Дорогие друзья!
Компания Нума Технологии информирует об успешном завершении процесса сертификации Доверенной базовой системы ввода-вывода Numa BIOS (далее - ДБСВВ Numa BIOS).
Полученный сертификат № 4260 от 23.06.2020 удостоверяет соответствие ДБСВВ Numa BIOS требованиям по безопасности информации, установленным в документе "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (приказ ФСТЭК России от 30 июля 2018 г. №131) по 4 уровню доверия и Технических условиях.
ДБСВВ Numa BIOS предназначена для обеспечения доверия к аппаратным платформам, в том числе и иностранного производства, и возможности их использования при разработке и производстве средств вычислительной техники (далее – СВТ), программно-технических комплексов и программно-технических средств защиты информации (далее – СЗИ), к которым предъявляются требования по отсутствию опасных функциональных возможностей на уровне программного обеспечения аппаратных платформ. ДБСВВ Numa BIOS, помимо полноценной замены BIOS зарубежного производства для Intel/AMD платформ, реализует ряд функций безопасности, которые позволяют исключить проведение существующих типов атак на ПО BIOS, а также обеспечивают контроль неизменности аппаратной конфигурации, в том числе и неизменность части встроенного МПО. Стоит отметить, что при разработке Numa BIOS для конкретной материнской платы выполняется инженерный анализ потенциально опасных компонент, способных влиять на безопасность функционирования программно-технических средств, в том числе удаление частей кода в таких модулях, как Intel ME. ДБСВВ Numa BIOS реализует собственный механизм доверенной загрузки, не использующий предоставляемые Intel/AMD модули.
На сегодняшний день устоялась и широко применяется практика, при которой российские производители средств защиты информации, а также компьютерного и серверного оборудования, используют в составе своих продуктов недоверенное программное обеспечение BIOS зарубежных разработчиков, таких как AMI, Phoenix, Insyde. С точки зрения требований по безопасности информации существенным недостатком является то, что зарубежные разработчики не передают российским производителям СВТ и СЗИ исходные коды ПО BIOS в полном объеме, что не позволяет проводить полноценные исследования и сертификацию.
Это приводит к тому, что при сертификации продуктов с зарубежным ПО BIOS, в виду отсутствия исходных кодов, используются различные инженерные и методические подходы, изобилующие значительными допущениями, при которых страдает либо безопасность, либо надёжность работы аппаратных платформ. Также российские производители зачастую лишены возможности модификации и доработки ПО BIOS в связи со значительными лицензионными ограничениями.
До сегодняшнего дня, в виду отсутствия альтернативы зарубежному недоверенному BIOS, такая практика считалась нормой, в том числе и для лидеров российской индустрии СВТ и СЗИ.
При проведении сертификации ДБСВВ Numa BIOS НумаТех представил все исходные коды и документацию на ДБСВВ, обеспечил возможность проверки и оценки всех технологических процессов, связанных с разработкой ПО BIOS, в том числе: статический и динамический анализ, фаззинг, тестирование на проникновение и анализ уязвимостей.
Именно по этой причине мы считаем, что получение сертификата соответствия на ДБСВВ Numa BIOS - это не рядовое для индустрии ИБ событие - это веха, которая должна существенным образом изменить сложившуюся практику. Теперь сертифицированные российский BIOS для аппаратных платформ, построенных с использованием процессоров и наборов системной логики (чипсетов) Intel или AMD для архитектуры x86/x64 - реальность, подтвержденная сертификатом ФСТЭК России.
Сегодня ДБСВВ Numa BIOS является первым и единственным продуктом, использование которого позволяет качественно выполнить требования ФСТЭК России по наличию исходных кодов ПО BIOS при разработке и производстве программно-технических средств защиты информации, а также защищенных программно-аппаратных комплексов.
К таким средствам, в первую очередь, относятся аппаратные платформы программно-технических межсетевых экранов (различных UTM и NGWF устройств), к которым в соответствии с Требованиями ФСТЭК России предъявляются повышенные требования по безопасности и наличию исходных кодов ПО.
В состав исполнений ПО ДБСВВ, сертифицированного ФСТЭК России, вошли исполнения BIOS, разработанные для аппаратных платформ производства компании Lanner (NCA-1010, FW-7573, NCA-4210, NCA-5510), которые используются большинством российских разработчиков средств защиты информации, а также ряд исполнений для серверных платформ производства ПК Аквариус.
НумаТех ведет работу по расширению доступных исполнений сертифицированного ДБСВВ Numa BIOS и ориентируется на запросы технологических партнеров, которые специализируются на разработке и производстве различной компьютерной техники, серверного оборудования и средств защиты информации в промышленных масштабах.
Для использования на конкретных аппаратных платформах (системных платах) разрабатываются отдельные, предназначенные только для этой системной платы, исполнения ДБСВВ Numa BIOS. ДБСВВ Numa BIOS поставляется в виде файла-прошивки, готового к установке взамен оригинального (штатного) ПО BIOS системной платы.
По вопросам разработки ДБСВВ Numa BIOS и технологического партнерства направляйте обращения на электронную почту partners@numatech.ru или звоните по телефонам: +7 (812) 309-06-01 доб. 666 или доб. 777.
Следите за нашими новостями.
