Получение международных сертификатов максимально высокого уровня, доступных для программных средств массового использования, стало возможным благодаря применению при создании продуктов Процесса обеспечения безопасности на всем цикле разработки (SDL, Security Development Lifecycle).

 

Корпорация Microsoft объявила о том,  что широкий набор продуктов Microsoft(r) Windows(r) получил сертификаты международного стандарта безопасности «Общие Критерии» (Common Criteria) уровня EAL4 (Evaluation Assurance Level) с дополнительным сертификатом ALC_FLR.3. Сертификаты, выданные организацией National Information Assurance Partnership (NIAP), подтверждают соответствие проверявшихся ИТ-продуктов Microsoft строжайшим требованиям безопасности. На конференции Microsoft Security Summit East, проходившей в Вашингтоне, представители корпорации Microsoft Стив Липнер (Steve Lipner), старший директор по стратегии безопасности разработки, и Дэвид Кросс (David Cross), директор по управлению программами безопасности Windows, получили свидетельства о сертификации на соответствие Общим Критериям для шести продуктов Windows.

«Сертификация на соответствие Общим Критериям данных продуктов Windows включала в себя проверку широкого набора реальных сценариев применения операционных систем и подтвердила нашу приверженность требованиям «Общих Критериев», - сказал Стив Липнер. - Сертификация дополняет наши достижения в области  повышения качества программного обеспечения посредством использования при создании продуктов Процесса обеспечения безопасности на всем цикле разработки (SDL). Это крайне  важно для всех ИТ-организаций, всерьез заботящихся о безопасности».

Организация NIAP выдала сертификаты Общих Критериев EAL4 с дополнительным сертификатом ALC_FLR.3 на следующие продукты:

?       Microsoft Windows Server(tm) 2003 Standard Edition (32-разрядная версия) с пакетом обновления 1 (SP1);

?       Microsoft Windows Server 2003 Enterprise Edition (32-разрядная версия) с пакетом обновления 1 (SP1);

?       Microsoft Windows Server 2003 Datacenter Edition (32-разрядная версия) с пакетом обновления 1 (SP1);

?       Microsoft Windows Server 2003 Certificate Server, компоненты выдачи и управления сертификатами (Certificate Issuing and Management Component, CIMC) (профиль обеспечения безопасности уровня 3, версия 1.0);

?       Microsoft Windows XP Professional с пакетом обновления 2 (SP2);

?       Microsoft Windows XP Embedded с пакетом обновления 2 (SP2).

Независимая международная сертификация широкого набора платформ Microsoft включала оценку более 20 сценариев реального применения операционных систем, которые были разработаны в Science Applications International Corp. (SAIC), имеющей статус международной тестовой лаборатории по стандарту «Общие Критерии». SAIC следует строгим стандартам и проводит строжайшее и исчерпывающее тестирование на уровне исходного кода, чтобы определить соответствие данного программного обеспечения требованиям сертификации.

«Гарантии, отраженные в данном уровне сертификации на соответствие требованиям «Общих Критериев», в сочетании с постоянной работой корпорации Microsoft в области  повышения безопасности ИТ-систем, связанной с использованием при создании продуктов Процесса обеспечения безопасности на всем цикле разработки (SDL), свидетельствуют о «жизнестойкости» платформы Windows в сценариях, когда безопасность имеет критическое значение», - сказала Франсина Луиза (Franchina Luisa), главный менеджер Института коммуникаций и информационных технологий, Италия.

Сертификация большого числа продуктов корпорации Microsoft свидетельствует о значительных достижениях Microsoft в области безопасности, в основе которых лежит процесс SDL - соблюдение безопасности на всех этапах разработки. Это уникальный подход к разработке программного обеспечения, объединивший в себе знания и лучшие методики в области безопасности, достигнутые за три года целенаправленной работы.

В ноябре 2005 года корпорация Microsoft выпустила новые версии трех основных продуктов  - Microsoft Visual Studio(r) 2005, Microsoft SQL Server(tm) 2005 и Microsoft BizTalk(r) Server 2006 Beta 2. Это первые продукты Microsoft, полностью разработанные в соответствии с процессом SDL от проекта до выпуска. Работы корпорации Microsoft над процессом SDL также привели к выпуску новых средств анализа и отладки исходного кода с точки зрения безопасности: PREfast и FxCop (эти средства входят в состав Visual Studio 2005). Microsoft намеревается использовать процесс SDL для разработки всех крупных продуктов корпоративного класса и продуктов, предназначенных для работы с сетью Интернет.

«Получив сертификаты «Общих Критериев» на продукты Windows, корпорация Microsoft продолжает реализовывать свою стратегию построения Защищенных информационных систем (Trustworthy Computing), , - сказал Чарльз Колоджи (Charles Kolodgy), директор по исследованиям в отделе продуктов безопасности компании IDC. - Наличие сертификатов является надежной гарантией высокой безопасности. В сочетании с улучшенным качеством программного обеспечения, достигнутого за счет внедрения процесса SDL, сертификаты свидетельствуют о стремлении корпорации Microsoft обеспечить наивысший уровень безопасности, на что стоит обратить особое внимание государственным учреждениям, а также другим организациям».

Помимо перечисленных выше продуктов Windows, сертификаты EAL4 уже получили такие продукты Microsoft, как:

?       Exchange Server 2003 (сертификат получен в ноябре 2005);

?       Internet Security and Acceleration Server (ISA Server) 2004 (сентябрь 2005);

?        Microsoft Windows 2000 Professional, а также Microsoft Windows 2000 Server и Advanced Server.