートが導入され、マルチモニター、マルチメディア拡張機能、DirectShow のサポートに加え、低遅延でオーディオを再生する機能も追加されました。
ブランチキャッシュネットワークテクノロジを使用すると、インターネットトラフィックのコンテンツをキャッシュできます。ローカルネットワーク上のユーザーが、ネットワーク上の誰かによって既にダウンロードされたファイルを必要とする場合、帯域幅が制限されたチャネルを使用するのではなく、ローカルキャッシュストレージからファイルを取得できます。このテクノロジーは大規模ネットワーク向けに設計されており、OS の Corporate および Maximum バージョンの一部として企業での実装向けに提供されています。
Windows AIK。任意の構成と設定でイメージを作成できます。したがって、Windows 7 では、デフォルトで USB 3.0、Bluetooth 4.0、DirectX 11.1、および NET.Framework 4.5 のサポートを追加できます。
Windows 7 は、OEM UEFI サポートだけでなく、Windows 7 SP1 の小売イメージでも UEFI サポートを受けています。必要に応じて、Windows 7 UEFI インストーラーを USB ドライブに書き込むことができます。 Windows AIK を自分で使用して、完全な UEFI サポートを追加することもできます。ただし、すべてのユーザーがそのような変更を行うことが許可されているわけではありませんので、使用許諾契約をよく読んでください。
Windows 7 は、より柔軟なユーザーアカウント制御 (UAC) 設定を実装しています。Windows Vista とは異なり、さらに 2 つの中間状態があります。「プログラムがコンピューターに変更を加えようとした場合のみ通知する」(デフォルトの位置)、「変更を加えようとした場合のみ通知する」です。コンピュータに変更を加えるプログラムを使用してください (デスクトップを暗くしないでください)。」
BitLocker 暗号化テクノロジに変更が加えられ、BitLocker to go リムーバブルメディア暗号化機能が追加されました。これにより、TPM モジュールがない場合でもリムーバブルメディアを暗号化できるようになります。
拡張ストレージを使用して USB ドライブ上のデータを保護する機能が追加されました。
Windows ファイアウォールにも改良が加えられ、ネットワークにアクセスしようとするプログラムがブロックされたことをユーザーに通知する機能が復活しました。
グループポリシーと AppLocker を使用して、特定のアプリケーションの実行を防ぐことができます。
DirectAccess を使用すると、ユーザーの操作が必要な VPN とは異なり、バックグラウンドでサーバーへの安全な接続を確立できます。 DirectAccess は、ユーザーがログオンする前にグループポリシーを適用することもできます。

Windows 7 Service Pack 1 (SP1) Service Pack 1 には、以前にリリースされた Windows 7 のセキュリティ、パフォーマンス、および安定性の更新プログラムが含まれています。Service Pack 1 には、HDMI オーディオデバイスへの接続の信頼性の向上、XPS Viewer での印刷および復元など、Windows 7 の機能とサービスに対する新しい改善も含まれています。再起動後の Windows エクスプローラー内の以前のバージョンのフォルダー。

OEM- このソフトウェアバージョンは、パーソナルコンピュータおよびサーバーのアセンブラのみを対象としています。
— ライセンスによれば、「システムビルダー」とは、機器の製造業者、組立業者、微調整や更新を行う人、または完全に組み立てられたシステムを販売するためにコンピュータにソフトウェアをプレインストールする人を指します。第三者に。
— Microsoft システムビルダーライセンス契約に拘束されているシステムビルダーのみが、Microsoft ソフトウェア製品の OEM バージョンのパッケージを開いてコンピューターにインストールすることができます。 OEM バージョンが店舗でエンドユーザーに販売された場合は、パッケージを開けずに店舗に返品することをお勧めします。
— OEM 版がインストールされたコンピューターをレンタルしたり、一時的に使用したりすることはできません。
— OEM バージョンの主な特徴は、OEM バージョンが最初にインストールされたコンピュータに「結び付けられ」、代替コンピュータや他の PC に転送できないことです。「パーソナルコンピュータ」という用語は、少なくとも中央処理装置、マザーボード、ハードドライブ、電源、およびケースを含む、完全に組み立てられたコンピュータシステムを意味します。ユーザーのライセンス権利の確認に必要なのは、PC ケースに貼り付けられた証明書です。ライセンス権と会計上の目的をさらに確認するために、パッケージ、メディア (製品に含まれている場合はホログラムディスク)、および購入証明書を保管しておくことを強くお勧めします。

情報セキュリティツール Secure Pack Rus バージョン 3.0(SZI SPR 3.0) は、Microsoft Windows ファミリのオペレーティングシステム用のサービスパッケージであり、クラス AK2 および AK3 の機密情報の保護に関するロシア連邦保安庁の要件への確実な準拠を可能にします。

ウィンドウズ8- Microsoft Windows OS ファミリに属するオペレーティングシステム。Windows 7 に次ぐもので、多国籍企業 Microsoft によって開発されました。サーバーのバージョンはWindows Server 2012です。
主な革新:
- Microsoft アカウントと設定の同期
— Windows ストアアプリストア
- Internet Explorer 10
- Restore for Windows は、すべての設定、ユーザーファイル、アプリケーションを維持しながら、すべてのシステムファイルを元の状態に戻します。
- Windows をリセットすると、コンピュータが工場出荷時の設定に戻ります
- 新しいタスクマネージャー
— USB 3.0、Bluetooth 4.0、DirectX 11.1、NET.Framework 4.5のサポートを追加
— 検索の改善

Windows 8.1- Microsoft Corporation によって製造され、Windows 8 の後、Windows 10 より前に次にリリースされる Windows NT ファミリのオペレーティングシステム。ワークステーション、パーソナルコンピュータ、およびポータブルデバイス向けに設計されています。サーバーの問題を解決するために設計されたバージョン - Windows Server 2012 R2。 Windows 8 と比較して、グラフィカルインターフェイスの操作を容易にすることを目的とした多くの更新と改善が行われています。 Windows 8.1 は Windows 8 と同様、タッチ PC を対象としていますが、従来の PC での使用の可能性を排除するものではありません。
主なイノベーション:
— メトロインターフェースの改善
— NT カーネルバージョン - 6.3
— エネルギー消費量の改善
- DirectX 11.2のサポート
— 3D プリンターのサポート
— 生体認証デバイスのサポート

CRMシステム

マイクロソフトダイナミクスエンタープライズリソースプランニング (ERP) は、企業 (中小企業、または大企業) に、サプライチェーン、購買、人事から財務およびコラボレーションプロジェクトに至るまで、組織全体を管理するためのツールを提供します。これには、運用管理、業界特有の実装、財務および人事管理の分野における管理タスク全体を解決するための強力な機能が含まれています。これらの機能により、あらゆるレベルのリーダーが変化を予測し、ビジネスを効果的に成長させるために適切な措置を講じることができます。これは、大規模な国際企業、連邦企業、国営企業だけでなく、ダイナミックに成長する中堅企業の企業リソースを管理するための単一の強力な ERP ソリューションであり、企業がより高いレベルの経営管理に移行し、業務効率を高め、新たな機会を見つけるのに役立ちます。産業ソリューションの統合、ビジネスが直面している現在の問題の解決への全従業員の参加、およびあらゆる複雑さのレベルの問題を解決する優れた拡張性を通じて、開発を支援します。

Microsoft Dynamics CRMは、Microsoft によって開発された顧客関係管理ソフトウェアパッケージで、販売、マーケティング、サービス提供 (ヘルプデスク) に重点を置いています。
ダイナミクスCRMクライアントサーバーアプリケーションです。この IIS ベースの Web アプリケーションは、複数の Web サービスインターフェイスをサポートします。お客様は、ブラウザー、Microsoft Outlook のクライアントプラグイン、またはタブレットやモバイルデバイスを通じて Dynamics CRM にアクセスします。 Microsoft Dynamics CRM では、Internet Explorer に加えて、バージョン 2011 更新プログラムロールアップ 12 以降、Chrome および Firefox ブラウザーもサポートされています。このパッケージは、クライアントと対話するための拡張プラットフォームとして使用され、.NET ソフトウェアプラットフォームを使用して目的に応じてカスタマイズできます。
Microsoft Dynamics ソフトウェアラインには、ERP アプリケーション Microsoft Dynamics AX、Microsoft Dynamics GP、Microsoft Dynamics NAV、Microsoft Dynamics SL、および Dynamics RMS としても知られる Microsoft Dynamics Retail Management System が含まれます。

Microsoft Dynamics CRM 2015 Microsoft が開発した顧客関係管理ソフトウェアパッケージの最新バージョンで、販売、マーケティング、サービス提供 (ヘルプデスク) を組織することを目的としています。

オフィスパッケージ

マイクロソフトオフィス2010
バージョン プロフェッショナルプラス含まれるもの:

エクセル
OneNote
パワーポイント
見通し
出版社
アクセス
インフォパス
SharePoint ワークスペース

延長はされません。現在のバージョンが利用可能かどうかを確認します。

マイクロソフトオフィス2013- Microsoft Windows、Windows Phone、Android、Apple Mac OS X、Apple iOS のオペレーティングシステム用に Microsoft が作成したアプリケーションのオフィススイート。このパッケージには、テキスト、スプレッドシート、データベースなど、さまざまな種類のドキュメントを操作するためのソフトウェアが含まれています。

パワーポイント
エクセル
見通し
OneNote
アクセス
出版社

マイクロソフトオフィス2016- ビジネスコミュニケーションとコラボレーションのための効果的なプラットフォームを提供するオフィススイート。この製品が提供するメリットにより、生産性の向上と高度な技術サービスの機会がさらに広がります。 OfficeProPlus 2016 は、従業員が複数の場所から効率的に作業できるようにする包括的な製品です。さらに、パソコン、電話、Web ブラウザなど、使用できるものに関係なく、文書を処理したり、同僚とやり取りしたりできます。このソフトウェアパッケージを使用すると、従業員に馴染みのあるアプリケーションの使用と Microsoft サーバー機能の実装により、最大の投資収益率と最良の結果を達成できます。
Professional Plus バージョンには以下が含まれます:

パワーポイント
エクセル
見通し
OneNote
アクセス
出版社

サーバーOS

Windows Server 2008 R2- Windows NT 6.1 カーネルを使用する、Windows Server 2008 の改良版である Microsoft サーバーオペレーティングシステム。新機能は次のとおりです。
- 仮想化の改善
- 新しいバージョンの Active Directory
- インターネットインフォメーションサービス 7.5
— 最大 256 個のプロセッサをサポート

(Server 2008 フレーバー) Microsoft Windows Server 2008- Microsoft が製造したサーバーオペレーティングシステムのバージョン。
利点:
— Server Core をインストールする機能- Windows Explorer シェルを含まない、大幅に簡素化された Windows Server 2008 のインストール
— アクティブディレクトリ— 顧客は、組織のネットワークを構成するアイデンティティと関係を管理できます。
- ターミナルサービスがサポートするようになりました リモートデスクトッププロトコル 6.0.
- デスクトップ全体ではなく、1 つの特定のアプリケーションを公開する機能。
— ターミナルサービスゲートウェイこれにより、承認されたコンピュータは、VPN を使用せずに RDP over HTTPS を使用して、インターネットからターミナルサービスまたはリモートデスクトップに安全に接続できます。
— 組み込みの Windows PowerShell.
— 自己修復NTFS— ボリューム全体をブロックするのではなく、修復中にアクセスできないままになっている破損したファイル/フォルダーのみがブロックされます。
— Microsoft Hyper-V- x64 システム用のハイパーバイザーベースの仮想化システム。
— Windows システムリソースマネージャーは、役割間でワークロードを均等に分散するためにサーバーリソースを管理できる WSRM 管理ツールです。
— サーバーマネージャー- サーバー管理と Windows Server 2003 のセキュリティ構成ウィザードを組み合わせたものです。サーバーマネージャーは、Windows Server 2003 でログオン時にデフォルトで起動される [サーバー構成ウィザード] ダイアログを改良したものです。新しいロールを追加するだけでなく、ユーザーがサーバー上で実行できるすべての操作を組み合わせて、単一のポータルの形式で各ロールの現在のステータスを統合表示できるようになりました。
特徴:
— 最大 4 つのプロセッサーをサポート
— サポートされるメモリ量は、x86 プラットフォームで最大 4 GB、x64 プラットフォームで最大 32 GB
— クラスタリングなし
— 1 つの仮想マシンに対する権利

延長はされません。現在のバージョンが利用可能かどうかを確認します。

(Server 2008 フレーバー)
特徴:
— 最大 8 つのプロセッサーをサポート
- x86 プラットフォームでは最大 32 GB、x64 プラットフォームでは最大 64 GB のメモリをサポート
— 最大 16 ノードのクラスタリング
— 4 台の仮想マシンの権利

延長はされません。現在のバージョンが利用可能かどうかを確認します。

(Server 2008 フレーバー) Microsoft Windows Server 2003 Service Pack 2 (SP2)は、最新の更新プログラムが含まれており、システムのセキュリティと安定性を向上させる累積的な更新プログラムパッケージです。また、既存の Windows Server 2003 の機能とユーティリティに新機能が追加され、更新されます。

(Server 2008 フレーバー)
特徴:
— x86 プラットフォームでは最大 32 プロセッサ、x64 プラットフォームでは最大 64 プロセッサをサポート
- サポートされるメモリ量は、x86 プラットフォームで最大 64 GB、x64 プラットフォームで最大 2 TB
— 最大 16 ノードのクラスタリング
— 仮想マシンの数に制限はありません

延長はされません。現在のバージョンが利用可能かどうかを確認します。

(Server 2012 フレーバー) Windows Server 2012 R2- 仮想化、管理、ストレージ、ネットワーキング、仮想デスクトップインフラストラクチャ、アクセスと情報セキュリティ、Web およびアプリケーションプラットフォーム、その他多くのコンポーネントの新機能と改善を含むグローバルクラウドサービスを作成および提供するように設計されています。
特徴:
— 仮想コピーは 2 つまでです
— すべての機能

Windowsストレージサーバー2012は、Windows Server 2012 プラットフォーム上で開発された、データストレージに特化したオペレーティングシステムです。この OS を使用すると、データ保護のための最新の Microsoft テクノロジを使用して、信頼性が高く生産性の高いデータストレージシステムを作成できます。
特徴:
- 64 ソケットをサポートしますが、ライセンスは 2 ソケット単位で付与されます
— 4 TB のランダムアクセスメモリ (RAM) をサポート
- ドメインの包含をサポート
- DNS や DHCP サーバーなどの一部の役割をサポートしますが、Active Directory® ドメインサービス (AD DS)、Active Directory 証明書サービス (AD CS)、および Active Directory フェデレーションサービス (AD FS) などはサポートしません。

Windows Storage Server 2012 は、Windows Server 2012 プラットフォーム上で開発された特殊なストレージオペレーティングシステムです。この OS を使用すると、データ保護のための最新の Microsoft テクノロジを使用して、信頼性の高い生産性の高いデータストレージシステムを作成できます。

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Windows Storage Server 2012のバリエーション

(Storage 2012 のアップデート) Windows Storage Server 2012 R2は、Windows Server 2012 R2 プラットフォーム上で開発されたデータストレージに特化したオペレーティングシステムです。この OS を使用すると、データ保護のための最新の Microsoft テクノロジを使用して、信頼性が高く生産的なデータストレージシステムを作成できます。

Windows Storage Server 2012 R2 には、Windows Storage Server 2012 のすべての利点に加えて、次のような多くの新機能が含まれています。
— 経済的なデータストレージ
- 仮想化の改善
— データストレージのセキュリティと信頼性

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Microsoft Windows Server 2012のバリエーション

延長はされません。現在のバージョンが利用可能かどうかを確認します。

主な特徴:
- Hyper-V の欠如
- サーバーコアなし

- 仮想化に対する権利がない
— 最大 1 プロセッサ
— 最大 15 ユーザー

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Windows Server 2012 Essentials は、小規模企業 (最大 25 ユーザー、最大 50 デバイス) にとって理想的なソリューションです。

延長はされません。現在のバージョンが利用可能かどうかを確認します。

(Server 2012 R2 フレーバー)中小企業に最適なサーバー - Windows Server 2012 R2 Essentials- Microsoft Office 365 や Microsoft Azure などの追加のクラウドアプリケーションとサービスの統合を簡素化します。 Windows Server 2012 R2 Essentials は、IT インフラストラクチャの維持に費やす時間、労力、費用を最小限に抑えるのに役立ちます。
利点:
— データ保護
— クラウドサービスの統合
— 安全なリモートアクセス
— サーバー仮想化
主な特徴:
- Hyper-V の欠如
- サーバーコアなし
- Active Directory フェデレーションサービスが欠落しています
— 1 台のマシンを仮想化する権利
— 最大 2 プロセッサ
— 最大 25 ユーザー
— 多くの機能が制限されているか、利用できません

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Hyper-Vサーバー r は、ハイパーバイザー、Windows Server ドライバーモデル、仮想化機能、フェールオーバークラスタリングなどのサポートコンポーネントを含む専用のスタンドアロン製品ですが、Windows Server OS ほど多くの機能や役割は含まれていません。

DBMS

Microsoft SQLサーバー- Microsoft Corporation によって開発されたリレーショナルデータベース管理システム。 Transact-SQL クエリ言語を使用します。これは、拡張機能を備えた構造化クエリ言語 (SQL) の ANSI/ISO 標準の実装です。個人データベースから大規模なエンタープライズ規模のデータベースまで、さまざまなサイズのデータベースを操作できるように設計されています。

延長はされません。現在のバージョンが利用可能かどうかを確認します。

バージョン SQLサーバー2012は、エンタープライズデータ統合プラットフォームに多くの重要な変更をもたらします。特に、製品バージョンの構成の簡素化と新しいライセンスモデルです。さらに、SQL Server 2012 には、パフォーマンス、ビジネスインテリジェンス (BI)、および開発ツールが強化されています。 SQL Server 2012 の最も重要な 10 の新機能を以下に示します。
特徴:
— 簡易版構成
- サーバーコアモードのサポート
— DQS データ品質サービスにより、データベース内のデータの高品質と正確性を維持できます。
— T-SQL 言語の改善
— 自律型データベース
— 列インデックス
- SQL サーバーデータツール
— Power View — エンドユーザーがレポートフォームを設計できるようにするグラフィカルナビゲーションおよびデータ視覚化ツール
- AlwaysOn 可用性グループ - SQL Server 2012 の最も重要なコンポーネントは、データベースの高可用性のための新しいテクノロジです。

Microsoft SQL Server 2014 (Standard、BI、EE、Express、Web、Compact エディション) - これは Microsoft SQL Server シリーズの最新バージョンであり、大規模な運用データベースの作成、展開、サポートに高いシステムパフォーマンスを必要とする組織に適しています。

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Microsoft SQL Server 2016画期的なインメモリ処理パフォーマンス、比類のないセキュリティ、包括的なモバイルビジネスインテリジェンス、および高度な分析機能を備えています。運用データベース管理システム、ビジネスインテリジェンス、分析、およびデータウェアハウジングに関する Gartner のマジッククアドラントを確認して、Microsoft がデータプラットフォームの業界リーダーとみなされている理由を確認してください。FSTEC Russia Certificate 3978。2023 年 8 月 6 日まで有効です。

メールサーバーシステム

Microsoft Exchangeサーバー

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Microsoft Exchangeサーバー- メッセージングとコラボレーションのためのソフトウェア製品。
Microsoft Exchange の主な機能: メールの処理と転送、カレンダーとタスクの共有、モバイルデバイスのサポートと Web アクセス、ボイスメッセージングシステムとの統合 (Exchange 2007 以降)、インスタントメッセージングのサポート (Exchange 2003 からサポートが削除)。
Microsoft Exchange Server は、MAPI、SMTP、POP3、IMAP4、HTTP/HTTPS、LDAP/LDAPS SSL、および DAVEx のプロトコルをサポートします。
次のクライアントは Microsoft Exchange Server と連携できます: Microsoft Outlook、Outlook Express、Windows Mail、Outlook Web Access、Outlook Mobile Access、ActiveSync、Outlook Voice Access、カスタム電子メールクライアント (MAPI を除く)。
主な革新:
— 複数世代の従業員のサポート
— SharePointとの統合
- 検索機能とインデックス作成機能が強化され、Exchange 2013、Lync 2013、SharePoint 2013、および Windows ファイルサーバーを検索できるようになりました。
- Exchange Server 2010 アーキテクチャを活用し、スケーリング、ハードウェア使用率、障害検出を簡素化するために再設計されました。

サーバーアプリケーションのセット

Microsoft SharePoint Server 2010は、企業およびインターネット上で作業するための作業プラットフォームであり、その統合された機能により、人々間のコミュニケーションに十分な機会が提供されます。これには、次のコンポーネントが含まれます。
— コラボレーションを組織するための一連の Web アプリケーション
— Web ポータルを作成する機能
— 文書および情報システム内の情報を検索するためのモジュール
— ワークフロー管理機能とエンタープライズ規模のコンテンツ管理システム
— 情報を入力するためのフォームを作成するモジュール
— ビジネス分析のための機能

SharePoint を使用して、ユーザーが共同作業できるサイトを作成できます。 SharePoint プラットフォーム上に作成されたサイトは、情報、知識、ドキュメントのリポジトリとして使用でき、また、Wiki やブログなどの対話を容易にする Web アプリケーションを実行するために使用することもできます。ユーザーは、SharePoint WebParts と呼ばれるコントロールを使用して、リストやドキュメントライブラリ内の情報を管理および操作できます。

延長はされません。現在のバージョンが利用可能かどうかを確認します。

Microsoft SharePoint Server 2013 SP1は、生産性の向上、従業員のコラボレーションの組織化、情報フローの制御などの重要なビジネス上の問題の解決、情報に基づいた意思決定、作業プロセスの管理を目的として設計されたエンタープライズアプリケーションの統合パッケージです。この製品は、ソーシャルコンポーネント、クラウド、モビリティに焦点を当てています。 Microsoft SharePoint 2013 は、簡単な管理、強力なコミュニケーションと情報セキュリティ、柔軟なコラボレーションのための新機能を提供します。ソーシャル機能により、アイデアの共有、同僚の行動の追跡、専門家や情報の検索などが簡単に行えます。

Microsoft SharePoint Server 2016ユーザーが共同作業できるサイトを作成するために設計されています。 Microsoft SharePoint 2016 プラットフォーム上に構築されたサイトは、情報、知識、ドキュメントのリポジトリとして使用でき、また、Wiki やブログなど、コラボレーションを容易にする Web アプリケーションを実行するために使用することもできます。ユーザーは、Web パーツと呼ばれるコントロールを使用して、リストやドキュメントライブラリ内の情報を管理および操作できます。

現在、世界中で情報セキュリティ要件に従って情報システムのコードをテストすることが行われていますが、認証慣行の拡大にも関わらず、それをめぐって多くの神話や誤解が生まれています。

02.08.2011 アレクセイ・マルコフ、ヴァレンティン・ツィルロフ

現在、世界中で情報セキュリティ要件に従って情報システムのコードをテストすることが行われています。たとえば、政府および決済ソフトウェアシステムは海外では必須の検証を受けていますが、ロシアでは情報セキュリティ要件に対する規範的な認証方法が普及しています。しかし、認定業務の拡大にもかかわらず、それを中心に多くの神話や誤解が生まれています。

欧米では、政府および決済ソフトウェアシステムに対して義務的な監査が実施されており、不動産業界やインターネット上でサービスを提供する銀行、仲介、投資、保険、サービス会社は自主的な監査を受けています。我が国では、伝統的に適合性評価の規範的な方法が普及しており、特に多くの情報システムのソフトウェアは、情報セキュリティ要件に従って必須の認証の対象となっています。

歴史的に、ロシアにおける情報セキュリティ要件の認証システムは、ソ連崩壊後、国家機密の処理と保護に関連するロシアのソフトウェアシステムの品質だけでなく、外国ソフトウェアのセキュリティも管理する必要があったときに誕生しました。。国防省、FSB、FSTEC は認証プロセスに積極的に参加しました。

最近まで、認証は主に電力省や政府の命令を遂行する産業企業に関係しており、情報技術分野の専門家の大多数はこの問題にほとんど関心を持っていませんでした。連邦法-152「個人データについて」とそれに続く規制および方法論の文書の採択により、状況は大きく変わりました。ソフトウェア認証と情報化オブジェクトの認証は、医療、教育、運輸の分野で活動するほとんどの営利企業とすべての政府機関に必要であることが判明しました。これはすぐに多くの疑問を引き起こし、多くの場合、認証の本質とプロセスの誤解に関連した否定的な判断が一般的に生じました。

一般に、認証は、商品またはサービスの特定の特性が特定の要件に準拠していることを独立して確認するものとして理解されています。私たちの場合は、ソフトウェア保護ツールまたは保護されたバージョンのプログラムについて話しています。したがって、要件は規制文書と情報セキュリティに関連する文書です。

認証はどのように行われますか?

あらゆる認証試験の基本的な特徴は、試験を実施する試験機関と、試験機関が実施した試験結果を独立して監視する認証組織の独立性です。一般に、認証スキームは次のとおりです。

申請者 (開発者または認証に関心のあるその他の企業) は、特定の製品の認証テストを実施するために連邦認証機関 (FSB、FSTEC、または国防省) に申請書を提出します。
連邦機関が認定試験機関と認証機関を決定します。
試験機関は申請者と協力して認定試験を実施します。テスト中に、記載された要件との矛盾が明らかになった場合、申請者は作業指示の中でそれらを削除することができますが、これはほとんどの場合に起こります。あるいは、製品の要件を変更する、たとえば、要件を下げるなどの決定を下すこともできます。セキュリティクラス。認定テストが陰性結果で完了する可能性があります。報道で最もセンセーショナルな例は、海軍研究所の試験研究所が 1 年間の検査を経て、特殊用途のソフトウェア製品に対して否定的な認定結果を出したケースです。古いモジュールのソースコードの一部が失われたために、特定のバージョンの OS と DBMS が未宣言の機能がないために証明書を取得できなかったケースが少なくとも 5 件知られています。 FSTEC 登録簿を見ると、多くのソフトウェアセキュリティシステム (Oracle DBMS や IBM Guardium アプリケーションセキュリティシステムなど) が、技術仕様への準拠のみを目的として証明書を受け取っていて、管理文書への準拠については証明書を受け取っていないことがわかります。国家技術委員会の - これは、認証機関が試験中にガイダンス文書のすべての要件が確認されていないとみなしたことを意味します。
試験材料は認証機関に転送され、認証機関が独立した試験を実施します。原則として、少なくとも 2 人の専門家が検査に参加し、検査の正確性と完全性を独立して確認します。
連邦認証機関は、認証機関の結論に基づいて適合証明書を発行します。何らかの不一致が特定された場合、連邦機関はさまざまな認定研究所や団体の専門家の参加を得て追加検査を実施する可能性があると言わなければなりません。

強制的な認証システムでは、認証プロセスで重大な違反があった場合、ライセンスや認定証明書を取り消したり、停止したりする慣行があります。 3 つの研究所と 1 つの認証機関の活動の継続が疑問視され、その結果 2 つの組織が認証分野での活動を中止するケースがありました。また、情報施設において情報漏洩に係る事件が発生した場合には、規制当局が試験を実施した試験所を立ち入り検査することができます。

認証制度と要件

ロシア連邦におけるロシア認証システムの活動は、連邦法第 184 号「技術規制について」によって規制されています。情報セキュリティツールの認証は任意または必須であり、主に国防省、FSB、および FSTEC の枠組み内で実施されます。ほとんどの営利企業にとって、「認証」という用語は、暗号セキュリティ製品の場合は「FSB システムでの認証」、その他すべての製品の場合は「FSTEC システムでの認証」の概念と同義です。ただし、暗号化に加えて、FSB の権限には最高政府機関で使用される情報セキュリティ対策も含まれることに留意する必要があります。一方、国防省の情報セキュリティ認証制度は、軍事施設で使用されるソフトウェア製品に焦点を当てている。

情報セキュリティツールの自主認定制度はまだ普及していません。この種のシステムで注目に値する唯一のシステムは IT 認定です。残念ながら、任意のシステムでは、情報オブジェクトを認証する際に、機密情報の保護に関する規制文書への準拠に関する証明書を取得することが可能であるという事実にもかかわらず、そのような証明書はロシアのFSTECによって認められていません。

認証試験への準拠に関する文書は、どの認証制度でもほぼ同一です。認証には主に 2 つのアプローチがあり、それに応じて規制文書も 2 種類あります。

情報セキュリティツールの機能テスト。製品が宣言された機能を実際に実装していることを確認します。このテストは、特定の規制文書 (たとえば、ロシア国家技術委員会の管理文書の 1 つ) に準拠するために実行されることがほとんどです。このような文書は、たとえば、ファイアウォールや不正アクセスに対する保護手段について確立されています。認証製品が完全に準拠する文書がない場合は、機能要件を明示的に策定できます。たとえば、技術仕様または安全仕様の形式で (GOST R 15408 規格の規定に従って) ）。
宣言されていない機能がないかどうかのプログラムコードの構造テスト。宣言されていない機能の典型的な例はソフトウェアブックマークです。ソフトウェアブックマークは、特定の条件が発生すると、ドキュメントに記載されていない機能の実行を開始し、情報への不正な影響を許可します (GOST R 51275-99 による)。宣言されていない機能の特定には、プログラムソースコードの一連のテストの実施が含まれます。その提供は、認定テストの実施を可能にするための必要条件です。

ほとんどの場合、情報セキュリティツールは、基本機能と未宣言の機能がないことの両方の点で認定される必要があります。小規模民間組織の情報保護コストを削減するために、第 2 および第 3 クラスの個人データを処理するシステムには例外が設けられています。ソフトウェアツールに情報セキュリティメカニズムが備わっていない場合、そのソフトウェアツールは、宣言されていない機能がないことのみを認定できます。

認定に関する神話

どの認証システムにおいても、テストを組織して実施するプロセスは厳密に形式化されていますが、ほとんどの IT スペシャリストがそのようなテストに参加した経験がなかったり、規制当局とのやり取りがなかったりするため、認証の問題に関して多くの神話や誤解が生じています。

誤解 1: 認定は取引です。残念ながら、一部の消費者は、いかなる認証も許可を取得するための正式な手順であり、当然腐敗していてまったく役に立たないと心から考えています。したがって、認定のために提示された保護具が実際に真剣にテストされており、テストの結果が否定的である可能性があることは、多くの申請者にとってショックです。認証機関による試験機関の独立した管理により、申請者と試験機関との間に共謀がないことが保証されます。

誤解 2: 認証は政府機関によって行われます。もちろん、すべての強制認証システムの連邦機関は州所有ですが、試験機関や認証機関はあらゆる形態の所有権を持つことができ、実際にはそのほとんどが営利団体です。

誤解その 3: 認証は国家機密を保護する手段にのみ必要です。現在、情報セキュリティツールの 80% 以上が、国家機密を構成する情報を含まない自動システムのみでの使用が認定されています。

誤解 4: 認証が必要なのは政府機関だけです。実際、最終顧客は情報化オブジェクトの認証、つまり自動化システムが安全であることの正式な確認に興味を持っています。ほとんどの場合、認定に合格するには、認定されたセキュリティツールのみを使用してシステムを構築する必要があります。これは、国家情報リソースに関連するシステムだけでなく、個人データの処理に関連するシステムにも当てはまります。保護される秘密の種類に関係なく、ソフトウェア製品の必須認証要件が発生する場合があります。たとえば、そのような要件は、国民の信用履歴を扱うシステム、国際交換ネットワークからのリソースへのアクセスを提供する場合のゲームシステムなどに存在します。

誤解 5: 外国製品は認証されません。実際、Microsoft、IBM、SAP、Symantec、Trend Micro などの開発者の製品は、未宣言の機能がないことを確認するテストを含む認定テストに合格しています。

原則として、外国企業はソースコードをロシアに転送しないため、テストは開発者に対して現地で行われます。もちろん、プログラムコードは開発者のセキュリティサービスによる絶対的な管理のもとで提供され、漏洩は一切ありません。このモードでの作業の実行は非常に複雑で、高度な資格を持つ専門家が必要となるため、すべての試験機関がそのようなサービスを提供できるわけではありません。しかし、ロシアで認証を受ける外国製品の数は年々増加しています。現在、マイクロソフト、IBM、オラクル、SAP など約 20 社の外国企業が認定テストのために自社製品のソースコードを提供しています。この点で注目に値するのは、Microsoft Corporation - Government Security Programのイニシアチブであり、これによると、同社のすべての製品の基本コードが研究のためにロシアに転送されました。過去 5 年間で、約 40 の外国製品が未申告の機能が存在しないという証明書を受け取りました。

迷信その 6: 認証されているということは保護されていることを意味します。これは完全に真実ではありません。正しい表現は次のようになります。製品は認証されています。これは、製品が特定の要件を満たしていることを意味します。同時に、消費者が関心のある製品特性をテストで実際に検証するために、消費者は保護具が正確に何に準拠していると認定されているかを明確に理解する必要があります。

製品が技術仕様に準拠しているかどうかテストされた場合、その準拠は証明書に記録されますが、消費者は製品の技術仕様を読まなければ、原則としてどの特性がテストされたかを判断できず、これが製品を欺くための前提条件を生み出します。資格のない消費者。同様に、宣言されていない機能がないことを示す証明書の存在は、製品の機能については何も示しません。

技術仕様に指定されている製品の使用に関する制限 (特定の動作環境とプラットフォーム、動作モード、構成、追加のセキュリティ対策の使用など) を理解しておくことが非常に重要です。たとえば、証明書Windows および MSWS オペレーティングシステムの一部のバージョンでは、信頼されたブートモジュールでのみ有効です。外部セキュリティ対策のほぼすべての証明書は、特定のバージョンの OS に対してのみ有効であり、一部の信頼できるブートツールの使用に対する制限により、コンピューターを物理的に保護する必要があることが示されています。ある古いセキュリティツールの制限により、Windows はコマンドモードでのみ動作するように指定されているという興味深いケースがあります。

誤解 7: 認証中に何も見つからない。規制文書の要件に関係なく、今日では、認定テストの一環として、専門家がソースコード (提供されている場合) を注意深く検査し、さまざまな負荷テストオプションも実施するという暗黙のルールがあります。さらに、専門家は製品とその動作環境に関するさまざまな安全情報を研究しています。その結果、経験豊富な研究所は、申請者が修正するか文書に記載する必要がある重大な脆弱性のリストを受け取ります。たとえば、認定では、組み込みのパスワードとその生成のためのアルゴリズム、アーキテクチャ上のエラー (個別および必須のアクセス原則の不適切な実装など)、プログラミングエラー (バッファオーバーフローに対する脆弱性、ロジックおよび時間演算子のエラー、競合など) などの脆弱性が特定されます。、信頼できないファイルをダウンロードする可能性など）、およびアプリケーションデータ処理時のエラー（SQL インジェクション、クロスサイトスクリプティング）が発生し、これを実装するとシステムセキュリティのレベルが大幅に低下する可能性があります。私たちの実践によれば、テストされた通信機器の 70% で組み込みのマスターパスワードが見つかり、テストされたオペレーティングシステムのほぼ 30% で、アクセス制御システムの実装におけるエラーが特定されました。製品に論理的な時限爆弾が含まれているケースもありました。

誤解その 8: 製品には未宣言の機能がないことが認定されており、これは脆弱性がないことを意味します。現在、考えられるすべてのソフトウェア脆弱性を確実に検出する方法はありません。未宣言の機能がないことに対する認定が正常に完了すると、特定の方法を使用して特定された特定クラスの脆弱性のみの検出が保証されます。一方、宣言されていない機能がないことに対する認定に合格すると、開発者がプログラム制作のための高品質なシステムを備えていることが保証されます。つまり、すべての実際のソースコードとコンパイル環境が検出および記録されており、コンパイルとアセンブリが確実に実行されることが保証されます。繰り返し書かれており、ロシア語のドキュメントもあります。

誤解その9: ソースコード分析の要件は我が国にのみ存在します。プログラムのソースコード提供に伴う国内認証の厳格さに対する批判によく遭遇します。実際、国際認証システム Common Criteria では、国家機密として分類されていない情報を処理する製品のテストを、ソースコードを提供することなく許可していますが、この場合、隠れたチャネルや脆弱性がないかどうかのチェックが正当化されなければなりません。国家機密を処理するシステムや決済システムについては、ソースコードのセキュリティの構造分析が提供されます。商用ソフトウェア製品のソースコードのセキュリティ監査の要件は、国際標準 PCI DSS、PA DSS、および NISTIR 4909 に記載されています。

誤解 #10: 認定には費用がかかります。情報セキュリティ要件に従ったソフトウェアの認定は、かなり時間と労力を要するプロセスであり、無料ではあり得ません。同時に、適合証明書の存在により、申請者の製品の市場が大幅に拡大し、販売数が増加し、他のコストに比べて認証にかかるコストが小さくなることがわかります。

認証の未来

認証は、情報セキュリティの分野に存在するすべての問題を解決する普遍的な方法ではありませんが、今日、認証は情報セキュリティツールの独立した品質管理を提供する唯一の真に機能するメカニズムであり、認証による利益は害よりも大きいです。この認証メカニズムを正しく使用すると、自動化システムの保証レベルのセキュリティを達成するという問題を非常にうまく解決できます。

今後を展望すると、規制ツールとしての認証は、一方では現在の脅威に対する保護のための合理的な要件を反映した規制文書を改善する方向に、また一方では、規制に従って重要なコンポーネントをチェックする方法を改善する方向に変化すると想定できます。一方、「効率/時間」の基準。

アレクセイ・マルコフ([メールで保護されています]), バレンティン・ツィルロフ- NPO「エシェロン」（モスクワ）の職員。

シール