ФЗ-152: Вендоры померились сертификатами

ФЗ-152: Вендоры померились сертификатами

ФЗ-152: Вендоры померились сертификатами

В конце октября отечественный рынок инфобезопасности взбудоражила и без того крайне обсуждаемая тема скорого вступления  в силу ФЗ № 152 «О персональных данных» - в этот раз в отношении требований к антивирусам и сертификатам ФСТЭК, подтверждающим их соответствие новому закону.

21 октября компания Eset объявила о получении сертификата ФСТЭК по 4-му уровню контроля, подтверждающего соответствие комплекта Eset NOD32 Platinum Pack 4.0 (куда входят версии антивируса Eset  NOD32 и Eset NOD32 Smart Security для корпоративных пользователей, а также программные продукты Eset для защиты файловых серверов Linux, BSD, Solaris) требованиям, предъявляемым к информационным системам защиты персональных данных (ИСПДн) до 1-го класса включительно (К4-К1). «Получение сертификата ФСТЭК высшего класса «К1» делает ESET NOD32 уникальным решением на российском рынке. Ведь в настоящий момент это единственный антивирусный продукт, который позволяет привести подсистему антивирусной защиты любой организации в соответствие с требованиями закона ФЗ № 152 «О персональных данных», - заявил Андрей Албитов, глава российского представительства Eset. -  Сегодня только организации, выбравшие продукты ESET, могут быть уверенны в законности используемой антивирусной защиты».

 

«Лаборатория Касперского» в ответ выпустила официальный комментарий, в котором управляющий директор «ЛК» в России и странах Закавказья Сергей Земков назвал  заявления об уникальности продукта Eset на российском рынке свидетельствующими «либо о незнании представителями Eset законов РФ, либо о желании дезинформировать пользователей». Он отметил, что продукты «Лаборатории» еще в 2007 г. прошли аналогичную процедуру сертификации и были признаны соответствующими 3-му уровню контроля, то есть пригодны и для защиты конфиденциальной информации, составляющей гостайну. Сергей Земков также не преминул отметить, что продукты «Лаборатории», в отличие от Eset, имеют соответствующий сертификат ФСБ и могут использоваться в органах госвласти (согласно приказу Минкомсвязи РФ № 104 от 25 августа 2009 г.).  Аналогичный сертификат есть и у «Доктор Веб».

«С принятием закона ФЗ №152 «О персональных данных» процедура оценки соответствия не изменилась, не появилось никаких новых требований к программным продуктам, - говорит Земков. - Согласно постановлению Правительства РФ №781 от 17.11.2007, производители систем защиты информации обязаны пройти процедуру соответствия ранее установленным требованиям, которые были прописаны руководящим документом ФСТЭК. А в нем идет речь все о той же сертификации по НДВ, которую продукты «Лаборатории Касперского» уже прошли».

 

30 октября на сайте Eset появился пресс-релиз, разъясняющий ранее сделанное заявление об уникальности полученного сертификата. Из него следует, что Eset - единственная компания, в сертификате которой прямо указано о возможности использования антивирусного решения для защиты информации в ИСПДн до 1-го класса включительно. При этом, однако, в Eset признают, что продукты «Программный комплекс антивирусной защиты «VBA32» версии 3.12» (сертификат № 1671, действует до 26.08.2011) и «Антивирус  Касперского  для  «Дионис»  2.0» (сертификат № 1570, действует до 06.03.2011), также можно использовать в ИСПДн класса до К1 включительно, «однако ни один из указанных продуктов не имеет сертификата, где прямо говорилось бы о возможности его применения в ИСПДн определенного класса». В «ЛК», в свою очередь, утверждают, что «прямые указания» на ИСПДн в сертификате иметь не обязательно, и подтверждают это соответствующим письмом ФСТЭК. В документе говорится, что ранее сертифицированные ФСТЭК «Антивирус Касперского 5.5 для Microsoft Exchange Server 2000/2003», «Антивирус Касперского 6.0 для Windows Servers», «Антивирус Касперского 6.0 для Windows Workstations» и Kaspersky Administration Kit 6.0 можно использовать при создании ИСПДн до 1-го класса включительно.

 

На рынке очередной виток «сертификатных войн» восприняли спокойно. «Как маркетинговый шаг, я расцениваю это положительно, но и многие клиенты уже научились распознавать обман, - комментирует заявление Eset Алексей Лукацкий, менеджер по развитию бизнеса Cisco. - Соответствие ФЗ-152 - нормальное требование для продвижения продуктов российским потребителям. Без этого сложно реализовывать их потребности. Вопрос только в том, кто и как высвечивает поддержку требований. Кто-то кричит об этом на каждом углу, а кто-то просто решает задачи заказчика».

 

«Закон 152-ФЗ уже не первый месяц входит в топ обсуждаемых в ИТ-сообществе тем, - говорит Виталий Янко, коммерческий директор Agnitum. - В том числе, это связано с тем, что не у всех существует понимание, что именно, кто и как должен защищать. Строить продвижение на популярных или наболевших темах - естественный маркетинговый ход». Еще более естественным и обоснованным подобный ход становится в связи с тем, что компания Eset заинтересована в быстром возврате инвестиций, вложенных в получение сертификата, отмечает Янко.

 

«Сейчас соответствие 152-ФЗ в качестве маркетингового преимущества используют многие, - подтверждает Михаил Кондрашин, руководитель центра компетенции Trend Micro. - Я считаю любой маркетинговый шаг, который не противоречит законодательству, но при этом повышает продажи, хорошим маркетинговым шагом».

 

В то же время, и в самом законе «О персональных данных», и в подзаконных актах еще остается немало неоднозначных трактовок и «подводных камней», предупреждает Алексей Лукацкий. «Прошедшие 20 октября парламентские слушания высветили многие из них, - говорит он. - В законе отсутствует гармонизация с европейским законодательством; не учтены начавшаяся реформа технического регулирования в России и ФЦП «Электронная Россия» (в части усложнения и бюрократизации задачи работы с субъектами персданных, которые будут обращаться за госуслугами через интернет)». Другие недочеты, по словам Лукацкого, - это, в частности, предоставление правонарушителям права уничтожать свою нелицеприятную историю; отсутствие в бюджете на 2010-2011 гг. статей на реализацию положений ФЗ, что ставит выполнение ФЗ под вопрос в государственных и муниципальных органах; блокирование реформы здравоохранения в связи с невозможностью адекватно решать вопросы с обработкой данных о состоянии здоровья. «Сейчас депутаты спешно готовят вторую редакцию закона, а также планируют внести изменения в пару десятков иных законов, затрагивающих вопросы, связанные с персональными данными», - напоминает Лукацкий.

 

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru