![](https://habrastorage.org/getpro/habr/upload_files/0fa/8e2/6ef/0fa8e26efdfa59c8a05fa6c9783c1f1f.png)
2022 год показал, что все риски использования иностранного ПО реализовались в полной мере. Российские пользователи столкнулись с отзывом лицензий, отключением технической поддержки и с недоступностью обновлений программных продуктов. Параллельно с этим изменились векторы атак. По данным «Лаборатории Касперского», ландшафт угроз изменился в сторону атак на государство, объекты критической информационной инфраструктуры и военно-промышленный комплекс. Очевидно, в таких условиях заметно вырос спрос на доверенные продукты от российских компаний с высокой культурой безопасной разработки.
Весной 2023 года МойОфис выпустил два новых продукта. И если про единое цифровое пространство Squadus мы уже выпустили несколько статей (1, 2, 3, 4), то про «Mailion. Сертифицированный» на Хабре ещё не рассказывали. По состоянию на май 2023 года — это единственная защищенная почта с действующим сертификатом ФСТЭК России (проверить сертификат можно здесь, по наименованию продукта).
Под катом мы подробно рассказываем о продукте, демонстрируем его возможности и рассказываем, как получить его на тестирование.
Кому нужна защищенная почтовая система
Область применения «Mailion. Сертифицированный» — работа с конфиденциальной информацией в крупных коммерческих и государственных организациях, которым требуется построение защищенных информационных систем и прохождение аттестации систем безопасности в соответствии с требованиями законодательства РФ. Другими словами, речь об организациях-субъектах КИИ (критической информационной инфраструктуры), которые владеют объектами КИИ: например, государственными информационными системами (ГИС), автоматизированными системами управления производственными и технологическими процессами (АСУ ТП), а также информационными системами персональных данных (ИСПДн).
Для начала разберемся, какие организации получили название субъектов КИИ и почему. Определяющую роль в этом сыграл федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно закону, субъектами КИИ являются государственные органы и учреждения, а также российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ. То есть организации, действующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
В чем особенность «Mailion. Сертифицированный»
Новый продукт дополняет платформу наших защищенных и доверенных офисных решений, в том числе для организаций-субъектов КИИ. Теперь, помимо коммерческой корпоративной почты Mailion, пользователям доступен отдельный сертифицированный продукт «Mailion. Сертифицированный».
В обоих случаях речь о почтовой системе, которая позволяет отправлять электронные письма, управлять событиями в календарях и работать с контактами в адресной книге. Решения разворачиваются на собственных серверных мощностях организации и обеспечивают возможность одновременной работы до 1 миллиона пользователей.
Так в чем же разница?
Наличие сертификата ФСТЭК России №4648 гарантирует соответствие «Mailion. Сертифицированный» 4 уровню доверия, который позволяет работать с конфиденциальной информацией, а также подтверждает отсутствие недекларированных возможностей и корректную реализацию 60 мер защиты информации.
В полном соответствии с требованиями приказов ФСТЭК России №239 и №21 в «Mailion. Сертифицированный» реализованы:
-
11 мер защиты данных при идентификации и аутентификации (ИАФ);
-
19 мер управления доступом (УПД);
-
2 меры ограничения программной среды (ОПС);
-
5 мер обеспечения целостности (ОЦЛ);
-
7 мер обеспечения доступности (ОДТ);
-
7 мер защиты информационной (автоматизированной) системы и ее компонентов (ЗИС);
-
требования к защите персональных данных для каждого из уровней защищенности — регистрация информации о событиях безопасности (РСБ) и контроль состава технических средств, программного обеспечения и средств защиты информации (АНЗ).
Меры защиты информации соответствуют требованиям безопасной разработки, предъявляемым к прикладному ПО. То есть разработка выполняется по требованиям ГОСТ Р 56939-2016 «Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования».
На что указывает сертификация ФСТЭК России
Только комплексный подход к информационной безопасности позволит преградить злоумышленникам доступ к критически важным данным. Применение доверенных программных средств создает серьезный барьер для киберкриминала и хактивистов.
Можно сказать что, сертификация ФСТЭК России — это гарантия доверия к ПО для заказчика. При прохождении сертификации регулятор проверяет отсутствие в программных продуктах недекларированных возможностей и уязвимостей. Это сложный и многоэтапный процесс подтверждения безопасности программного обеспечения, с одной стороны, и возможности его применения в информационных системах, имеющих законодательные требования в части информационной безопасности для заказчика, с другой стороны.
Основные участники процесса: заявитель, испытательная лаборатория и орган по сертификации — ФСТЭК России. Причем, прежде чем подтвердить качество того или иного программного обеспечения, регулятор проводит серию подготовительной работы и комплекс испытаний. Заявитель должен не только предоставить сам продукт, но и сопроводить его комплектом документации, оформленным по требованиям стандартов. После этого регулятор разрабатывает программы и методики сертификационных испытаний, а затем проводит испытания по ним. Испытания включают функциональное тестирование продукта, выявление уязвимостей и недекларированных возможностей, а также проверку цикла разработки.
Что такое вертикаль доверия
Модель информационной безопасности организации должна строиться на трех базовых принципах: конфиденциальность, целостность, доступность. Но многие отраслевые эксперты все чаще сходятся во мнении, что для современных компаний, которые составляют контур национальной безопасности страны, свойственен четвертый принцип: доверие.
ИТ-директор организации должен разработать политику информационной безопасности и выбрать подходящие ИТ-решения. Желательно, чтобы ИТ-инфраструктура была консолидирована и находилась под полным контролем организации, а используемые программные средства — стандартизированы и регламентированы.
В такой парадигме основным становится вопрос доверия, причем не только к самому программному обеспечению, но и ко всем составляющим ИТ-инфраструктуры. То есть к платформам, операционным системам, средам исполнения и, конечно, к офисному и прикладному ПО.
Таким образом, в центре вертикали доверия будет находится доверенная аппаратная база, которая лишена аппаратных закладок и уязвимостей в микрокоде. Следующий уровень — доверенная операционная система, обеспечивающая доверенную загрузку и программную виртуализацию. С помощью доверенной ОС устраняется риск эксплуатации уязвимостей самой ОС и её драйверов. Самый же верхний уровень занимают доверенное прикладное программное обеспечение, такое как, например, почтовая система «Mailion. Сертифицированный», и наложенные средства защиты информации (СЗИ). Они нивелируют риски эксплуатации уязвимости приложений и подбора паролей.
Как построить доверенную среду с помощью «Mailion. Сертифицированный»
Почтовая система «Mailion. Сертифицированный» относится к продуктам, которые построены на базе микросервисной архитектуры, а не на монолитном ядре (как, к примеру, MS Exchange). Поэтому для её работы требуется не только наличие доверенной операционной системы, но и доверенной среды исполнения, а среди всех существующих операционных систем такими средствами сегодня обладает только Astra Linux Special Edition 1.7. При этом отметим, что коммерческий продукт Mailion поддерживает значительно большее количество операционных систем.
![Интерфейс почтовой системы «Mailion. Cертифицированный» в среде Astra Linux Special Edition 1.7 Интерфейс почтовой системы «Mailion. Cертифицированный» в среде Astra Linux Special Edition 1.7](https://habrastorage.org/getpro/habr/upload_files/b19/1e8/c6c/b191e8c6c1ecc8ebf582f7707ca64f63.png)
Что получает пользователь почтовой системы
В целом функциональность серверной и клиентской части «Mailion. Сертифицированный» совпадает с возможностями коммерческой почты Mailion. Пользовательский веб-интерфейс обеспечивает доступ ко всем возможностям почтового сервера. Однако в целях обеспечения повышенной безопасности из состава сертифицированного решения были исключены настольные и мобильные клиенты, доступные пользователям коммерческого продукта .
Помимо работы с электронными письмами, пользователи могут создавать встречи и планировать совместную работу команд, работать с контактами и глобальной адресной книгой. Разумеется, доступны все основные корпоративные функции, такие как возможность делегировать доступ к ящику и календарю, группировать письма в беседы, отзывать отправленные письма и многое другое. Например, предпросматривать документы в письме, что избавляет пользователя от необходимости скачивать файлы.
![«Mailion. Сертифицированный» позволяет делегировать другим сотрудникам доступ к рабочим календарям «Mailion. Сертифицированный» позволяет делегировать другим сотрудникам доступ к рабочим календарям](https://habrastorage.org/getpro/habr/upload_files/f0b/a46/b3c/f0ba46b3c71e6651b88380f8a46eada4.png)
Среди инновационных функций, реализованных в продукте, определенно стоит выделить интеллектуальную медиа-панель, сквозной морфологический поиск и распределенное объектное хранилище.
Медиа-панель агрегирует все материалы и участников одной ветки переписки и отражает их на специальной панели, благодаря чему пользователю становится гораздо легче найти нужные данные в цепочке сообщений.
![Медиа-панель «Mailion. Сертифицированный» агрегирует участников одной ветки переписки и все прикрепленные ими материалы Медиа-панель «Mailion. Сертифицированный» агрегирует участников одной ветки переписки и все прикрепленные ими материалы](https://habrastorage.org/getpro/habr/upload_files/271/ed7/1b5/271ed71b501a80701753ec5c935563eb.png)
Другая фирменная технология — так называемый называемый умный поиск с поддержкой морфологии языковых запросов. Почтовая система сначала определит заложенный в поисковом запросе смысл, а затем найдет релевантные письма и объекты.
Наконец, применение распределенного объектного хранилища DOS позволяет достичь сразу нескольких целей — сократить объем данных, которые хранятся на обычных накопителях, повысить скорость работы всей системы, сократить издержки на поиск нужных данных, а кроме того, избавиться от необходимости хранить все данные внутри одного ЦОД. Последнее обстоятельство позволяет, например, развернуть «Mailion. Сертифицированный» в крупной холдинговой структуре, включающей десятки и даже сотни географически удаленных предприятий.
Для большего понимания принципов работы хранилища почтовой системы, рекомендуем наши хабр-статьи:
Как получить продукт на тестирование
Отправьте заявку на сайте Mailion. С заказчиком свяжется представитель МойОфис и разъяснит порядок организации тестирования.
Выводы и перспективы
В 2023 году перевод информационных систем на отечественное ПО превратился в жизненную необходимость. Геополитическая напряженность привела к вызовам и угрозам совершенно нового типа, усилились атаки на государственную инфраструктуру и значимость защиты критически важных данных уже ни у кого не вызывает сомнения — с начала этого года с утечками столкнулись, к примеру, сервисы Сбера и Агентство Стратегических Инициатив. Очевидно, что чем дальше российские организации будут эксплуатировать небезопасное ПО, тем большее число компаний будет попадать в такой список.
Применение доверенных программных продуктов, которые прошли сертификационные испытания ФСТЭК России и лишены недекларированных возможностей, позволяет значительно усложнить жизнь злоумышленникам.
Отдельно отметим, что по состоянию на май 2023 года в России доступно только одно почтовое решение с действующим сертификатом ФСТЭК России, и это — «Mailion. Сертифицированный».
ссылка на оригинал статьи https://habr.com/ru/articles/723836/
Добавить комментарий