Windows 7 и Windows Server 2008 сертифицированы на соответствие закону о защите персональных данных
Microsoft привела свои последние операционные системы для ПК и серверов в соответствие с российским законом о защите персональных данных.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) сертифицировала целый ряд продуктов Microsoft на соответствие ФЗ152 «О Защите персональных данных», сообщают в корпорации.
В частности, сертификацию получила ОС Windows 7 «Профессиональная», «Корпоративная» и «Максимальная» с SP1, Windows Server 2008 R2 Standard, Enterprise и Datacenter с SP1, BizTalk Server 2009 в редакции Standard и Enterprise, а также системы управления идентификацией в гетерогенных средах Forefront Identity Manager 2010.
Это означает, что в этих продуктах признали наличие встроенных средств защиты от несанкционированного доступа к информации, не содержащей гостайну. Их разрешается использовать при создании автоматизированных систем класса защищенности 1Г включительно и при создании ИТ-систем персональных данных до 2 класса включительно.
Сейчас у организаций, имеющих дело с обработкой персональных данных, есть два основных способа привести свои ИТ-системы в соответствие с законом о защите персональных данных, отмечает директор по информационной безопасности Microsoft в России Владимир Мамыкин: создавать эти системы на базе сертифицированных платформ или использовать наложенные (дополнительные) средства защиты.
«При этом, использование наложенных средств существенно дороже и не гарантирует работоспособности с такими средствами используемых клиентом приложений», — уверен он.
Стоит отметить, что для персональных данных по официальной классификации самые высокие требования к защищенности предъявляются к системам обработки персданных класса 1.
Работы по сертификации на этот класс для продуктов Windows 7 и Windows Server 2008 также завершены, говорит Мамыкин, в настоящее время идет экспертиза результатов. Для такой сертификации необходимо изучить ПО и на отсутствие недекларированных возможностей (НДВ), на что, по его словам, требуется как минимум несколько месяцев работы.
По мнению Мамыкина, проводить сертификацию НДВ для всех выходящих ежемесячно обновлений является практически невозможным. Поэтому единственным выходом для клиентов, желающих использовать в своих ИТ-системах продукты для защиты персданных с сертификатом на класс К1 является отказ от обновлений этих продуктов, говорит он.
В качестве заявителей на сертификацию ФСТЭК выступили партнеры корпорации — ФГУП «ППП Управления делами Президента РФ» и «Сертифицированные информационные системы».
Теоретически любой партнер по согласованию с Microsoft может подать заявку на сертификацию, пояснил Владимир Мамыкин. Однако эти две организации, по мнению корпорации, лучше всех подходят для сотрудничества по этому направлению. Они обладают и соответствующим опытом, и необходимым защищенным техническим оснащением, поэтому на протяжении уже нескольких лет они и выступают заявителями.
Они же, добавляет Мамыкин, как обычно, будут поставлять сертифицированные ФСТЭК версии продуктов, а также будут самостоятельно сертифицировать для них все обновления, которые выпускает корпорация, и снабжать ими клиентов. Требование сертификации всех обновлений, ставящихся на сертифицированный продукт, является обязательным, отмечает представитель Microsoft.
Напомним, что ранее корпорация также получила сертификацию ФСБ на систему управления базами данных Microsoft SQL Server 2008 с пакетом Secure Pack Rus. Сертификаты ФСБ на Windows 7 и Windows Server 2008 R2 еще не получены, уже несколько месяцев ведется их экспертиза.
Источник: CNews
См. также:
- Приоритет при оказании госуслуг — защита персональных данных
- Обновленный закон «О персональных данных» принят
- Персональные данные: какие документы готовить к проверке?
Комментарии:
Правильно сказать не ИТ-система персональных данных, а ИСПДн (информационная система персональных данных). Понятия ИТ-система в законодательстве нет .
А сертифицировать давно пора было (тем более, что были прецеденты типа Альтекс Строя 2000, который и каждое обновление проверял).
Только возникает вопрос, что делать с этими сертификатами, когда вместо классов защищенности Правительство РФ определит уровни защищенности (как в новой редакции закона)?
Уровни обещали определить до середины 2012 года (видимо уже новое Правительство определит ).
Оставить комментарий