Сертификат — гарантия качества


(495) 123-37-58 Москва
 С.-Петербург
 Ростов-на-Дону
 Екатеринбург
 Нижний Новгород
>> просмотреть все города

Графические программы

AdobeПродажа Photoshop, Pagemaker, Illustrator.

Сертификат — гарантия качества

Современный бизнес невозможно представить без развитой ИТ-инфраструктуры, которая, в свою очередь, нуждается в хороших средствах защиты. Для того чтобы повысить качество и надежность защитных решений, сегодня все более активно применяется процедура обязательной государственной сертификации этих продуктов, которую, в свою очередь, перенимает и крупный бизнес. О решениях для обеспечения безопасности корпоративных сетей и важности сертификации мы побеседовали с Сергеем Земковым, директором «Лаборатории Касперского» по продажам в России, СНГ и странах Балтии.

Почему ваша компания уделяет так много внимания сертификации своих продуктов?

Наша компания ответственно подходит к бизнесу во всех странах, где работает, и если сертификация является обязательной, сертифицирует свои продукты. В России сертификация проводится по требованию Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ. Существуют регламентирующие нормативные документы, которые обязывают органы государственной власти использовать сертифицированные средства защиты. В России применение несертифицированных средств криптографической защиты запрещено законодательно.

В каких странах, помимо России, вы сертифицировали свои продукты?

На постсоветском пространстве, кроме России, мы сертифицировали свои продукты в Службе Безопасности Украины и Государственном центре безопасности информации при Президенте Республики Беларусь. В России и странах СНГ «Лаборатория Касперского» является активным участником корпоративного рынка. Более 50% продаж компании приходятся именно на корпоративный сегмент, включающий и поставки в государственные министерства и ведомства. Сертификация продуктов в соответствии с нуждами конкретного рынка — вопрос локальный, насколько мне известно, ЛК также серьезно относится к нему и на других территориях, однако решение находится в рамках руководителя каждого конкретного офиса.

Любая ли информация должна быть защищена только с помощью сертифицированных средств?

Существует три вида информации. Первый — информация, составляющая государственную тайну. Она имеет три степени секретности. Второй вид — конфиденциальная информация, доступ к которой органичен в соответствии с законом. Наконец, третий вид — открытая и общедоступная информация. Для защиты всех видов информации, обрабатываемой в государственных информационных системах, могут использоваться только сертифицированные ФСТЭК и ФСБ средства защиты информации. В зависимости от характера информации требования к средствам ее защиты разные.

Обязательная сертификация средств защиты информации, применяемых для защиты государственной тайны, предусмотрена ст. 28 Федерального закона «О государственной тайне». Особым видом информации ограниченного доступа является конфиденциальная информация. Именно она и составляет основной информационный массив как органов государственной власти, так и коммерческих организаций. Указом Президента Российской Федерации от 6 марта 1997 г. № 188 определен перечень сведений, составляющих конфиденциальную информацию. К сведениям, составляющим конфиденциальную информацию, помимо служебной, налоговой и прочих тайн, отнесены персональные данные физических лиц. Средство защиты конфиденциальной информации должно быть сертифицировано по четвертому уровню контроля (РД «Защита от несанкционированного доступа к информации», утвержденного решением Председателя Гостехкомиссии при Президенте Российской Федерации) от 04 июня 1999 г. № 114. А это значит, что любой оператор, который обрабатывает персональные данные, должен использовать средства защиты, сертифицированные ФСТЭК России.

Обязательная сертификация открытой и общедоступной информации предусмотрена Указом Президента Российской Федерации от 17 марта 2008 г № 351. Таким образом, весь спектр информации ограниченного доступа подлежит обязательной сертификации ФСТЭК и ФСБ России.

Существуют ли другие способы сертификации своих продуктов в России помимо государственного?

Очень важный момент. На сегодняшний день каких-либо систем сертификации, помимо государственной, имеющих правовое значение, в Российской Федерации не имеется. Однако и в государственной системе существует два вида сертификации — обязательная и добровольная. Многие их путают. Разница в том, что в первом случае государство устанавливает требования и проверяет продукт на соответствие им. Во втором случае требования устанавливает сам производитель, разрабатывая собственные технические условия. Этим и пользуются некоторые производители средств защиты информации, поставляя свою продукцию для защиты государственных информационных ресурсов, прошедшую лишь добровольную сертификацию. А это далеко не одно и то же. Как было отмечено, для защиты государственных информационных ресурсов могут использоваться только программные средства, прошедшие обязательную сертификацию.

А как обстоят дела с криптографическими средствами?

Что касается криптографии, то это особый вид программных средств, подлежащих обязательной сертификации. Указом Президента Российской Федерации от 3 апреля 1995 г. № 334 прямо запрещено использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификатов ФСТЭК И ФСБ Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации. Однако при проведении конкурсов на поставки товаров для государственных нужд об этом как-то забывают. А ведь все продукты, являющиеся средствами антивирусной защиты, содержат в себе элементы криптографии. Делается это по нескольким причинам. Во-первых, для защиты самого продукта. Ведь если сам продукт не защищен, то любой хакер может взломать антивирус. Во-вторых, соблюдение лицензионных требований. И, в-третьих, проверка ключа при выпуске обновлений.

Насколько важно наличие государственного сертификата для участия в конкурсах и государственных тендерах?

Наличие такого сертификата — это требование законодательства, поэтому его важность сложно переоценить. Но, к сожалению, зачастую ключевым фактором при проведении конкурсов на поставки товаров для государственных нужд является цена. Вне зависимости от того, что представляет собой продукция, самый дешевый продукт может легко победить в конкурсе.

А как обстоят дела в коммерческом секторе? Отдают ли частные компании предпочтение сертифицированным продуктам?

Многие частные компании, действительно, обращают внимание на сертифицированность программного обеспечения для защиты информации. Тенденцией последних лет можно назвать и создание крупным бизнесом собственных сертифицирующих структур. В частности, у «Газпрома» есть собственная система сертификации, осуществляемая компанией «Газпромсерт». Раньше она сертифицировала продукцию, которую компания использует в производственном процессе (трубы, задвижки и тому подобное). Сейчас они пришли к тому, что необходимо сертифицировать и программные средства защиты информации, поскольку, к сожалению, гарантировать качество и надежность без наличия сертификата невозможно. Резюмируя, можно сказать, что в небольших компаниях основным критерием для выбора все-таки является стоимость продукта. А крупный бизнес подходит к выбору гораздо более взвешенно и либо обращает внимание на сертифицированность продукта, либо создает собственную систему сертификации.

Давайте перейдем к корпоративному сектору. О каких решениях для бизнеса вы могли бы рассказать?

Мы разрабатываем решения для любого клиента и для любого предприятия. Наши продукты для персональных пользователей — это Антивирус Касперского и Kaspersky Internet Security. Друг от друга они отличаются функциональностью и «продвинутостью» используемых технологий. Линейка продуктов для предприятий насчитывает несколько десятков позиций. Она выстроена таким образом, что любая компания — от совсем небольшой до многотысячного предприятия — всегда может выбрать подходящее для ее масштабов решение.

Мы активно работаем с компаниями из любого сегмента рынка. Сейчас основной тренд — «обеление» малых и средних компаний. Для них созданы различные технологические и продуктовые решения, которые делают переход на лицензионные продукты по-настоящему выгодным. Например, мы участвуем в отраслевом проекте «Российским СМИ — лицензионное ПО», по условиям которого приобрести нашу защиту можно с 60-процентной скидкой. В мае пересмотрели и снизили некоторые позиции в прайс-листе. Лицензия на Kaspersky Business Space Security в пакете от 10 до 14 штук подешевела более чем на 14%, а в пакете от 15 до 19 штук — более чем на 10%.

Расскажите чуть подробнее о решениях для малого бизнеса.

Мы предлагаем решения, которые позволят малым компаниям оптимально использовать имеющиеся средства для покупки лицензионного программного обеспечения. Один из примеров — у нас появилась новая позиция в прайс-листе для небольших компаний — Kaspersky Open Space Security на семь рабочих станций. Это продукты не для домашних пользователей, а для небольшой сети компьютеров, в которой возможны централизованные установка и администрирование системы антивирусной защиты. Более того, в конце августа — начале сентября ожидается выход новой системы администрирования, предназначенной для небольших компаний, которая гораздо проще по функциональности и позволяет быстро установить защиту и легко ею управлять. Маленьким компаниям не требуется функциональность крупных корпораций с десятками тысяч рабочих станций. Им необходима возможность быстрой установки, настройки политики безопасности, составление нескольких отчетов, чтобы осуществлять мониторинг состояния антивирусной защиты.

В прошлом году «Лаборатория Касперского» анонсировала концепцию Kaspersky Open Space Security, в рамках которой были разработаны новые бизнес-продукты. Это различные уровни защиты вне зависимости от размера предприятий, в результате им не нужно приобретать избыточный функционал. Мы предлагаем оптимальные пакеты для разных компаний.

Сегодня даже в компаниях среднего бизнеса нет четко выделенного периметра сети, который необходимо защищать. Есть сотрудники, постоянно находящиеся в разъездах. Их ноутбуки надо не только защищать, но и иметь единые политики безопасности — в момент возвращения в сеть ноутбук проверяется на наличие вредоносных программ и только потом подключается к общей сети. КПК и смартфоны также являются источниками заражения, мы предлагаем решения по защите и для них.

А есть ли такие «черви» и вирусы, которые проникают со смартфонов в корпоративные сети?

Уже два года, как появились первые «вредоносы», которые способны «перебегать» с Windows Mobile на Win32 или с Symbian на Win32 при подключении мобильного устройства к компьютеру. Сначала возникли вредоносные программы для самой популярной мобильной платформы Symbian, в настоящее время «охвачены» и другие мобильные платформы, например, Java2 Mobile Edition. Раньше функционал ограничивался «сервисными задачами» — заразить как можно больше смартфонов. Это была, скорее, проба сил. Однако постепенно вирусописатели продвигаются в сторону воровства денег.

С развитием технологий появится и возможность развития вирусов. Но пока это перспектива на ближайшие несколько лет. Кстати, носителями заразы являются не только смартфоны, но и обычные телефоны с поддержкой Java. Для них тоже есть уже «зловреды», которые могут, например, самостоятельно отправлять SMS на короткий премиум-номер, что приводит к списанию денег со счета мобильного номера. Но пока все это происходит не на корпоративном уровне, а для опустошения личного кошелька.

Будет ли в ближайшее время движение вирусописателей в сторону корпоративного сектора?

Безусловно. Сегодня нет простых «троянов» — все они создаются злоумышленниками под конкретные задачи. Вирусописатель, создавая троянскую программу для запуска в сеть определенной компании, как правило, знает особенности ее системы безопасности и делает все возможное, чтобы «троян» смог их обойти. Мне известен случай, когда в одной из компаний финансового сектора была обнаружена троянская программа, в которой были указаны конкретные IP-адреса компьютеров, а также то, какую информацию на этих машинах необходимо изъять. Т. е. вредоносная программа была создана для того, чтобы выкрасть конкретную информацию у конкретных людей.

Как защититься от подобных угроз? Есть ли какой-то определенный продукт, гарантирующий стопроцентную гарантию безопасности?

Защита информации — это противостояние меча и щита. При этом, очевидно, вирусописатели всегда на шаг впереди разработчиков средств защиты: сначала создается вирус, а уже потом противоядие. Чтобы переломить эту ситуацию, разработчики антивирусов, в том числе и ЛК, активно развивают проактивные компоненты защиты. Например, в только что вышедшей новой версии KIS 2009 реализована технология HIPS, которая анализирует действия всех запускаемых программ. В случае обнаружения подозрительной активности, приложение будет блокировано и не сможет нанести системе никакого вреда.

Вместе с тем, пользователи — в данном случае речь идет, конечно, о крупных предприятиях — одним из решений видят использование многовендорного подхода к организации защиты. Кстати, в России в некоторых отраслях этот подход существует на уровне стандарта. Например, в финансовой отрасли есть стандарт Банка России, который оговаривает, что должно быть использовано не менее двух антивирусных продуктов.