ПАК «Горизонт-ВС» Версия ФСТЭК

Информационное сообщение о сертификации продукции

Доводим до Вашего сведения, что сертификат соответствия ФСТЭК России

№ 3723 от 21.03.2017 на средство защиты информации ПАК «Горизонт-ВС» оформлен до 21.03.2025. В настоящее время подходят к завершению работы

по проведению сертификационных испытаний программного комплекса «Горизонт-ВС».

Согласно пункту 14 Приказа ФСТЭК России № 55 от 03.04.2018

«Об утверждении Положения о системе сертификации средств защиты информации», серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям

по безопасности информации и изготовитель и (или) заявитель осуществляют

его техническую поддержку.

ООО «ИЦ «Баррикады» продолжает поставлять сертифицированное средство защиты информации ПАК «Горизонт-ВС» в соответствии с Федеральным законом

184-ФЗ «О техническом регулировании» от 27.12.2002, и пунктом 14 Приказа ФСТЭК России № 55 от 03.04.2018 «Об утверждении Положения о системе сертификации средств защиты информации», а также продолжает поддерживать ПАК «Горизонт-ВС» и оказывать техническую поддержку всем пользователям в прежнем режиме.

ООО «ИЦ «Баррикады» информирует о том, что ПАК «Горизонт-ВС», выпущенный в период действия сертификата соответствия № 3723, в настоящее время соответствует действующим требованиям по безопасности информации

и сведения о ПАК «Горизонт-ВС» размещены в Государственном реестре сертифицированных средств защиты информации.

Также уведомляем о том, что ООО «ИЦ «Баррикады» в период действия сертификата соответствия № 3723 была произведена партия сертифицированных изделий ПАК «Горизонт-ВС», с целью удовлетворения потребностей заказчиков.

На складе имеется достаточное количество сертифицированных изделий

ПАК «Горизонт-ВС» для исполнения ООО «ИЦ «Баррикады» своих обязательств.

Назначение и область применения

Изделие предназначено для использования в клиент-серверных системах.

ПАК «Горизонт-ВС» является гипервизором, устанавливаемым непосредственно на аппаратное обеспечение в качестве системного программного обеспечения, и предназначен для организации исполнения виртуальных машин (ВМ), а также подключения терминалов к ВМ, исполняемым на сервере виртуализации.\Согласно приказам № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» ФСТЭК России (сертификат № 3723 от 21.03.2017 г.), изделие может использоваться:

• в государственных информационных системах (ГИС) до 1 класса защищенности включительно;
• для обеспечения защищенности персональных данных в информационных системах персональных данных (ИСПДн) до 1 уровня включительно;
• автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищенности включительно;
• значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории включительно.

Гипервизор «Горизонт-ВС» находится в едином реестре российских программ для электронных вычислительных машин и баз данных №2338 от 15.12.2016.

Состав ПАК «Горизонт-ВС»

Подсистемы	Описание
Система серверной виртуализации «Горизонт-ВС»	Гипервизор 1 типа. Специализированная операционная система собственной разработки
Система группового управления Платформой виртуализации «Горизонт-ВС»	Высокоуровневое средство управления через веб-интерфейс
Система резервного копирования «Горизонт-ВС-СРК»	Бекап виртуальных машин с целью последующего восстановления данных в случае аварийных ситуаций
Универсальный программный клиент виртуальных рабочих столов для Платформы виртуализации «Горизонт-ВС»	Решение «Горизонт-ВС-VDI» на основе отечественной платформы ПАК «Горизонт-ВС
Система миграции виртуальных машин "Горизонт-ВС-Миграция"	Система позволяет переносить виртуальные машины (ВМ) с платформы VMware на платформу "Горизонт-ВС"

Реализация требований к функциям безопасности

ПАК «Горизонт-ВС» реализовывает функции по защите информации, в соответствии с требованиями документа «Требования по безопасности информации к средствам виртуализации» (утв. Приказом ФСТЭК России от 4 июля 2022 года № 187) по 4 классу защиты:

• доверенная загрузка виртуальных машин (ЗСВ.5, УПД.17);
• контроль целостности (ОЦЛ.1 Усиление 1, ЗСВ.7);
• регистрация событий безопасности (ЗСВ.3, ОЦЛ.1, РСБ.5, РСБ.1 Усиление 3, РСБ.2, РСБ.3, РСБ.4, РСБ.6, РСБ.7);
• управление доступом (УПД.2, ЗСВ,2, УПД.13 Усиление 4);
• резервное копирование (ЗСВ.8 Усиление 1, РСБ.7 Усиление 1, ЗСВ.3);
• управление потоками информации (ЗСВ.4 УПД.3);
• защита памяти (ЗСВ.6 Усиление 5);
• ограничение программной среды (ОПС.1, ОЦЛ.1 Усиление 5);
• идентификация и аутентификация пользователей (ИАФ.1, ИАФ.3, ИАФ.4 Усиление 5, ИАФ.5, УПД.1, УПД.6, ЗСВ.1 Усиление 1);
• централизованное управление образами виртуальных машин и виртуальными машинами (РСБ.3 ЗСВ.3, ЗСВ.6).

Изделие, в совокупности с организационными мерами, обеспечивает реализацию приведенных ниже мер защиты информации в соответствии с требованиями документов «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России от 11.02.2013 № 17) «Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11 февраля 2014г.)» и «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом ФСТЭК России от 18.02.2013 № 21)

Требования к функциям безопасности, в соответствии с Требованиями к средствам виртуализации по 4 классу защиты приведены в Таблице (Таблица 1).

Наименование меры и функции безопасности
Функция безопасности	Меры Приказ №17	Требования к средствам виртуализации
Доверенная загрузка виртуальных машин
Управление доступом	УПД.17 ЗСВ.5	ПК «Горизонт-ВС» блокирует запуск виртуальной машины при выявлении нарушения целостности конфигурации виртуального оборудования данной виртуальной машины.
Управление доступом	УПД.17 ЗСВ.5	ПК «Горизонт-ВС» блокирует запуск виртуальной машины при выявлении нарушения целостности файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины) и (или) исполняемых файлов гостевой операционной системы
Контроль целостности
Обеспечение целостности информационной системы и информации	ОЦЛ.1 Усиление 1	ПК «Горизонт-ВС» контролирует целостность в процессе загрузки и динамически в процессе функционирования ПК «Горизонт-ВС» объектов контроля самостоятельно.
-	-	ПК «Горизонт-ВС» информирует администратора безопасности ПК «Горизонт-ВС» о нарушении целостности объектов контроля.
Обеспечение целостности информационной системы и информации	ОЦЛ.1	ПК «Горизонт-ВС» контролирует целостность конфигурации виртуального оборудования виртуальных машин.
Обеспечение целостности информационной системы и информации	ОЦЛ.1	ПК «Горизонт-ВС» контролирует целостность исполняемых файлов и параметров настройки ПК «Горизонт-ВС».
Обеспечение целостности информационной системы и информации	ОЦЛ.1	ПК «Горизонт-ВС» обеспечивает целостность сведений о событиях безопасности.
Регистрация событий безопасности
Защита среды виртуализации	ЗСВ.3 ОЦЛ.1 Усиление 1	ПК «Горизонт-ВС» обеспечивает регистрацию событий, связанных с функционированием ПК «Горизонт-ВС».
Защита среды виртуализации	ЗСВ.3	ПК «Горизонт-ВС» оповещает администратора безопасности ПК «Горизонт-ВС» о событиях безопасности.
Защита среды виртуализации	ЗСВ.3 РСБ.5	ПК «Горизонт-ВС» выполняет действия, являющиеся реакцией на события безопасности самостоятельно или с применением сертифицированных средств защиты информации.
Защита среды виртуализации	ЗСВ.3 РСБ.2	ПК «Горизонт-ВС» осуществляет сбор и хранение записей в журнале событий безопасности, которые позволяют определить, когда и какие действия происходили.
Защита среды виртуализации	ЗСВ.3 РСБ.3	Регистрация событий безопасности в ПК «Горизонт-ВС» осуществляется с учётом требований гост р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
Защита среды виртуализации	ЗСВ.3	Для каждой функции безопасности в ПК «Горизонт-ВС» определен перечень событий, необходимых для регистрации и учета.
Защита среды виртуализации	РСБ.2 ЗСВ.3	Для регистрируемых событий безопасности в каждой записи журнала событий безопасности регистрирован номер (уникальный идентификатор) события, дата, время, тип события безопасности.
Защита среды виртуализации	ЗСВ.3	Записи журнала событий безопасности представляется в структурированном виде и содержит время события безопасности, взятое из аппаратной платформы.
Защита среды виртуализации	ЗСВ.3 РСБ.7 РСБ.4	Журнал событий безопасности ПК «Горизонт-ВС» доступен только для чтения. При исчерпании области памяти, отведённой под журнал событий безопасности ПК «Горизонт-ВС», осуществляет архивирование журнала с последующей очисткой высвобождаемой области памяти.
Защита среды виртуализации	ЗСВ.3 РСБ.1 Усиление 3	Регистрации подлежат следующие события безопасности:
Защита среды виртуализации	ЗСВ.3 РСБ.2	Для регистрируемых событий безопасности регистрируется описание события безопасности, включающее сведения о его важности.
Управление доступом
Управление доступом субъектов доступа к объектам доступа	УПД.2 ЗСВ.2	В ПК «Горизонт-ВС» реализован ролевой метод управления доступом с четырьмя ролями пользователей: разработчик виртуальной машины, администратор безопасности ПК «Горизонт-ВС», администратор ПК «Горизонт-ВС», администратор виртуальной машины.
Управление доступом субъектов доступа к объектам доступа	УПД.2	Роль разработчика виртуальной машины:
-	-	Роль администратора безопасности ПК «Горизонт-ВС»:
Управление доступом субъектов доступа к объектам доступа	УПД.2 ЗСВ.2	Роль администратора ПК «Горизонт-ВС» должна позволять:
Управление доступом субъектов доступа к объектам доступа	УПД.2 ЗСВ.2	Роль администратора виртуальной машины позволяет осуществлять доступ пользователя ПК «Горизонт-ВС» к виртуальной машине посредством интерфейса ПК «Горизонт-ВС».
-	-	ПК «Горизонт-ВС» обеспечивает возможность определения полномочий для пользователей ПК «Горизонт-ВС» в пределах назначенных им ролей.
Управление доступом субъектов доступа к объектам доступа	УПД.13 Усиление 4	В ПК «Горизонт-ВС» в целях обеспечения удаленного доступа пользователей с использованием сетей связи общего пользования к ПК «Горизонт-ВС» применяются средства криптографической защиты информации, прошедшие процедуру оценки соответствия в соответствии с законодательством Российской Федерации.
Резервное копирование
Защита среды виртуализации	ЗСВ.8 Усиление 1	ПК «Горизонт-ВС» обеспечивает резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин самостоятельно.
Защита среды виртуализации	ЗСВ.8	ПК «Горизонт-ВС» обеспечивает резервное копирование параметров настройки средства виртуализации.
Регистрация событий безопасности	РСБ.7 Усиление 1 ЗСВ.3	ПК «Горизонт-ВС» обеспечивает резервное копирование сведений о событиях безопасности.
Управление потоками информации
Управление доступом субъектов доступа к объектам доступа	УПД.3	ПК «Горизонт-ВС» обеспечивает управление потоками информации между виртуальными машинами и информационными (автоматизированными) системами на канальном и сетевом уровнях самостоятельно или с применением сертифицированных средств управления потоками информации (коммутаторов, маршрутизаторов) и (или) межсетевых экранов, а также контроль взаимодействия виртуальных машин между собой.
Защита памяти
Защита среды виртуализации	ЗСВ.6 Усиление 5	ПК «Горизонт-ВС» обеспечивает очистку остаточной информации в памяти средства вычислительной техники при её освобождении (распределении) или блокирование доступа субъектов к остаточной информации.
Защита среды виртуализации	ЗСВ.6 Усиление 5	ПК «Горизонт-ВС» обеспечивает удаление объектов файловой системы, используемых средством виртуализации, путем перезаписи уничтожаемых (стираемых) объектов файловой системы случайной битовой последовательностью.
-	-	ПК «Горизонт-ВС» обеспечивает размещение кода средства виртуализации в области памяти, не доступной одновременно для записи и исполнения.
-	-	ПК «Горизонт-ВС» обеспечивает изоляцию областей памяти виртуальных машин.
Ограничение программной среды
Ограничение программной среды	ОПС.1	ПК «Горизонт-ВС» самостоятельно осуществляет контроль за запуском компонентов программного обеспечения, обеспечивающий, выявление и блокировку запуска компонентов программного обеспечения, не включенных в перечень (список) компонентов, разрешенных для запуска.
Обеспечение целостности информационной системы и информации	ОЦЛ.1 Усиление 5	ПК «Горизонт-ВС» обеспечивает выявление и блокировку запуска компонентов программного обеспечения, целостность которого нарушена.
Ограничение программной среды	ОПС.1	ПК «Горизонт-ВС» обеспечивает блокировку запуска компонентов программного обеспечения, не прошедших аутентификацию с использованием свидетельств подлинности модулей (в том числе цифровых сигнатур производителя или иных свидетельств подлинностей модулей).
Идентификация и аутентификация пользователей
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.1	В ПК «Горизонт-ВС» обеспечивается первичная идентификация пользователей средства виртуализации должна осуществляться администратором средства виртуализации.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.1	В ПК «Горизонт-ВС» обеспечивается идентификация и аутентификация пользователей в средстве виртуализации осуществляется с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения».
-	-	В случае неуспешной идентификации и аутентификации пользователей в средстве виртуализации их доступ будет заблокирован.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.1 ЗСВ.1	ПК «Горизонт-ВС» осуществляет аутентификацию пользователей при предъявлении идентификатора и пароля пользователя.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.1 ЗСВ.1	Пароль пользователя для первичной аутентификации должен устанавливаться администратором средства виртуализации.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.4	В ПК «Горизонт-ВС» должна быть обеспечена возможность смены установленного администратором средства виртуализации пароля пользователя после его первичной аутентификации.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.3	ПК «Горизонт-ВС» должен обеспечивать невозможность установления одинаковых идентификаторов и паролей для разных пользователей.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.4 ЗСВ.1	В ПК «Горизонт-ВС» при попытке ввода неправильного значения идентификатора или пароля пользователя должно выводиться сообщение с приглашением ввести правильных идентификатор и пароль еще раз.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.4	В ПК «Горизонт-ВС» при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства виртуализации должна быть заблокирована с возможностью разблокировки администратором средства виртуализации или с возможностью автоматической разблокировки по истечении временного интервала, устанавливаемого администратором средства виртуализации.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.5 ЗСВ.1	Защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.4 Усиление 1 ЗСВ.1	Пароль пользователя ПК «Горизонт-ВС» должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 4.
-	-	ПК «Горизонт-ВС» должен обеспечивать хранение аутентификационной информации пользователя средства виртуализации в защищенном формате или в защищенном хранилище.
Идентификация и аутентификация субъектов доступа и объектов доступа	ИАФ.1	ПК «Горизонт-ВС» должен обеспечивать взаимную идентификацию и аутентификацию пользователей и средства виртуализации при удаленном доступе с использованием сетей связи общего пользования.
Централизованное управление образами виртуальных машин и виртуальными машинами
-	-	ПК «Горизонт-ВС» должен создавать, модифицировать, хранить, получать и удалять образы виртуальных машин в информационной (автоматизированной) системе.
Регистрация событий безопасности	РСБ.3 ЗСВ.3	ПК «Горизонт-ВС» должен обеспечивать чтение записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности ПК «Горизонт-ВС».
Защита среды виртуализации	ЗСВ.6	ПК «Горизонт-ВС» должен обеспечивать управление размещением и перемещением виртуальных машин и их образов с возможностью сохранения их конфигурации и настроек

Форма поставки

«Горизонт-ВС» поставляется в виде дистрибутива, состоящего из набора установочных и конфигурационных файлов и скриптов.

Таблица 2- Комплект поставки программного изделия.

Обозначение изделия	Наименование изделия	Количество	Заводской номер	Примечание
РОФ.МБРЦ.62.02.04.001	1. Программный комплекс «Горизонт-ВС» в составе:			Примечание 1
RU.МБРЦ.501130.01-01	1.1 Комплекс программ «Терминал-Сервер» в составе:			Примечание 1,2
	1.1.1 Подсистема «Подсистема серверной виртуализации «Горизонт-ВС»	1
	1.1.2 Подсистема «Система группового управления Платформой виртуализации «Горизонт-ВС»	1		Примечание 3
	1.1.3 Подсистема «Система резервного копирования «Горизонт-ВС-СРК»	1		Примечание 3
	1.1.4 Подсистема «Универсальный программный клиент виртуальных рабочих столов для Платформы виртуализации «Горизонт-ВС»	1		Примечание 3
РОФ.МБРЦ.62.02.04.001 У	2 Упаковка
Примечания:

Указания по эксплуатации

1. Установка изделия на место постоянной эксплуатации производится в соответствии с руководством администратора РОФ.МБРЦ.62.02.04.001 Д2.
2. Изделие должно эксплуатироваться в соответствии с руководством администратора РОФ.МБРЦ.62.02.04.001 Д2 и руководством пользователя РОФ.МБРЦ.62.02.04.001 Д1.
3. При работе с подсистемой «КТ» на одном физическом терминале может быть зарегистрирован только один пользователь. В свою очередь каждый терминал конфигурируется на доступ только к предоставленным виртуальным машинам. Таким образом, пользователь одномоментно может получить доступ к предоставленному для него списку ВМ.
4. Программный комплекс может использоваться в ГИС до 1 класса защищенности включительно, для обеспечения защищенности персональных данных в ИСПДн до 1 уровня включительно, в АСУ ТП до 1 класса защищенности включительно, в значимых объектах КИИ до 1 категории включительно.
5. При применении программного комплекса в составе ГИС 1 класса, ИСПДн 1 уровня защищенности, АСУ ТП 1 класса защищенности, значимых объектах КИИ 1 категории предприятием-изготовителем в случае необходимости и по согласованию с Заказчиком проводятся исследования совместимости функционирования ПЭВМ и ПК. При необходимости обеспечения совместимости ПЭВМ и ПК возможно включение в состав ПК необходимых драйверов ПЭВМ и проведение процедур внесения изменений в ПК.
6. При необходимости реализации мер защиты информации ЗСВ.4, УПД.3 и УПД.13 возможно применение и приобретение, сертифицированного ФСТЭК России изделия стороннего производителя с возможностью установки в виртуальную среду (межсетевой экран типа «Б» или «В»), настроенного в среде ПК «Горизонт-ВС» согласно руководству администратора РОФ.МБРЦ.62.02.04.001 Д2
7. В целях обеспечения удаленного доступа пользователей с использованием сетей связи общего пользования к ПК должны применяться средства криптографической защиты информации, прошедшие процедуру оценки соответствия в соответствии с законодательством Российской Федерации.
8. Для сохранения бинарной целостности сертифицированного продукта запрещается замена программных и аппаратных компонентов без согласования с предприятием-изготовителем. Обновления компонентов необходимо получать путем обращения в ООО «Инновационный Центр «Баррикады» по телефону +7(495)120-15-37, электронной почте: info@gorizont-vs.ru или в письменном виде по адресу: 123022, г. Москва, ул. 2-я Звенигородская, д. 13, стр. 43, офис 73. Информацию об обновлениях рекомендуется запрашивать не реже, чем один раз в полгода.
9. Доведение информации о выпуске обновлений изделия осуществляется до каждого потребителя путем отправки сообщений на предоставленные электронные адреса. Срок технической поддержки определяется разработчиком и указывается на сайте https://горизонт-вс.рф и в Государственном реестре сертифицированных средств защиты информации (https://fstec.ru).
10. При обновлении изделия в случае изменения контрольных сумм подсистем необходимо вносить изменения в Приложение А Формуляра.