Программный комплекс для автоматизации и управления ресурсами виртуальной инфраструктуры
VMware vRealize Automation (версия 8)

1. Назначение сертифицированной продукции.
Программный комплекс для автоматизации и управления ресурсами виртуальной инфраструктуры VMware vRealize Automation (далее – программный комплекс) предназначен для автоматизации облачных ИТ-сервисов (служб) и управления доступом к ним с соблюдением требований по обеспечению информационной безопасности.

2. Наименование и версии компонентов сертифицированной продукции.
В состав сертифицированного программного комплекса входят следующие компоненты:
- VMware vRealize Automation, версия 8;
- VMware vRealize Lifecycle Manager, версия 8;
- VMware Identity Manager, версия 3.3.

3. Сведения о среде функционирования сертифицированной
продукции.
Программный комплекс функционирует в среде виртуализации, образованной с использованием программного обеспечения VMware vSphere: гипервизора VMware vSphere Hypervisor (ESXi) и платформы для управления гипервизором и виртуальными ресурсами VMware vCenter Server.

4. Сведения о заявителе на сертификацию.
ООО «Аквила» на основании бессрочного договора с компанией VMware Inc. (США, Пало-Альто, Калифорния, 3401 Hillview Avenue).

5. Сведения о сертификате соответствия требованиям по безопасности информации.
Сертификат соответствия № 4378 от 11.03.2021 г., выданный в системе сертификации ФСТЭК России.

В рамках работ по сертификации подтверждено соответствие программного комплекса:
- Техническим условиям;
- требованиям к 6 уровню доверия1.

6. Возможное использование сертифицированной продукции.
Программный комплекс может использоваться для защиты информации, обрабатываемой:
- в государственных информационных системах (ГИС) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 172);
- в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных (в соответствии с требованиями Приказа ФСТЭК № 213);
- на значимых объектах критической информационной инфраструктуры (КИИ) 3 категории (в соответствии с требованиями Приказа ФСТЭК № 2394);
- в автоматизированных системах управления производственными и технологическими процессами (АСУТП) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 315).

В случае необходимости реализации в информационной системе требований защиты среды виртуализации, предъявляемых к информационным системам более высокого класса (уровня защищенности, категории, класса защищенности), могут быть применены подходы, описанные по ссылке.

7. Сертифицированные механизмы защиты.
По результатам работ по сертификации подтверждена реализация программным комплексом следующих мер (требований) защиты среды виртуализации:
- ЗСВ.1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
- ЗСВ.2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
- ЗСВ.3. Регистрация событий безопасности в виртуальной инфраструктуре.

Важно! Применение механизмов защиты сертифицированного программного комплекса VMware vRealize Automation целесообразно в случае его использования в среде виртуализации, образованной с использованием сертифицированных средств защиты информации (например, с использованием сертифицированного программного комплекса VMware vSphere).

Механизмы защиты сертифицированного программного комплекса позволяют реализовать политику управления доступом к субъектам и объектам доступа, создаваемым и управляемым с использованием комплекса (в частности – к виртуальным приложениям и облачным ИТ-сервисам, включая сервисы на платформе Kubernetes) с соблюдением требований по обеспечению информационной безопасности.

Совместно с наложенными средствами антивирусной защиты в виртуальной инфраструктуре встроенных механизмов защиты программного комплекса VMware vRealize Automation, используемого в среде функционирования сертифицированного программного комплекса VMware vSphere, достаточно для реализации:
- ВСЕХ требований по защите среды виртуализации в ГИС 3 класса и в ИСПДн 3 и 4 уровней защищённости;
- установленных требований по идентификации и аутентификации, управлению доступом, регистрации событий безопасности (аудиту безопасности) и управлению перемещением виртуальных машин в средах виртуализации, используемых на объектах КИИ 3 категории и в АСУТП 3 класса защищенности (см. результаты анализа возможности выполнения требований нормативных документов с помощью механизмов защиты сертифицированного программного обеспечения компании VMware Inc.).

Условие использования наложенных средств антивирусной защиты, необходимое для реализации требования ЗСВ.9 «Реализация и управление антивирусной защитой в виртуальной инфраструктуре», не является преимуществом конкурентных решений. Реализация данного условия требуется как в случае использования сертифицированного программного обеспечения VMware, так и в случаях использования «наложенных» средств защиты систем виртуализации.

8. Комплект поставки сертифицированной продукции.
Комплект поставки сертифицированной продукции содержит установочный дистрибутив с сертифицированной версией программного обеспечения, документацию на программное обеспечение как на средство защиты информации, заверенную копию сертификата соответствия программного обеспечения требованиям по безопасности информации, а также абонемент на техническую поддержку средства защиты информации.

9. Ограничения на лицензии, возможные для использования в целях активации сертифицированного программного обеспечения.
Ограничения не установлены. Для использования сертифицированного программного обеспечения конечным пользователем должна быть приобретена у правообладателя (компания VMware Inc.) ЛЮБАЯ лицензия, позволяющая использовать ключи для активации программного обеспечения из состава сертифицированного дистрибутива.

10. Техническая поддержка сертифицированной продукции.
Пользователи сертифицированной продукции получают абонемент на поддержку, дающий право на использование сертифицированных обновлений.
Текущие сертифицированные сборки компонентов программного комплекса зафиксированы в Приложении А Формуляра на программный комплекс.
Подробнее о технической поддержке сертифицированной продукции можно прочитать по ссылке.


Примечания:
1 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденные приказом ФСТЭК России от 02.06.2020 г. № 76.
2 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказов ФСТЭК России от 15.02.2017 г. № 27, от 28.05.2019 г. № 106).
3 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 г.
№ 21 (в ред. Приказа ФСТЭК России от 23.03.2017 г. № 49).
4 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации», утвержденные приказом ФСТЭК России от 25.12.2017 г. № 239.
5 «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. № 31 (в ред. Приказов ФСТЭК России от 23.03.2017 г. № 49,
от 09.08.2018 г. № 138, от 15.03.2021 г. № 46).