Сертификация продуктов «1С-Битрикс»
С какими организациями сотрудничает «1С-Битрикс» в процессе сертификации и в каком формате?
В данный момент компания «1С-Битрикс» сотрудничает с компанией «Сертифицированные информационные системы груп». Данная компания выступила в следующей роли:
Заявитель, который
a. выполняет все организационные мероприятия, связанные с сертификацией;
b. несет затраты на постоянный учет сертифицированных копий продуктов;
c. непосредственно продает сертифицированные программные продукты «1С-Битрикс».
Достаточно ли использования сертифицированных продукта «1С-Битрикс» для итоговой аттестации информационной системы?
Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.
Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.
Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.
В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.
Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.
Аттестацию проводят организации, лицензированные для этого ФСТЭК.
Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию. В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.
Как и в какие сроки заказчики получают обновления сертифицированных продуктов?
При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.
Все обновления проходят проверку в испытательной лаборатории. Далее все сертифицированные обновления становятся доступны на Портале сертифицированных обновлений компании "СИС груп". Как правило, данная процедура занимает от нескольких дней до нескольких недель.
Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.
В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет, поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «Сертифицированные информационные системы груп», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.
Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений SiteUpdate.