«МойОфис» выпустил сертифицированную почту для КИИ
«МойОфис», российский производитель офисного ПО, выпустил продукт для КИИ — корпоративную почтовую систему «Mailion. Сертифицированный», которая в настоящий момент является единственной защищенной почтой с действующим сертификатом ФСТЭК России. CNews решил познакомиться с новинкой поближе.
Зачем нужна такая почта
Минувший 2022 год показал, что все риски использования иностранного ПО реализовались в полном объеме. Российские пользователи столкнулись с отзывом лицензий, с отключением технической поддержки и с прекращением распространения обновлений программных продуктов. Так, по оценке Forbes, российский рынок покинуло более 170 иностранных ИТ-компаний и еще 50 ввели серьезные ограничения. В том числе, с нашего рынка исчез и Microsoft — один из лидеров в области разработки корпоративных почтовых систем.
Параллельно с этим, изменились векторы атак. По данным «Лаборатории Касперского», ландшафт угроз изменился в сторону атак на государство, объекты критической информационной инфраструктуры и военно-производственный комплекс. Этому способствует рост геополитической напряженности — чем активнее действует наша страна на международной арене, тем больше внимания злоумышленников к стратегически важным предприятиям и объектам КИИ. Причем, целью взлома может стать не прямой ущерб, а внедрение с целью дальнейшей долгосрочной и незаметной для организации эксплуатации уязвимости. Например, для последовательного сбора конфиденциальной информации, такой как персональные данные сотрудников организаций.
Также изменилось и поведение самих злоумышленников. Если раньше их основной целью был выкуп, причем, осуществляемый без привлечения лишнего внимания, то теперь они действуют иначе. Аналитики «Лаборатории Касперского» отмечают, что всё чаще злоумышленники осуществляют взлом ради повышения собственной репутации в криминальной среде, а не ради непосредствено выкупа. Кроме того, трендом 2023 года стало появление хактивистов — политически мотивированных инсайдеров, которые работают в самой организации и при этом симпатизируют недружественным странам.
Очевидно, что в таких условиях заметно вырос спрос на доверенные продукты от российских разработчиков с высокой культурой безопасной разработки.
Какая у продукта целевая аудитория
Производитель заявляет, что «Mailion. Сертифицированный» предназначен для работы с конфиденциальной информацией в крупных коммерческих и государственных организациях, которым требуется построение защищенных информационных систем и прохождение аттестации систем безопасности в соответствии с требованиями законодательства РФ. Другими словами, речь идет о значимых объектах критической информационной инфраструктуры, о государственных информационных системах (ГИС), автоматизированных системах управления производственными и технологическими процессами (АСУ ТП), а также об информационных системах персональных данных (ИСПДн).
И, поскольку, «Mailion. Сертифицированный» адресован объектам КИИ, то будет нелишним вспомнить, какие именно организации попадают под действие федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно закону, к объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, а также автоматизированные системы управления субъектов критической информационной инфраструктуры.
При этом, субъектами КИИ являются государственные органы и учреждения, а также российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ. То есть, организации, действующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Что предлагает «Mailion. Сертифицированный»
Появление нового продукта расширяет состав платформы офисных решений МойОфис. И теперь, помимо корпоративной почты Mailion, разработчик предлагает и отдельный сертифицированный продукт. И то, и другое — почтовая система, которая позволяет отправлять электронные письма, управлять событиями в календарях и работать с контактами в адресной книге. Так в чем же тогда разница между этими решениями?
Помимо наличия сертификата ФСТЭК России №4648, который гарантирует соответствие «Mailion. Сертифицированный» требованиям по 4 уровню доверия и отсутствие недекларированных возможностей, новый продукт может похвастаться еще и внушительным списком из 60 доверенных мер защиты информации.
Производитель внимательно изучил нормативно-правовые акты регулятора и, в полном соответствии с требованиями приказов ФСТЭК России №239 и №21 реализовал в «Mailion. Сертифицированный»:
- 11 мер защиты данных при идентификации и аутентификации (ИАФ);
- 19 мер управления доступом (УПД);
- 2 меры ограничения программной среды (ОПС);
- 5 мер обеспечения целостности (ОЦЛ);
- 7 мер обеспечения доступности (ОДТ);
- 7 мер защиты информационной (автоматизированной) системы и ее компонентов (ЗИС);
- а также обеспечил требования к защите персональных данных для каждого из уровней защищенности — регистрацию информации о событиях безопасности (РСБ) и контроль состава технических средств, программного обеспечения и средств защиты информации (АНЗ).
Производитель заявляет, что реализованные в системе средства защиты информации соответствуют требованиям безопасной разработки, предъявляемыми к прикладному ПО. Речь идёт о выполнении разработки по требованиям ГОСТ Р 56939–2016 «Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования»). Такой подход разработчика позволяет не только ускорить сертификацию программных продуктов, но и облегчает дальнейшую аттестацию информационных систем.
Что дает сертификация ФСТЭК России
Применение доверенных программных средств создает серьезный барьер для киберкриминала и хактивистов. Только комплексный подход к информационной безопасности позволит преградить доступ злоумышленникам к критически важным данным.
Можно сказать что, сертификация ФСТЭК России — это гарантия доверия к ПО. При прохождении сертификации регулятор проверяет отсутствие в программных продуктах недекларированных возможностей. Сертификация представляет собой сложный и многоэтапный процесс подтверждения безопасности программного обеспечения и возможности его применения в информационных системах, имеющих законодательные требования в части информационной безопасности.
Основными участниками процесса являются заявитель, испытательная лаборатория и орган по сертификации — ФСТЭК России. Причем, прежде чем подтвердить качество того или иного программного обеспечения, регулятор проводит серию подготовительных работ и осуществляет комплекс испытаний. Заявитель должен не только предоставить сам продукт, но и сопроводить его комплектом документации, оформленным по требованиям стандартов. После этого регулятор разрабатывает программы и методики сертификационных испытаний, а затем проводит испытания по ним. Испытания включают функциональное тестирование продукта, выявление уязвимостей и недекларированных возможностей, а также проверку производства.
Каждый этап сертификации, как правило, осложняется замечаниями, а общий срок прохождения сертификации может занимать до 3 лет. К слову, сертификация «Mailion. Сертифицированный» была проведена в рекордный срок 9 месяцев благодаря высокому профессионализму команды «МойОфис» и минимуму замечаний. Также это говорит о высоком уровне процессов безопасной разработки программного обеспечения в компании «МойОфис».
Как может выглядеть вертикаль доверия
Модель информационной безопасности современной организации должна строиться на четырех базовых принципах, обеспечивающих конфиденциальность, целостность, доступность и доверие.
ИТ-директор организации должен разработать политику информационной безопасности и выбрать подходящие ИТ-решения. Желательно, чтобы ИТ-инфраструктура была консолидирована и находилась под полным контролем организации, а используемые программные средства должны быть стандартизированы и регламентированы.
В такой парадигме, основным вопросом становится вопрос доверия, причем, не только к самому программному обеспечению, но и ко всем составляющим ИТ-инфраструктуры, то есть, к платформам, операционным системам, средам исполнения, и, конечно, к офисному и прикладному ПО.
Таким образом, в центре вертикали доверия будет находится доверенная аппаратная база, которая лишена аппаратных закладок и уязвимостей в микрокоде. Следующий уровень представлен доверенной операционной системой, обеспечивающей доверенную загрузку и программную виртуализацию. С помощью доверенной ОС устраняется риск эксплуатации уязвимостей самой ОС и её драйверов. А самый верхний уровень занимают доверенное прикладное программное обеспечение, такое как «Mailion. Сертифицированный» и наложенные СЗИ. Они нивелируют риски эксплуатации уязвимости приложений и подбора паролей.
Как работает «Mailion. Сертифицированный»
Следуя логике рассмотренной вертикали доверия, новинка от «МойОфис» функционирует на самом верхнем уровне. Поэтому, для того, чтобы информационная система могла пройти аттестацию во ФСТЭК России, потребуется обеспечить доверие и на уровне операционной системы.
Производитель заявляет, что «Mailion. Сертифицированный» работает исключительно на Astra Linux Special Edition 1.7. При том, что коммерческий продукт Mailion поддерживает куда как большее количество операционных систем. И причина здесь кроется исключительно в доверии к ПО.
Дело в том, что почтовая система «Mailion. Сертифицированный» относится к продуктам нового поколения, которые построены на микросервисной архитектуре, а не на монолитном ядре (как, к примеру, MS Exchange). Поэтому, для её работы требуется не только наличие доверенной операционной системы, но и доверенной среды исполнения, а среди всех существующих операционных систем такими средствами сегодня обладает только Astra Linux Special Edition 1.7.
Какую функциональность получает заказчик
В целом, функциональность серверной и клиентской части «Mailion. Сертифицированный» совпадает с возможностями коммерческого продукта Mailion. Пользовательский веб-интерфейс сертифицированного решения обеспечивает доступ ко всем возможностям почтового сервера. Однако, в целях обеспечения повышенной безопасности из состава сертифицированной версии были исключены настольные и мобильные клиенты, доступные пользователям коммерческого решения.
Говоря о возможностях самой почтовой системы, нужно отметить, что её пользователи могут создавать, отправлять и получать электронные письма, создавать встречи и планировать совместную работу команд, работать с контактами и глобальной адресной книгой. Разумеется, доступны все основные корпоративные функции, такие как возможность делегировать доступ к ящику и календарю, возможность группировки писем в беседы, отзывать отправленные письма и многое другое.
Среди инновационных функций, реализованных в продукте, точно стоит выделить интеллектуальную медиа-панель и сквозной морфологический поиск.
Первая функция агрегирует все материалы и участников одной ветки переписки и отражает их на специальной панели, благодаря чему пользователю становится гораздо легче найти нужные данные в цепочке сообщений.
Вторая функция, так называемый умный поиск с поддержкой морфологии языковых запросов. Почтовая система сначала определит заложенный в поисковом запросе смысл, а затем, осуществит поиск релевантных писем и объектов.
Важным отличием «Mailion. Сертифицированный» от других почтовых систем является сочетание двух факторов — продукт разворачивается на собственных серверных мощностях организации и обеспечивает возможность одновременной работы до 1 миллиона пользователей. Причем, это не просто слова — в 2022 году компания Tegrus, крупный ИТ-интегратор, провела собственное независимое тестирование коммерческого продукта Mailion, которое подтвердило возможность безошибочной работы в организации с 600 тысячами пользователей (https://www.cnews.ru/news/line/2022–03–24_mojofis_i_tegrus_podtverdili).
Сколько стоят лицензии «Mailion. Сертифицированный»
Точный ответ на этот вопрос, как это обычно бывает в случае решений корпоративного класса, зависит от ряда факторов. Производитель заявляет о специально разработанном гибком ценообразовании, в рамках которого стоимость может достигать 5 824 рублей за лицензию и формируется в зависимости от количества и срока действия лицензий.
На вопрос о существующих клиентах, производитель ответил уклончиво, сославшись на соглашения о неразглашении. По информации Cnews, проекты тестирования почтовых систем такого уровня сегодня проходят как минимум в 10 крупных российских коммерческих компаниях, но какое число заказчиков тестирует именно «Mailion. Сертифицированный» пока точно не известно.
Как получить продукт на тестирование
Чтобы получить продукт на тестирование, необходимо отправитьс корпоративного сайта МойОфис соответствующую заявку. После её рассмотрения, по информации производителя на это в среднем требуется 1 рабочий день, с заказчиком свяжется представитель компании и разъяснит порядок организации тестирования.
Внедрением решения занимаются представители партнерской сети МойОфис, которые сегодня представлены во всех регионах Российской Федерации. Важный момент — хотя общее число компаний-партнеров МойОфис уже превысило 2,5 тысячи, внедрением таких сложных продуктов занимаются далеко не все из них. Прежде, чем конкретный партнер сможет предлагать своим заказчикам «Mailion. Сертифицированный», он должен пройти соответствующее обучение и сдать квалификационные экзамены. Так производитель гарантирует, что внедрение продукта будут осуществлять компетентные специалисты, обладающие достаточным уровнем экспертизы.
Выводы и перспективы
«Ложка хороша к обеду», гласит народная мудрость. И в случае, с «Mailion. Сертифицированный» — это выражение подходит как нельзя лучше. Производитель представил коммерческий продукт Mailion в конце 2021 года, и тогда, на самом деле, мало кто понимал его фундаментальный смысл. Казалось бы — зачем нужна еще одна корпоративная почта, которых и без того прилично существует на рынке. Ведь даже у самого «МойОфис» помимо Mailion есть еще и другое почтовое решение «МойОфис Почта».
Но все буквально переменилось в 2022 году, когда в полной мере реализовались все риски и когда перевод информационных систем на отечественное ПО превратился в жизненную необходимость. Геополитическая напряженность привела к вызовам и угрозам совершенно нового типа, усилились атаки на государственную инфраструктуру и важность защиты критически важных данных уже ни у кого не вызывает сомнения — только за последний месяц с утечками столкнулись сервисы «Сбера» и «Агентство стратегических инициатив», и очевидно, что чем дальше российские организации будут эксплуатировать небезопасное ПО, то тем большее число компаний будет попадать в такой список.
Построить абсолютно безопасную систему, конечно, не представляется возможным. Но можно значительно усложнить жизнь злоумышленникам, если применять доверенные программные продукты, которые прошли сертификационные испытания ФСТЭК России и лишены недекларированных возможностей.
Отдельно отметим, что по состоянию на март 2023 года в России доступно только одно почтовое решение с действующим сертификатом ФСТЭК России, и это — «Mailion. Сертифицированный». Уверены, что со временем появятся и другие продукты, которые составят достойную конкуренцию этому высокотехнологичному продукту. А в конкурентной среде, как известно, любые товары, продукты и решения становятся только лучше.
■ Токен: Pb3XmBtztBegeGds3UX8JFh1uFhPehUQ6DsnAt8ИНН/ОГРН: 7703807270/1147746237660Сайт: https://ncloudtech.ru/
Полный текст статьи читайте на CNews