Kaspersky

Сертификация ФСБ и ФСТЭК продуктов Лаборатории Касперского


Badge +2

Так как форум больше недоступен, то продолжаю свою тему тут.

Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам?

//ModNote:

Ответ в сообщении.

Тема из одного вопроса конвертирована в обсуждение различных вопросов по сертифицированным версиям (ФСТЭК, ФСБ).

Статьи Базы знаний по теме:

KES 11 https://support.kaspersky.ru/14693

KES 10 https://support.kaspersky.ru/11319

KSC https://support.kaspersky.ru/11320

KSWS https://support.kaspersky.ru/13750

Полный список https://support.kaspersky.ru/common/certificates


70 replies

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?
Ответ техподдержки: версия 10.3.0.6294 остается сертифицированной в течение всего срока действия выданного на неё сертификата.
Badge
Всем привет. Я не очень отследил переезд любимой темы на новую платформу.
По пунктам:
Новое положение ФСТЭК изменяет условия использования сертифицированной версии. Вы можете прочитать на сайте ФСТЭК, но вкратце:
  • Пользователь может использовать сертифицированную версию, которая у него стоит пока: a) не кончилась техническая поддержка. б) для данной версии нет открытых уязвимостей.
  • Окончание срока действия сертификата означает что ЛК не может больше отгружать этот продукт заказчикам в сертифицированных медиапаках (или онлайн). Пользователи могут продолжать на ней сидеть пока выполняется условие выше.
  • при проведении инспекционного контроля срок действия сертификата теперь не продлевается.
  • сертификат на 5 лет.
Что это значит для нас:
  • под продуктом тут понимаем конкретный билд, соответствующий указанному в формуляре.
  • соответственно как только новый билд проходит ИК (в описываемом случае SP2MR3) мы перестаём отгружать SP2 (68-05), т.к. сертификат на него больше не действует а действует на SP2MR3 (68-06). Но пользователи могут на нём (SP2) сидеть пока не закончится его ТехПоддержка.
  • продукты, прошедшие ИК в рамках одного номера сертификата выкладываются на certifiedbuilds.
  • прошедший сейчас ИК версии SP2MR3 не повлиял на срок сертификата и он заканчивается 25 ноября 2019 года. Таким образом отгрузка версии SP2MR3 прекратится в этот день.
  • Насколько я знаю по умолчанию сейчас грузят KES11, KES10 только по явному заказу.
Если у нас не очень понятно где-то написано - скажите мы поправим.

Обновление же версий внутри продукта KES 11 пока не доступно из-за наличия только одной сертифицированной версии, которая и присутствует в составе медиапака, 11.0.0.6499.

Именно так. Версия 11.1.1.хххх планируется к сертификации.

Добрый день, не могли бы уточнить: планируется ли в этом году выпуск каких-либо продуктов с сертификацией ФСБ?

Userlevel 7
Badge +7

@Evgen_80 , могу на последний вопрос ответить, к счастью ЛК перешли на метод “один плагин на всю линейку версий”, то есть все новые плагины для 11-й версии KES поддерживают предыдущие версии KES, политику в рамках 11-й версии конвертировать не надо, продолжает работать предыдущая.

Userlevel 7
Badge +9

В январе 2020 года сертификационные испытания успешно прошла версия 11.0.0.1131 с патчем B (децимальный номер 643.46856491.00069-06). Предыдущую сертифицированную версию 10.5.1781.0 можно использовать до окончания ее срока технической поддержки. Лаборатория Касперского рекомендует использовать актуальную версию.  https://support.kaspersky.ru/ksc11#downloads

 

Userlevel 7
Badge +9

В декабре 2019 года успешно прошли сертификационные испытания Kaspersky Endpoint Security для Windows версии 11.1.1.126 с патчем pf7523 (децимальный номер 643.46856491.00100-02). 

Пользователям предыдущей сертифицированной версии 11.0.0.6499 необходимо обновить программу до актуальной версии.
Подробности в статье: https://support.kaspersky.ru/common/certificates/14693

Userlevel 1

Когда сертифицируется KES 11 под линукс?

KES 10 под линукс нормально не работает в принципе.

Userlevel 7
Badge +7

@OlgaGennadevna , добрый день. В статье Базы знаний PDF-файл обновлённый. Вы этот скан сертификата спрашиваете?

Статья обновлена: 25 февраля 2021 - что было вчера сказать не могу. Возможно, как раз файл скана не был актуален.

 

Userlevel 7
Badge +7

Новости о сертифицированных продуктах | Февраль 2021

 

Kaspersky

background_techsupport_2020.png

 

Здравствуйте!

Сообщаем, что в феврале 2021 года были продлены сроки действия сертификатов соответствия ФСТЭК России для следующих продуктов Лаборатории Касперского:

• Kaspersky Industrial CyberSecurity for Nodes (версия 2.6.0.785), № 3907 — до 3 апреля 2026 года

• Kaspersky Security 10.1.2 для Windows Server (версия 10.1.2.996), № 3840 — до 25 декабря 2025 года

Внимание! Лицам, ответственным за эксплуатацию программных изделий данных версий, необходимо либо самостоятельно внести изменения в формуляр в соответствии с инструкциями эксплуатационного бюллетеня, либо скачать и распечатать обновленный формуляр (в этом случае старый формуляр следует пометить как замененный). Бюллетени и обновленные формуляры доступны для скачивания на веб-портале технической поддержки либо предоставляются по запросу.

Дополнительно информируем о переоформлении сертификатов соответствия ФСТЭК России для ряда продуктов:

• № 2840 — Kaspersky Security 8.0 для Linux Mail Server

• № 3155 — Kaspersky Security Center 11

• № 3676 — Kaspersky Security 9.0 для Microsoft Exchange Servers

• № 3754 — Kaspersky Endpoint Security 10 для Android

• № 3840 — Kaspersky Security 10.1.2 для Windows Server

• № 3854 — Kaspersky Anti Targeted Attack Platform

• № 3883 — Kaspersky Security для виртуальных сред 5.1 Легкий агент

• № 4068 — Kaspersky Endpoint Security для Windows (версия 11.3.0.773)

• № 4289 — Kaspersky Sandbox

Данное переоформление выполнено с целью отразить соответствие указанных продуктов требованиям новой редакции документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020). Другие изменения в сертификаты не вносились, эксплуатация продуктов осуществляется на прежних условиях.

Дистрибутивы продуктов, сертифицированных ФСТЭК России, доступны для скачивания в соответствующих статьях раздела Сертификаты веб-портала технической поддержки либо предоставляются по запросу.

Перейти к сертификатам

@Demiad , Поясните, пожалуйста, как это стыкуется с порядком обновления сертифицированных ФСТЭК продуктов? Версия 11.6 не имеет ни сертификатов, ни формуляров, контрольные суммы разойдутся. 

Техподдержка ссылается на п.73 Положения о системе сертификации средств защиты информации ФСТЭК России.

“В случае внесения в сертифицированное средство защиты информации изменений, связанных с устранением уязвимостей (недекларированных возможностей) средства защиты информации или обновлением баз данных, необходимых для реализации функций безопасности средства защиты информации, заявитель информирует потребителей о необходимости обновления средства защиты информации и доводит до потребителей обновления средства защиты информации до проведения испытаний, предусмотренных пунктами 71 и 72 настоящего Положения.”

Странный стал форум :thinking: ….Какая-то новостная лента, а все вопросы в никуда….:rolling_eyes:

Вопрос о неочевидных ограничениях функционала продукта для защиты виртуализации без агента 6.0. Сертификат выдан на версию 6.0.0.1629. Есть такая релизная версия, но сертифицированная версия с таким же номером сборки - дает меньший функционал и заметно сложнее в установке. Узнать об ограничениях можно из отдельного руководства по эксплуатации: https://support.kaspersky.ru/13751

  1. Почему в сертифицированной версии доступа только защита от файловых угроз, а от сетевых угроз не доступна?
  2. Почему не предусмотрен готовый образ виртуальной машины защиты (как в релизной версии), а нужно генерировать этот образ на месте, на отдельной виртуальной машине с CentOS 7?

Добрый день!

 

  1. Защита виртуализации без агента сертифицирована по профилю ФСТЭК как средство антифирусной защиты. Модуль сетевой защиты при подобной архитектуре решения должен быть сертифицирован по другому профилю ФСТЭК. Отсюда и это ограничение. 
  2. Опять таки тут ограничения связанные с требованиями ФСТЭК. Поэтому в формулярах указаны контрольные суммы только на модули решения, а не на ОС. Тут, к сожалению, упростить не получается. 

Помогите разобраться: на продукт KSWS 10.1.0.622 изначально был выдан сертификат ФСТЭК №3840. И недавно он переоформлен и продлен до 25.12.25. Из вышенаписанного я понял, что этот сертификат уже действителен для продукта KSWS 10.1.2.996. Но ведь 10.1.0.622 имеет тот же номер сертификата и может использоваться также до 2025 года?

 

 

Добрый день!

Если на версию был оформлен сертификат (как в случае с 10.1.0.622), и техническая поддержка действительна, то использовать можно как сертифицированную версию. Желательно сохранить предыдущую версию сертификата и формуляр. Если тех поддержка закончилась, то использовать нельзя. Речь идет про сертификацию ФСТЭК.

Только что создал официальный клиентский запрос, в котром последний абзац выглядит так:

“Нам нужен официальный ответ от Лаборатории Касперского - как нам действовать: оставатья на сертифицированной ФСТЭК и ФСБ, но имеющей уязвимость версии KES 11.3.0.773, или обновляемся до версии KES 11.6.0.394 с внесением изменением в медиа-пак по списку изменений выше (являются ли эти действия исчерпывающими?) ?”

 

Целиком запрос приводить не стал - много букв. Посмотрим что ответят.

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?
Badge +2
Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?
Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275.
В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция.

Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275.
В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция.

Вообще сертификат для KES 10.3.0.6294 валиден и выдавался до 25.11.19. Вопрос в том, означает ли переоформление этого сертификата, что версия 10.3.0.6294 более не является сертифицированной. По идее в сертификате указывается номер формуляра, в котором в свою очередь контрольные суммы. Исходя из этой логики сертифицированность предыдущей версии слетела автоматически.
Badge +2
Вообще сертификат для KES 10.3.0.6294 валиден и выдавался до 25.11.19. Вопрос в том, означает ли переоформление этого сертификата, что версия 10.3.0.6294 более не является сертифицированной. По идее в сертификате указывается номер формуляра, в котором в свою очередь контрольные суммы. Исходя из этой логики сертифицированность предыдущей версии слетела автоматически.
На мой взгляд сертификаты не должны отменять друг друга пока есть формуляры на руках. Но предлагаю дождаться тут ответа спецов ЛК по сертификации (если они вообще сюда заходят).
Userlevel 2
Badge +1
Так как форум больше недоступен, то продолжаю свою тему тут.

Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам?


Прошел по ссылке, действительно внушительный список, насчитал порядка 60 патчей.
Стало интересно сколько патчей включено в KES 10, если правильно нашел ссылку

https://support.kaspersky.ru/14426#block1

то в нем под сотню, можно сказать в два раза меньше.
Может большое количество патчей норма?
Badge +2
Может большое количество патчей норма?
Большое количество патчей означает, ИМХО, что продукт, мягко говоря, недоделали, не довели до ума, не протестировали как следует (нужное подчеркнуть).
Беда в том, что те, кто вынуждены использовать сертифицированные сборки, не могут ими (патчами) воспользоваться, а ЛК не может произвести аттестацию новых сборок (тех, что уже с патчами) в короткие сроки.
Userlevel 3
Badge +2
Вот что написано в формуляре KES 10:
6.5.Предприятие, осуществляющее эксплуатацию программного изделия, должно периодически (не реже одного раза в 6 месяцев) проверять отсутствие обнаруженных уязвимостей в программном изделии, используя сайт предприятия-изготовителя (https://support.kaspersky.ru/vulnerability), базу данных уязвимостей ФСТЭК России (www.bdu.fstec.ru) и иные общедоступные источники.
12.6.В случае обнаружения уязвимостей, изготовитель распространяет обновления безопасности потребителям. Для этого изготовитель:Доводит до потребителя информацию о наличии уязвимости и способах ее устранения путем рассылки по электронной почте, указанной при заказе программного изделия, и публикации на своем веб-сайте на странице https://support.kaspersky.ru/vulnerability;Проводит в установленном порядке сертификационные испытания обновления безопасности;Размещает обновление безопасности, измененную эксплуатационную документацию, обновленный сертификат соответствия (в случае переоформления) на странице https://certifiedbuilds.kaspersky.ru/;Потребитель, при получении указанной информации, предпринимает необходимые действия для обновления программного изделия, описанные в разделе 16.
16.2.Этапы жизненного цикла обновлений программного изделия от выпуска до применения: там здоровенная табличка - читайте сами.
16.3.Потребитель может получить обновление 3 типа следующими способами:
1.Приобрести новый комплект поставки программного изделия («медиа-пак»), содержащий обновление и эксплуатационную документацию в печатном виде, согласно комплекту поставки (см. п. 5.1), обратившись к дистрибьюторам АО «Лаборатория Касперского».
2.Загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с веб-сайта АО «Лаборатория Касперского» (https://certifiedbuilds.kaspersky.ru).

По итогу получается что медиапак можно использовать не более 6 месяцев после выхода более новой версии. Если у Вас периодическая проверка по журналу учета проверки новой версии ПО произойдет раньше истечения этого срока - значит и обновиться надо раньше. Срок действия сертификата указывает на максимальный срок действия, но он может быть снижен из-за различных причин: отозван службой сертификации, обнаружение критической уязвимости из-за которой выпустили новый сертифицированный дистрибутив и другие факторы, на которые организация - эксплуатант ПО не может повлиять. Также имеются гарантийные обязательства ЛК к дистрибутиву равному 12 месяцам с момент приобретения медиапака. Можно ли по этим гарантийным обязательствам обменивать медиапак на актуальный - я не знаю, т.к. не проверял. Учитывая что медиапак копеечный никогда этим не заморачивался, а просто раз в год заказывал новый медиапак.
Badge +2
Ответ техподдержки: версия 10.3.0.6294 остается сертифицированной в течение всего срока действия выданного на неё сертификата.
А можно ссылку где вам такой ответ дали? Или это было в CA?
Коллеги!
По-моему, Вы немного запутались и путает остальных!
По поводу сертификации ФСТЭК. В сертификате ФСТЭК четко указано "Kaspersky Endpoint Security 10 для Windows" и не о каких-либо конкретных паках/релизах версии 10 разговора нет. Т.е. юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата, а просто самостоятельно специальным образом подготовив цифровой носитель с устанавливаемым паком/релизом версии 10 либо купить новый медиапак из-за установочного диска. (С версией 11 все происходит аналогичным способом).
По поводу сертификации ФСБ. Тут в сертификате ФСБ конкретно указана версия, пак, релиз, и поэтому использование любой не совпадающей с указанной в сертификате версии/пака/релиза требует приобретение нового медиапака с требуемым сертификатом и этой же версии KES на установочном диске.
Badge +2
Коллеги!
По-моему, Вы немного запутались и путает остальных!
По поводу сертификации ФСТЭК. В сертификате ФСТЭК четко указано "Kaspersky Endpoint Security 10 для Windows" и не о каких-либо конкретных паках/релизах версии 10 разговора нет. Т.е. юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата, а просто самостоятельно специальным образом подготовив цифровой носитель с устанавливаемым паком/релизом версии 10 либо купить новый медиапак из-за установочного диска. (С версией 11 все происходит аналогичным способом).
По поводу сертификации ФСБ. Тут в сертификате ФСБ конкретно указана версия, пак, релиз, и поэтому использование любой не совпадающей с указанной в сертификате версии/пака/релиза требует приобретение нового медиапака с требуемым сертификатом и этой же версии KES на установочном диске.

Не вводите в заблуждение остальных. Первое. Когда ЛК проводит ФСБ/ФСТЭК сертификацию, то всегда и везде указывается ЧТО именно она сертифицирует, вплоть до конкретной сборки. Страница 3 формуляра ФСТЭК на KES 10, к примеру.
Второе. Когда/если организация покупает медиапак ФСБ и/или ФСТЭК, то там в формуляре указаны конкретные контрольные суммы того антивируса, который разрешено ставить в рамках данного сертификата и данного формуляра. Установка любых других патчей/сборок ведёт к неизбежному изменению приведённых контрольных сумм и нарушением сертифицированного статуса установленного продукта. То есть ставить-то можно, но сертифицированным антивирусом на ПК уже не будет.
Третье. Сами сотрудники поддержки ЛК в курсе того, что на сертифицированные сборки запрещено ставить патчи (а MR/SP/PF это и есть патчи). В CA мы это уже проходили неоднократно.
Четвёртое. Вам не кажется странным, что ЛК отдельно провела сертификацию одной из сборок KES 10 и отдельно сообщила об этом, хотя сертификат предыдущей версии KES 10 ещё не закончился? Если бы ваши утверждения имели отношение к реальности, то ЛК, исходя из вашей логики, сделала это зря, ведь можно "обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата". У вас точно есть письменные подтверждения/разрешения от ЛК/контролирующих органов, что так можно делать или это лишь теоретические предположения?

В любом случае предлагаю дождаться ответов сотрудника ЛК, который специализируется на сертификации.
Ах, да простите, забыл, что многие не читают данных рекомендаций
https://certifiedbuilds.kaspersky.ru/?_ga=2.59018157.1268668469.1558444336-1658925467.1537341783
по самостоятельному скачиванию обновленных формуляров, носителей и т.д.! Это же так сложно!
Про патчи я абсолютно ничего не говорил, ибо это однозначно персональные сборки и сертификации они не имеют, пока не войдут в конкретный пак/релиз.
И если Вы почитает по приведенной выше ссылке, то Вы поймете, что по мнению ЛК:
обновление - использование новых дистрибутивов и сопутствующей документации заказчиками, имеющих сертифицированный медиапак с предыдущей версией продукта (имеющей тот же номер сертификата соответствия). А заказ медиапака при приобретении новых сертифицированных продуктов является обязательным (т.е имеющие другой номер сертификата соответствия).

Reply