Сертифицированная ФСТЭК версия Veeam Backup and Replication: резервное копирование конфиденциальной информации

a3086e055cd0470e919fe31df68448c4.jpg
В этом году мы получили сертификат ФСТЭК (ТУ+НДВ4) на версию Veeam Backup & Replication v8 Update #2. В этом посте я кратко расскажу о том, в каких случаях стоит выбирать именно эту (сертифицированную) версию продукта вместо обычной (не сертифицированной) версии, о ключевых отличиях нашей сертифицированной версии, и об общих требованиях законодательства к резервному копированию информации ограниченного доступа, не относящейся к гостайне.

Сертифицированную версию продукта, предназначенного для резервного копирования информации, в общем случае требуется применять в следующих случаях:
  • Если продукт применяется в государственных организациях, в сегментах сети, где в силу требований ФСТЭК, необходимо применять сертифицированные версии программных средств.
  • Если на виртуальных машинах обрабатывается информация ограниченного доступа, не относящаяся к государственной тайне. Этот термин определен в законодательстве, и фактически включает в себя любую информацию, доступ к которой ограничен в силу того или иного закона. Например, к информации ограниченного доступа относится: конфиденциальная информация компании, персональные данные физлиц, различные виды тайн (коммерческая, врачебная, адвокатская и др.), информация о секретах производства и т.д. Государственная тайна также, конечно, должна защищаться сертифицированными продуктами, однако, в этом случае сертификация должна быть более высокого уровня, чем есть у Veeam Backup & Replication, поэтому защищать данные, отнесенные к гостайне, с помощью имеющейся сертифицированной версии продукта нельзя.
  • Если в организации в силу политики безопасности требуется применять сертифицированные версии программных средств.
  • Если компания в рамках исполнения контракта получает от контрагента информацию ограниченного доступа (например, сведения, составляющие коммерческую тайну контрагента).
  • Если на информационную систему организации (в силу ее критичности и важности) явно распространяются законодательные требования, обязывающие применять в ней сертифицированные средства защиты информации. Например: не имеющие системы резервирования участки сетевой инфраструктуры Интернета, АСУ ТП АЭС, автоматизированные системы МЧС, информационные системы органов государственной власти, и др.

В 2013–2014 ФСТЭК выпустила приказы №17, №21 и №31, в которых средства резервного копирования в целом (и, в частности, средства резервного копирования виртуальных сред), были явно отнесены к средствам защиты информации, и для них были установлены специальные требования. В частности требования к резервному копированию средств виртуализации описывается мерой ЗСВ. 8. Особо хочу отметить, что Veeam Backup & Replication v8 прошел сертификацию на ТУ в соответствии с требованиями этих приказов ФСТЭК.

Если же продукт резервного копирования проходил сертификацию до вступления в силу этих приказов ФСТЭК, то он имеет «обычный» сертификат на ТУ (без подтверждения соответствия мере ЗСВ. 8), это усложняет задачу для пользователя, потому что ему нужно самостоятельно провести испытания, чтобы показать соответствие своей информационной системы актуальным требованиям приказов ФСТЭК.

Например, если говорить про резервное копирование персональных данных, то:

  • Требуется подтвердить соответствие функционала продукта защитным мерам из приказов ФСТЭК для случая 1-го и 2-го уровней защищенности ИСПДн, а для 3-го и 4-го уровней решение об их использовании принимает сам оператор, исходя из установленных им требований к функционированию информационных систем персональных данных. Сертификат ФСТЭК на ТУ позволяет подтвердить это «автоматически», не прибегая к аттестации или иным видам исследований безопасности информационной системы.
  • Также требуется подтвердить отсутствие недекларированных возможностей (НДВ) в продукте: поскольку в приказах ФСТЭК резервирование и восстановление данных прямо отнесено к «мерам обеспечения безопасности», то программные продукты, обеспечивающие выполнение резервного копирования, относятся к средствам защиты информации. Средства защиты информации, используемые в ИСПДн 1-го и 2-го уровней защищенности персональных данных, а также в системах 3-го уровня защищенности, для которых к актуальным отнесены угрозы, связанные с наличием недекларированных возможностей в прикладном программном обеспечении, должны пройти проверку не ниже чем по 4-му уровню контроля отсутствия недекларированных возможностей. Это очень важный момент для определения необходимости сертификации средств резервного копирования, потому что НДВ можно подтвердить только через систему государственной сертификации.

Касательно поддерживаемых платформ можно отметить, что сертифицированная версия Veeam Backup & Replication поддерживает такие распространенные версии платформ виртуализации Microsoft и VMware как VMware vSphere 5.5/6.0 и Microsoft Hyper-V Server 2012 R2.

Следует иметь в виду, что сертифицированная версия поставляется на физическом носителе с необходимой сопроводительной документацией (формуляр, ТУ, сертификат), но пробную версию можно скачать, как обычно, в электронном виде (путем обращения в отдел продаж). Количество лицензий, приобретаемых вместе с сертифицированным комплектом, может быть любым. Для поставки сертифицированной версии не требуется наличия лицензий ФСТЭК, поэтому поставку электронной лицензий и физического сертифицированного комплекта может произвести любой партнер Veeam в России.

Отдельным преимуществом сертифицированной версии Veeam Backup & Replication является ее техническая поддержка, которая осуществляется на территории России:

1) по специальным алгоритмам обслуживания, так как сертифицированный продукт нельзя обновлять (а именно это часто предлагается делать для обычной несертифицированной версии);
2) полностью (все три уровня) на русском языке.

Краткое заключение


Полученный сертификат ФСТЭК дает пользователям Veeam возможность организовать бизнес-процессы в соответствии с требованиями законодательства РФ. Сертифицированная версия Veeam Backup & Replication v8 может применяться для резервного копирования персональных данных физлиц, конфиденциальной информации организаций, ДСП-информации, коммерческой тайны и другой информации ограниченного доступа, не относящейся к государственной тайне, как в государственном секторе, так и в коммерческих организациях.

Дополнительные ссылки


1. Информационный сайт о сертифицированной ФСТЭК версии Veeam Backup & Replication и о резервном копирование информации ограниченного доступа в целом
2. Статья М.Ю. Емельянникова «Необходимость резервного копирования данных для бизнеса, и нужен ли для этого сертификат ФСТЭК»
3. Запись вебинара «Резервное копирование запросы бизнеса и требования закона» (спикеры Виталий Савченко, Михаил Емельянников, Мария Сидорова)
4. Сертификат ФСТЭК на Veeam Backup & Replication

Комментарии (0)

© Habrahabr.ru