Программный комплекс для создания и управления виртуальной инфраструктурой VMware vSphere (версия 7)

1. Назначение сертифицированной продукции.
Программный комплекс для создания и управления виртуальной инфраструктурой VMware vSphere
(далее – программный комплекс) предназначен для виртуализации серверов и рабочих станций, организации масштабируемой виртуальной инфраструктуры различной сложности, включая облачные центры обработки данных, и централизованного управления этой инфраструктурой с соблюдением требований по обеспечению информационной безопасности.

2. Наименование и версии компонентов сертифицированной продукции.
В состав сертифицированного программного комплекса входят следующие компоненты:
- VMware vSphere Hypervisor (ESXi), версия 7;
- VMware vCenter Server, версия 7.

3. Сведения о среде функционирования сертифицированной продукции.
Требования к программной среде функционирования программного комплекса не установлены.

4. Сведения о заявителе на сертификацию.
ООО «Аквила» на основании бессрочного договора с компанией VMware Inc. (США, Пало-Альто, Калифорния, 3401 Hillview Avenue).

5. Сведения о сертификате соответствия требованиям по безопасности информации.
Сертификат соответствия № 4319 от 05.11.2020 г. (переоформлен 27.05.2021 г.¹), выданный в системе сертификации ФСТЭК России.

В рамках работ по сертификации подтверждено соответствие программного комплекса:
- Техническим условиям;
- требованиям к 6 уровню доверия².

6. Возможное использование сертифицированной продукции.
Программный комплекс может использоваться для защиты информации, обрабатываемой:
- в государственных информационных системах (ГИС) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 17³);
- в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 3 и 4 уровней защищенности персональных данных (в соответствии с требованиями Приказа ФСТЭК № 21⁴);
- на значимых объектах критической информационной инфраструктуры (КИИ) 3 категории (в соответствии с требованиями Приказа ФСТЭК № 239⁵);
- в автоматизированных системах управления производственными и технологическими процессами (АСУТП) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 31⁶).

В случае необходимости реализации в информационной системе требований защиты среды виртуализации, предъявляемых к информационным системам более высокого класса (уровня защищенности, категории, класса защищенности), могут быть применены подходы, описанные по ссылке.

7. Сертифицированные механизмы защиты.
По результатам работ по сертификации подтверждена реализация программным комплексом следующих мер (требований) защиты среды виртуализации:
- ЗСВ.1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
- ЗСВ.2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
- ЗСВ.3. Регистрация событий безопасности в виртуальной инфраструктуре;
- ЗСВ.10. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей.

Важно! Совместно с наложенными средствами антивирусной защиты в виртуальной инфраструктуре встроенных механизмов защиты ПК VMware vSphere достаточно для реализации:
- ВСЕХ требований по защите среды виртуализации в ГИС 3 класса и в ИСПДн 3 и 4 уровней защищённости;
- установленных требований по идентификации и аутентификации, управлению доступом, регистрации событий безопасности (аудиту безопасности) и управлению перемещением виртуальных машин в средах виртуализации, используемых на объектах КИИ 3 категории и в АСУТП 3 класса защищенности (см. результаты анализа возможности выполнения требований нормативных документов с помощью механизмов защиты сертифицированного программного обеспечения компании VMware Inc.).

Условие использования наложенных средств антивирусной защиты, необходимое для реализации требования ЗСВ.9 «Реализация и управление антивирусной защитой в виртуальной инфраструктуре», не является преимуществом конкурентных решений. Реализация данного условия требуется как в случае использования сертифицированного программного обеспечения VMware, так и в случаях использования «наложенных» средств защиты систем виртуализации.

8. Комплект поставки сертифицированной продукции.
Комплект поставки сертифицированной продукции содержит установочный дистрибутив с сертифицированной версией программного обеспечения, документацию на программное обеспечение как на средство защиты информации, заверенную копию сертификата соответствия программного обеспечения требованиям по безопасности информации, а также абонемент на техническую поддержку средства защиты информации.

9. Ограничения на лицензии, возможные для использования в целях активации сертифицированного программного обеспечения.
Ограничения не установлены. Для использования сертифицированного программного обеспечения конечным пользователем должна быть приобретена у правообладателя (компания VMware Inc.) ЛЮБАЯ лицензия, позволяющая использовать ключи для активации программного обеспечения из состава сертифицированного дистрибутива.

10. Техническая поддержка сертифицированной продукции.
Пользователи сертифицированной продукции получают абонемент на поддержку, дающий право на использование сертифицированных обновлений.
Текущие сертифицированные сборки компонентов программного комплекса зафиксированы в Приложении А Формуляра на программный комплекс.
Подробнее о технической поддержке сертифицированной продукции можно прочитать по ссылке.


Примечания:
¹ Переоформление сертификата соответствия обусловлено выходом приказа ФСТЭК России от 02.06.2020 г. № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», отменяющего требования одноименного приказа ФСТЭК России от 30.07.2018 г. №131.
² «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденные приказом ФСТЭК России от 02.06.2020 г. № 76.
³ «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказов ФСТЭК России от 15.02.2017 г. № 27, от 28.05.2019 г. № 106).
⁴ «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21 (в ред. Приказа ФСТЭК России от 23.03.2017 г. № 49).
⁵ «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации», утвержденные приказом ФСТЭК России от 25.12.2017 г. № 239.
⁶ «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. № 31 (в ред. Приказов ФСТЭК России от 23.03.2017 г. № 49, от 09.08.2018 г. № 138, от 15.03.2021 г. № 46).