2023/05/24 08:40:48

Mailion. Сертифицированный: Безопасная работа с конфиденциальной информацией в электронной почте

МойОфис, разработчик российского офисного ПО для совместной работы с документами и корпоративных коммуникаций, расширил свой список продуктов с сертификатами ФСТЭК России и выпустил на рынок почтовую систему «Mailion. Сертифицированный». Главное преимущество новинки — наличие действующего сертификата ФСТЭК России, подтверждающего соответствие продукта требованиям к информационной безопасности по 4 уровню доверия и отсутствие недекларированных возможностей.

Содержание

Сертификат ФСТЭК России позволяет применять «Mailion. Сертифицированный» для работы с конфиденциальной информацией в крупных коммерческих и государственных организациях, которым требуется построение защищенных информационных систем и прохождение их аттестации в соответствии с законодательством РФ.

Другими словами, речь идет о субъектах КИИ — коммерческих и государственных организациях, которые владеют значимыми объектами критической информационной инфраструктуры, о государственных информационных системах (ГИС), об информационных системах персональных данных (ИСПДн).

Какие предпосылки к выводу «Mailion Сертифицированный» на рынок

Как показал прошедший год, все риски использования иностранного программного обеспечения, которые только могли возникнуть, полностью реализовались. Российские пользователи столкнулись с аннулированием лицензий, отказом в технической поддержке и прекращением распространения обновлений программного обеспечения. Зарубежные ИТ-компании закрывали российские офисы, прекращали продажу лицензий и поддержку пользователей даже при наличии действующих лицензионных соглашений. По данным Forbes, более 170 иностранных ИТ-компаний покинули российский рынок и еще 50 с лишним ввели жесткие ограничения. Даже компания Microsoft, ведущий мировой разработчик офисного ПО и корпоративных почтовых систем, прекратила активность на российском рынке.

В тоже время заметно увеличилось число кибератак, направленных на российские организации. Мишенью киберпреступников все чаще становились государственные структуры, промышленные предприятия и объекты КИИ. Атакам подверглись, в частности, такие организации, как Сбербанк РФ и Агентство Стратегических Инициатив. Витрина данных НОТА ВИЗОР для налогового мониторинга

Помимо участившихся атак на объекты КИИ, изменились и подходы злоумышленников. Теперь они стремятся не столько вывести из строя инфраструктуру атакуемого объекта, сколько внедрить вредоносное ПО и эксплуатировать уязвимости с целью сбора конфиденциальной информации в течение продолжительного времени. Многие злоумышленники действуют под политическими антироссийскими знаменами (так называемые "хактивисты"), немалое число киберпреступников работает на недружественные государства.

Ключевым элементом модели информационной безопасности должно стать доверие к ПО. Именно применение доверенных программных средств создает серьезный барьер для киберкриминала и хактивистов. Причем, доверие в информационной системе должно быть не только к аппаратной платформе и используемой ОС, но и к прочему системному и прикладному ПО. Только комплексный подход к информационной безопасности позволит преградить доступ злоумышленникам к критически важным данным. Отсутствие уязвимостей, аппаратных и программных закладок гарантирует бесперебойную, надежную и безопасную работу всей ИТ-инфраструктуры в соответствии с требованиями текущей ситуации и нормами законодательства.

Что из себя представляет «Mailion. Сертифицированный»

Новый продукт логично расширяет продуктовую линейку компании, причем, как в части почтовых систем, так и в части решений с сертификатами ФСТЭК России. Напомним, что сейчас помимо «Mailion. Сертифицированный», действующими сертификатами также обладают «МойОфис Стандартный» и «МойОфис Защищенное облако».

Говоря о функциональности, отметим, что «Mailion. Сертифицированный» предоставляет расширенные возможности электронной почты, включая организацию совместной работы с делегированием доступа к почтовым ящикам, папкам и календарям, а также инструменты календарного планирования и управления контактами. А сквозной морфологический поиск и сводное представление материалов переписки на специальной медиапанели делают работу с электронной почтой более продуктивной.

Mailion ориентирован на рынок B2B в широком понимании и предназначен для крупных организаций, которым требуется безопасная, высоконагруженная и надежная почтовая система enterprise-уровня.

«Mailion. Сертифицированный», в свою очередь, подойдет организациям, которые работают с конфиденциальной информацией в электронной почте и обязаны аттестовывать ИТ-системы в соответствии требованиями законодательства РФ: коммерческие компании, госорганы и госучреждения, госкорпорации и системообразующие компании РФ, которые владеют КИИ, ГИС, ИСПДн.

Image:Mailion._Сертифицированный.png
Интерфейс «Mailion. Сертифицированный».

Новинка обладает более чем 60 мерами защиты информации. Так, производитель позаботился о реализации в «Mailion. Сертифицированный» мер по идентификации и аутентификации; управлению доступом, регистрации событий безопасности; контролю защищенности, целостности и доступности информации, а также ограничению программной среды и защите информационной системы.

Кроме того, «Mailion. Сертифицированный» функционирует только в сертифицированной ФСТЭК России операционной системе специального назначения Astra Linux Special Edition 1.7, что обеспечивает доверенную среду для обработки конфиденциальных данных.

Уникальное свойство «Mailion. Сертифицированный» — динамическое масштабирование системы под задачи любого уровня, что соответствует потребностям крупных организаций при увеличении нагрузки на систему и росте численности сотрудников. Так, к примеру, производитель заявляет, что система может масштабироваться настолько, что способна поддерживать одновременную работу до 1 миллиона пользователей. Но поскольку проверить это утверждение силами редакции TAdviser затруднительно, мы напомним читателям о независимом нагрузочном тестировании почтовой системы Mailion, которое провела компания Tegrus. Тестирование подтвердило бесперебойную работу почтовой системы с нагрузкой в 600 тыс. пользователей, что с полностью покрывает потребности практически всех крупнейших российских компаний.

Какие принципы безопасной разработки использует МойОфис

МойОфис утверждает, что разработка «Mailion. Сертифицированный» осуществлялась в соответствии с лучшими мировыми практиками безопасной разработки. Напомним, что в России действует ГОСТ Р 56939-2016 «Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования», соблюдение которого действительно может значительно сократить сроки прохождения продуктом сертификационных испытаний в лабораториях регулятора. По сведениям TAdviser, сертификация программных продуктов обычно занимает 1,5-2 года. Однако МойОфис заявляет, что пересмотр процессов разработки позволил сократить период сертификации до 9 месяцев. Со слов производителя, в каждый из этапов разработки продукта были добавлены проверки безопасности по требованиям регулятора.

Так, МойОфис осуществляет широкий перечень проверок кода и тестирования ПО, в соответствии с правилами и процедурами анализа угроз безопасности информации, процедуры отслеживания и исправления обнаруженных ошибок и уязвимостей, правила и процедуры информирования конечных пользователей, требования по гарантированной поддержке. В полном соответствии со стандартом ГОСТ Р 56939-2016, для ПО Mailion были:

  • описаны все процедуры;
  • проведено функциональное тестирование;
  • выполнен полный статический анализ исходного кода;
  • проведено фаззинг-тестирование;
  • выполнен динамический анализ;
  • проведено тестирование на проникновение.

В целом, сертификация сложный и многоэтапный процесс, в котором принимает участие как заявитель-разработчик, так и ФСТЭК России, а также испытательная лаборатория, специалисты которой проверяют ПО на отсутствие скрытых недокументированных возможностей, сам процесс разработки проверяется на безопасность, а документация — на полноту и соответствие всем требованиям стандартов по оформлению. Проводится также масштабное тестирование программного продукта по максимальному количеству сценариев использования, что подтверждает высокое качество кода и отсутствие недекларированных возможностей.

Тот факт, что в результате реализованных изменений, МойОфис значительно сократил срок сертификации, свидетельствует о высокой зрелости процессов безопасной разработки в компании.

Как получить «Mailion. Сертифицированный» для тестирования

Почтовая система «Mailion Сертифицированный» уже доступна для приобретения. Производитель предлагает всем участникам рынка, заинтересованным в переходе на корпоративную почтовую систему «Mailion. Сертифицированный», провести пилотный проект и протестировать новинку в собственной инфраструктуре.

Сегодня клиентами МойОфис является уже более 8 тысяч российских организаций и государственных структур, в том числе, Банк ВТБ (ПАО), Росатом, Почта России и многие другие. Вендор накопил солидный опыт при реализации комплексных проектов перехода на отечественное ПО и готов оказывать всестороннюю техническую поддержку и консалтинговые услуги.

Все заинтересованные в тестировании организации могут обратиться к разработчику напрямую или через авторизованных партнеров, для этого достаточно лишь оформить запрос на корпоративном сайте по адресу.