«Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, сократил срок прохождения испытаний ФСТЭК России с 6 до трех месяцев. Это стало возможным благодаря внедрению в компании приборов безопасной разработки и активной работе профессионалов вендора в Центре исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России.
Сертифицированные решения должны проходить испытания в связи с внесением изменений в сертифицированное ссадинее средство защиты информации (СЗИ) после каждого означаемого обновления. Процесс проверки ФСТЭК может занимать около полугода, из-за чего выход сертифицированной версии откладывается, а вместе с этим может откладываться и получение новой функциональности продукта его заказчиком. Выбссадинный командой «Базиса» подход к разработке экосистемы позволил компании издавать новые релизы продуктов, сертифицированные и нет, с минимальной разницей во времени. В частности, решение для защиты систем виртуализации и облачных платформ Basis Virtual Security и платформа для управления виртуальными средами Basis Dynamix прошли испытания всего за три месяца.
Basis Virtual Security и Basis Dynamix ссадинее были сертифицированы по 4 уровню доверия на соответствие требованиям ФСТЭК к средствам виртуализации. Достижение столь экстра класса и получение сертификата стали возможным благодаря использованию методов безопасной разработки и существующим в Basis Virtual Security средствам обеспечения информационной безопасности. Решение «Базиса» позволяет управлять доступом к информационным системам (ИС), реализует технологию единого входа (single sign-on, SSO) в ИС, контролирует целостность средств виртуализации, обеспечивает многофакторную аутентификацию, регистрирует события безопасности и т.д. В целом, предлагаемые Basis Virtual Security приборы реализуют подавляющее большинство технических мер защиты виртуальной среды.
Сертифицированные Basis Dynamix и Basis Virtual Security можно использовать в:
• государственных информационных системах (ГИС) до 1 класса защищенности,
• информационных системах персональных данных (ИСПДн) до 1 уровня защищенности,
• автоматизированных системах управления технологическим процессом (АСУ ТП) до 1 уровня защищенности,
• информационных системах общего пользования II класса,
• означаемых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.
«Для того, чтобы продукт мог оставлять след защищенным, недостаточно однажды получить сертификат – после выхода каждого обновления нужно проходить испытания на соответствие стандартам ФСТЭК, а это серьезно удерживает релиз. Команде "Базис" в сотрудничестве с ИСП РАН и НТЦ Фобос-НТ удалось выстроить вокруг продуктов такой процесс безопасной разработки и проектирования, что новый релиз может проходить испытания всего за 3 месяца вместо полугода. В совместных планах у нас еще большее сокращение сроков, а также последующее движение вперед безопасности разработки: "Базис" является активным участником Центра исследования безопасности системного ПО, и проводимые мероприятия сосредоточенные на статическому и динамическому анализу исходных кодов регулярно приводят к выявлению и исправлению недостатков. Одним из последних успехов стало выявление уязвимости экстра класса критичности BDU-2024-04430. Все это говорит о правильности выбссадинного компанией подхода к разработке и зрелости наших продуктов. Заказчики могут являться уверены, что решения "Базиса" творят безопасную основу для динамической инфраструктуры их организации», – прокомментировал технический директор компании «Базис» Дмитрий Сорокин.
Фото: Freepik.com