Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
Поздравляем Вас с наступающим Новым Годом!

На днях компанией Инфотекс были получены новые сертификаты Гостехкомиссии на программный комплекс ViPNet, предназначенный для построения виртуальных защищенных сетей в локальных и глобальных IP сетях.
Таким образом, комплекс ViPNet в дополнение к сертификации по классу защищенности 1В для АС и по 3 классу защищенности для МЭ теперь еще сертифицирован в соответствии с руководящим документом Гостехкомиссии "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. "
 
Представляем Вам статью Г. В. Пономаренко: "СЕРТИФИКАЦИЯ SOFTа НА ОТСУТСТВИЕ ЗАКЛАДОК. ЧТО ЭТО ДАЕТ?", в которой основное внимание уделено тем преимуществам, которые дает наличие на программное обеспечения (ПО) сертификата, подтверждающего отсутствие в этом ПО так называемых недекларированных возможностей (НДВ).

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Новые возможности программного комплекса для построения виртуальных защищенных сетей ViPNet.
• Вакансии компании Инфотекс.
  • Менеджер продаж через партнерскую сеть и каналы сбыта
  • Сервис-специалист в отдел сопровождения и клиентских проектов
    

"И все-таки мой продукт лучше, потому что он имеет сертификат по требованиям безопасности информации!" - так смело может заявить любой, кто выходит на рынок информационных технологий с программными решениями по безопасности информации, имеющими указанные сертификаты. Попробуем разобраться, насколько верно это утверждение.

В данной статье основное внимание будет уделено тем преимуществам, которые дает наличие на программное обеспечения (ПО) сертификата, подтверждающего отсутствие в этом ПО так называемых недекларированных возможностей (НДВ).

Небольшое отступление, чтобы, как говорят, определиться в тезаурусе.

Сертификация на отсутствие недекларированных возможностей (программных закладок) ориентирована на специализированное ПО, предназначенное для защиты информации ограниченного доступа. На сегодняшний день суммарный объем такого ПО достаточно велик, что связано с необходимостью защиты самой разнообразной информации при ее порождении, обработке, транспортировке и т.п. Очевидно, что вопрос защиты информации актуален для организаций любой формы собственности, поэтому потенциальными потребителями такого специализированного ПО являются как государственные структуры, так и коммерческие. Вместе с тем, следует иметь в виду, что сертификационные испытания, о которых будет сказано далее, законодательно не применимы (пока, во всяком случае) к программному обеспечению средств криптографической защиты информации.

Сертификационные испытания на отсутствие недекларированных возможностей предполагают глубокое исследование ПО и связаны с анализом как исполняемого кода, так и исходного с целью установления факта отсутствия (либо наличия) в некотором программном решении функциональных возможностей, не документированных разработчиком.

Методологической основой таких исследований являются общие принципы анализа программ с учетом аспектов, связанных с информационной безопасностью. Теоретические и практические работы в данной области известны не первый год. Однако, переход этих мероприятий в число регулируемых Российским государством в интересах информационной безопасности произошел, фактически, в 1999 году с появлением в системе сертификации Гостехкомиссии России нового руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей".

Данным документом предусмотрено четыре уровня контроля ПО, отличающихся глубиной, объемом и условиями проведения испытаний. Наличие нескольких уровней контроля ПО при проведении испытаний на отсутствие НДВ, с одной стороны, регламентирует степень конфиденциальности информации, защита которой осуществляется ПО, проверенным по тому или иному уровню. С другой стороны, разные уровни контроля позволяют дифференцировать степень вероятности отсутствия в исследуемом ПО этих самых недекларированных возможностей.

Самый низкий уровень контроля - четвертый. Данный уровень предусмотрен для проверки ПО, используемого при защите конфиденциальной информации. Для ПО, используемого для защиты информации, отнесенной к государственной тайне, при проведении испытаний должен быть обеспечен уровень контроля не ниже третьего. Причем, в соответствии с требованиями отечественного законодательства для программных продуктов, предназначенных для обработки информации, составляющей государственную тайну, проведение испытаний по соответствующим уровням контроля отсутствия НДВ обязательно.

Не вдаваясь в подробности относительно требований к первому и второму уровню контроля (которые предусмотрены при проверке ПО, используемого для защиты секретной информации с особо высокими грифами), рассмотрим различия в контроле по четвертому и третьему уровню контроля.

Как уже упоминалось, основное идеологическое их различие состоит в том, что они ориентированы на проверку ПО, предназначенного для защиты качественно различной информации - конфиденциальной и секретной соответственно.

Существенным различием между указанными уровнями контроля является то, что четвертый уровень предполагает мероприятия только по статическому анализу ПО, а при третьем уровне контроля выполняются мероприятия как по статическому анализу, так и по динамическому анализу. В терминах руководящего документа Гостехкомиссии России под статическим анализом понимается совокупность методов контроля несоответствия/несоответствия реализованных и декларированных в документации функциональных возможностей ПО. Данные методы основаны на структурном анализе и декомпозиции исходных текстов программ. Под динамическим анализом также понимается совокупность методов контроля соответствия/несоответствия реализованных и декларированных в документации функциональных возможностей ПО. Эти методы основаны на идентификации фактических маршрутов выполнения функциональных объектов (элементов программ) с последующим сопоставлением потенциальным маршрутам выполнения, построенным в процессе проведения статического анализа. Другими словами, на этапе статического анализа мы получаем вероятностную картину поведения ПО и проверяем, как это соответствует утверждениям разработчика. А на этапе динамического анализа появляется возможность реальной проверки поведения ПО в заявленных разработчиком режимах функционирования и производится сравнение реального и вероятностного поведения ПО.

Следует отметить, что и процесс статического анализа в части технологических операций отличен для четвертого и третьего уровня контроля. Отличие заключается в объеме регламентированных технологических операций для каждого уровня. На мой взгляд (что, вероятно, является дискусионным утверждением) подмножество технологических операций по статическому анализу для четвертого уровня могло бы быть более полным по отношению к множеству таких операций для третьего уровня.

Это утверждение вовсе не означает, что статический анализ для четвертого уровня является каким-то несерьезным. Решение основной задачи - поиск НДВ -осуществляется и на регламентированном подмножестве технологических операций. Проводится контроль соответствия исходных текстов ПО его загрузочному (объектному) коду, контролируется на уровне файлов полнота и отсутствие избыточности представленного исходного кода, выполняются мероприятия по контролю исходного состояния ПО, связанные с фиксацией исходного состояния с помощью механизмов контрольного суммирования и последующим сравнением результатов фиксации с приведенными в документации, осуществляется экспертиза представленной разработчиком технологической и эксплуатационной документации на ПО. В процессе анализа производится поиск так называемых инженерных паролей, позволяющих обходить механизмы защиты. Выполняется контроль правильности сборки исполняемого кода из исходного с целью исключения возможности доступа к отладочной информации в процессе штатного функционирования ПО.

Вместе с тем, мероприятия по статическому анализу ПО для третьего уровня контроля дополнительно предусматривают проведение анализа полноты и отсутствия избыточности представленного исходного кода на уровне функциональных объектов (процедур), осуществление контроля связей функциональных объектов по управлению и информации, выполнение контроля информационных объектов различных типов, формирование перечня потенциальных маршрутов выполнения функциональных объектов.

В принципе, разработчика ПО, которое позиционируется как средство защиты конфиденциальной информации, никто не заставляет проводить сертификацию по НДВ, она добровольна. Однако, в такой сертификации есть преимущества, о чем будет сказано ниже. С другой стороны, учитывая более полные критерии статического анализа для третьего уровня контроля, разработчик ПО, которое и не предназначено для защиты информации, отнесенной к государственной тайне, ровным счетом ничего не потеряет, если сертифицирует это ПО по третьему уровню контроля. А приобретет такой разработчик потенциальную возможность выхода на государственных рынок, получит более красивый и большой флаг для размахивания перед потребителем, поскольку оценка присутствия в его ПО недекларированных возможностей хоть и останется вероятностной, но будет более строгой. В любом случае участие разработчика ПО в процессе сертификации по контролю отсутствия НДВ будет актуальным, поскольку актуальной в настоящее время является сама проблема программных закладок.

Рассмотрим вкратце предпосылки повышения актуальности испытаний на отсутствие НДВ. Во-первых, существенно вырос уровень возможностей разнообразных средств защиты информации, что сделало дорогостоящими и малоперспективными мероприятия по взлому систем защиты "в лоб", без знания их принципов построения и функционирования. Во-вторых, неизмеримо возросла значимость и ценность защищаемой информации разной степени конфиденциальности. В-третьих, потребитель информации в целом вник в суть проблемы и стал опасаться попыток несанкционированного доступа к своей информации не только со стороны так называемых хакеров, но и со стороны разработчиков программного обеспечения, фискальных органов и т.п. Стало очевидно следующее: с одной стороны, для получения несанкционированного доступа к информации злоумышленнику гораздо проще воспользоваться заранее подготовленными закладками в программном обеспечении, с другой стороны, потребитель хочет иметь гарантии того, что таким способом к его информации доступа нет.

На мой взгляд, наличие у производителя или поставщика ПО сертификата, подтверждающего отсутствие в продукции программных закладок, позволяет учитывать последнее обстоятельство и уверенно идти к сердцу потребителя по новой, более короткой дорожке. Вместе с этим, к сертифицированной продукции существенно повышается доверие старых заказчиков, крупных корпоративных потребителей. А их отношение дорогого стоит.

За счет чего же можно увереннее разговаривать с потребителем? В чем преимущества сертифицированного по контролю отсутствия НДВ программного средства? На мой взгляд, такие преимущества условно можно разделить на два вида: технологические и потребительские (маркетинговые).

Технологические преимущества получает непосредственный разработчик сертифицированного ПО. Маркетинговые преимущества - и разработчик, который самостоятельно реализует ПО на потребительском рынке, и компании, реализующие сертифицированное ПО на правах дилеров, системных интеграторов и т.п. Рассмотрим подробнее указанные виды преимуществ.

Суть технологических преимуществ обусловлена самой спецификой проведения сертификационных испытаний такого рода. Технологические операции, присущие контролю отсутствия НДВ, такие, как идентификация объекта сертификации, мониторинг сборки исполняемого кода из исходного, мониторинг начальной инсталляции ПО, статический анализ исходного кода позволяют получить большой объем полезной аналитической информации. Как уже упоминалось ранее, возможно четко соотнести исходный и исполняемый код ПО, выявить и устранить избыточность представленного на испытания исходного кода (которая присуща многим проектам, особенно большим по объему и разработанным разными программистами), однозначно определить действия ПО в процессе начальной инсталляции и деинсталляции по отношению к системным областям операционной системы ЭВМ, получить ряд других характеристик ПО. Полученные результаты испытаний могут быть использованы разработчиком для проведения углубленного анализа своего продукта, планирования и реализации корректирующих воздействий по отношению к ПО в части усовершенствования процессов его разработки и сопровождения.

Характерная для более высоких уровней контроля по отсутствию НДВ технологическая операция по динамическому анализу ПО предусматривает фактическое его тестирование. Причем, такое тестирование является углубленным, учитывающим не только функциональные возможности исследуемого ПО, но и его технологические и структурные особенности. Это объясняется необходимостью инициирования отработки программой тех логических маршрутов ее выполнения, которые были определены как потенциальные на этапе статического анализа исходного кода. Не вызывает сомнения полезность для разработчика таких результатов тестирования, выполненных независимой организацией. Дополнительно разработчик ПО получает исчерпывающую информацию о степени соответствия представленной на сертификационные испытания программной документации требованиям соответствующих нормативных документов. Понятно, что такая информация также не бесполезна для разработчика при сопровождении своего продукта, разработке новых версий или новых программных продуктов.

Следующий важный момент - процесс испытаний по контролю отсутствия НДВ объективно предполагает постоянный тесный контакт испытателя и разработчика, что зачастую позволяет разработчику оперативно улучшать функциональные и потребительские свойства ПО непосредственно в процессе испытаний. При этом, в интересах разработчика испытания могут быть выполнены на его производственной базе (по опыту нашей компании - даже в условиях дальнего зарубежья).

К числу потребительских или маркетинговых преимуществ я бы отнес следующее:

Государственный документ - сертификат - с определенной степенью вероятности, зависящей от уровня проведенного контроля, подтверждает тот факт, что в проверенном ПО нет явных программных конструкций, использование которых предполагает возможность несанкционированного доступа, нарушения целостности защищаемой информации. Кроме того, подтверждается отсутствие также являющихся не декларированными так называемых критичных программных конструкций, способных при определенных условиях спровоцировать нештатные действия по отношению к защищаемой информации (например, конструкции, связанные с проблемой 2000 года, с возможностью доступа к отладочной информации и т.п.).

При проведении испытаний по более высоким уровням контроля результирующим сертификатом фактически подтверждается способность ПО реализовывать свои продекларированные возможности.

По результатам проведенных испытаний ПО приобретает четкий идентификационный признак - зафиксированные контрольные суммы исходных и исполняемых файлов, позволяющий осуществлять мероприятия по контролю целостности сертифицированного ПО на этапах эго разработки, тиражирования и эксплуатации.

Немаловажным фактором является и то обстоятельство, что критерии оценки ПО регламентированы системой сертификации Гостехкомиссии России, изначально ориентированной на защиту информации, отнесенной к государственной тайне. Смею предположить, что эта система критериев достаточно серьезна и обоснована и вполне может быть применима для оценки защитных свойств ПО, оперирующих не только секретной, но и конфиденциальной информацией.

Следующим преимуществом в глазах потребителя должен быть и тот факт, что за доставку к потребителю именно сертифицированного ПО отвечает не только его разработчик, но и проводившая испытания сертификационная лаборатория, которой нормативными документами вменены соответствующие контрольные функции. И, наконец, дополнительная услуга, которую, по опыту работы нашей компании, готова предложить испытательная лаборатория - подтверждение соответствующим актом установки именно сертифицированного программного обеспечения на объектах конечных пользователей.

Хотел бы отметить еще один аспект обсуждаемой темы. Данный аспект не может быть подвержен предложенной выше классификации преимуществ, однако, являясь объективной реальностью, должен быть учтен заинтересованными сторонами. Общеизвестно, что действие сертификата соответствия в системе сертификации Гостехкомиссии России ограничено по времени. Также общеизвестна процедура подтверждения и пролонгации действия сертификата, основанная на анализе соответствия сертифицированных свойств вновь представляемого на сертификацию продукта по отношению к аналогичным свойствам сертифицированного эталона. Понятно, что при наличии нового руководящего документа по контролю отсутствия НДВ в ПО возникает определенная коллизия, выраженная в том, что ранее сертифицированные средства защиты информации (в части ПО), имеющие сертификаты соответствия, которые позволяют использовать эти средства для защиты государственной тайны, после завершения действия данных сертификатов не могут быть пересертифицированы в том же качестве без учета требований нового руководящего документа. Либо такая пересертификация, без проверки ПО на отсутствие НДВ, по факту своего завершения понизит гриф информации, обрабатываемой с помощью пересертифицированного средства защиты, до уровня конфиденциальной, без права обработки информации, отнесенной к государственной тайне. Вероятно, наличие сертификата по соответствующему уровню контроля отсутствия НДВ в такой ситуации все же является определенным преимуществом для программных решений, претендующих и дальше позиционироваться на государственном рынке средств защиты информации.

Видимо, теоретизировать по данной проблеме можно еще довольно много. Хотел бы отметить, что все предыдущие рассуждения - не плод моих личных досужих размышлений, а оценка деятельности испытательных лабораторий, прозвучавшая из уст представителей многих компаний, в интересах которых проводились испытания по контролю отсутствия НДВ.

Есть примеры, когда результаты проведенных испытаний позволяли разработчику усовершенствовать свои технологические решения, выходить на новые сегменты рынка и т.д.

В заключение, повторю свой тезис из предыдущей публикации - используя сертифицированное по контролю отсутствия НДВ программное обеспечение заказчик получает средства, которые корректно и гарантированно выполняют функции по защите его информации и не имеют встроенных механизмов, позволяющих нанести этой информации вред.

Пономаренко Геннадий Владимирович - руководитель испытательной лаборатории ЗАО "НПП "БИТ" (источник - www.sec.ru).

На прошлой неделе Сенат США принял законопроект, в рамках которого генеральному прокурору и директору ФБР предписано по окончании текущего и следующего финансового года представить законодателям годовые отчеты об использовании системы перехвата электронных сообщений DCS 1000, ранее известной как "Carnivore".

Основной законопроект номер 2215 "21st Century Department of Justice Appropriations Authorization Act" касается финансирования Министерства юстиции. В статье 306 говорится, что отчет должен быть представлен не позднее 30 дней по окончании 2001 и 2002 финансового года. В нем должно быть отражено: сколько раз использовалась DCS 1000 за отчетный период, какие именно должностные лица одобрили применение в каждом случае, основания для получения разрешений, детали применений без санкций суда и другие моменты. Всего 10 пунктов.

Трагедия 11 сентября сбила волну нападок на ФБР с требованиями запретить средства компьютерной слежки или хотя бы обнародовать детали их функционирования. После терактов американские интернет-провайдеры чуть ли не сами кинулись в ФБР с просьбами установить у них Carnivore. Сенат принял антитеррористичесие законы, которые существенно расширили права полиции и спецслужб в области электронного слежения.

ФБР может сканировать интернет-трафик граждан без всякого судебного ордера. Масштабы применения системы перехвата электронных сообщений Carnivore были резко увеличены. Разрешения на установку данной аппаратуры уполномочены выдавать любой федеральный прокурор или главный прокурор штата. Слежка может производиться не только за перепиской, но и за любыми данными интернет-пользователя, включая перечень посещаемых им страниц и слова, которые он вводит в поисковые машины.

В мае этого года ФБР уже отчитывалась об использовании Carnivore и ее более скромного аналога Etherpeek. С октября 1999 по август 2000 года эти системы использовались, соответственно, 13 и 11 раз. В отчете сообщалось об успешных операциях ФБР с использованием компьютерного перехвата. Например, в январе 2000-го удалось получить необходимые данные для расследования дела, касающегося нелегальных азартных игр и отмывания денег. Carnivore также использовалось Службой федеральных маршалов для поиска преступников.
(источник - http://www.netoscope.ru/, опубликовано 24.12.2001)

В пятницу ФБР и Пентагон высказали озабоченность опасной дырой в Windows XP, наличие которой компания Microsoft признала на прошлой неделе, опубликовав соответствующий патч.

Это уже вторая за два месяца с момента выхода "самой надежной операционной системы" уязвимость, оцененная как крайне опасная. Она может быть также опасна для пользователей Windows ME/98/98SE.

Официальные представители ФБР и Пентагона попросили от Microsoft заверений, что выложенные патчи действительно надежно закроют дыры от хакеров. Обращение было сделано на закрытой конференции, организованной Центром защиты национальной инфраструктуры (NIPC) - подразделением кибербезопасности ФБР. Описания уязвимосей в UPnP Центр разместил на своем сайте.

Последняя дыра обнаружена главным специалистом по взломам компании eEye Digital Security Марком Мэйфретом. Она расположена в модуле автоматического распознавания и подключения сетевых устройств Universal Plug and Play (UPnP), который управляется специальными директивами, устанавливая при этом системные привилегии. Если такую директиву составить соответствующим образом, можно устроить старое доброе переполнение буфера и захватить полный контроль над удаленным компьютером.

Кроме того, обнаружено, что модуль UPnP незащищен от зацикливания и может быть переключен под видом адресуемого сетевого устройства на любой посторонний компьютер.

Это дает возможность хакеру устраивать DoS-атаку на UPnP-совместимый компьютер, заставляя его бесконечно посылать запросы на какой-нибудь порт какого-нибудь сервера, настроенного на ответ в режиме эхо (эхо-сервис). Атака может быть и распределенной (DDoS), если вместо конкретного IP-адреса, на который будут посылаться запросы, указать целую доменную область.

В другом варианте можно устроить DDos-атаку, разослав UPnP-директивы на множество машин с указанием IP жертвы в качестве источника запроса. В этом случае жертвой также может быть не только конкретный компьютер, но и машины целой доменной области.

Модуль UPnP имеется в комплекте Windows ME, но по умолчанию не установлен (если иначе не сконфигурировали OEM-производители). В Windows 98/SE данного модуля нет, но он может быть установлен по желанию.

Microsoft сообщила, что о реальных случаях использования данной дыры ей неизвестно.
(источник - http://www.netoscope.ru/, опубликовано 24.12.2001)

Альянс против хакеров создан в Великобритании

Интернет-компании Великобритании объявили о формировании Альянса по вопросам безопасности интернета и новых технологий (The Security Alliance for Internet and New Technologies - SAINT). В задачи новой организации, по словам ее создателей, входит борьба с противоправными действиями в Сети, в частности с несанкционированными проникновениями в системы, организацией удаленных атак с целью отказа в обслуживании и рассылкой почтовых вирусов.

В число учредителей Альянса вошли Министерство по делам торговли и промышленности Соединенного Королевства, а также Ассоциация компаний-поставщиков (CSSA). Годовой бюджет SAINT, как ожидается, составит около 600 тысяч футов и будет поддерживаться в основном за счет членских взносов в размере 5000 фунтов.

Первое заседание участников встречи, скорее всего, состоится уже в феврале.
(источник - http://www.cnews.ru/, опубликовано 20.12.2001)

Компания MessageLabs, специализирующаяся на разработках в области антивирусной защиты компьютерных систем, опубликовала итоговый годовой отчет, из которого следует, что в минувшем году средствами компании почтовые вирусы перехватывались каждые 18 секунд, что означает, что за год зарегистрированными оказались 1,6 млн. зараженных файлов.

Заметим, что аналогичный показатель прошлого года равнялся всего 184 257 зараженным сообщениям, что означает, что в 2001 г. вирусы распространялись в девять раз активнее, чем годом ранее.

Возможность сбора подобной статистики обусловлена тем, что антивирусный сервис MessageLabs существенно отличается от антивирусных программ, поставляемых на рынок большинством других разработчиков, поскольку основной задачей данного сервиса является перехват зараженных файлов еще до того, как они достигнут почтового клиента адресата.

По признанию главного технолога компании Марка Саннера (Mark Sunner), особую озабоченность вызывает соотношение вирусов, приходящееся на общее количество электронных почтовых отправлений. Для текущего года этот показатель равняется в среднем одному вирусу на 370 электронных писем, в то время как в 2000 и 1999 гг. он составлял одно зараженное письмо к 700 и к 1400 обычных сообщений соответственно. Особенно "напряженными" оказались ноябрь и декабрь текущего года, что г-н Саннер объяснил практически одновременным появлением большого числа новых почтовых червей: Aliz, BadTrans.B, Goner и Gokar.
(источник - http://www.cnews.ru/, опубликовано 18.12.2001)

Новые возможности программного комплекса для построения виртуальных защищенных сетей ViPNet.

Компания Инфотекс объявляет о получении новых сертификатов Гостехкомиссии при Президенте РФ на программный комплекс ViPNet, предназначенный для построения виртуальных защищенных сетей в локальных и глобальных IP сетях.

Компанией Инфотекс получены Сертификат Государственной технической комиссии № 545 на программный комплекс ViPNet - по классу защищенности 1В для Автоматизированных систем (АС) и по 3 уровню контроля отсутствия Недекларированных возможностей (НДВ) и Сертификат Государственной технической комиссии №546 на межсетевой экран ViPNet - по 3 классу защищенности для Межсетевых экранов (МЭ) и по 3 уровню контроля отсутствия НДВ.

Таким образом, комплекс ViPNet теперь еще сертифицирован в соответствии с руководящим документом Гостехкомиссии "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей."

Используя сертифицированное по контролю отсутствия НДВ программное обеспечение заказчик получает средства, которые корректно и гарантированно выполняют функции по защите его информации и не имеют встроенных механизмов, позволяющих нанести этой информации вред.

Напомним, что программный комплекс ViPNet - универсальное средство, сертифицированное не только Гостехкомиссией России, но и ФАПСИ, которое может устанавливаться на любые компьютеры (рабочие станции, сервера, маршрутизаторы) в локальных и глобальных сетях и обеспечивающее безопасное подключение к Интернет для обмена конфиденциальной информацией.

Созданная с помощью системы ViPNet виртуальная защищенная сеть обеспечивает гарантированную прозрачную защиту любых сетевых приложений (WEB - технологии, почтовые службы, СУБД любого типа, доступы к файлам и каталогам, банковские технологии и др.) в IP-сетях любой конфигурации и сложности, объединяемых через Интернет и другие ведомственные или глобальные сети. При этом обеспечивается полная безопасность от любых атак и доступов к информации, как из глобальной, так и из локальной сети.

Актуальным аспектом программных продуктов ViPNet является использование реализованной в нем электронно-цифровой подписи (ЭЦП). В настоящее время принимается Федеральный закон "Об электронно-цифровой подписи". Этот закон обеспечит правовые условий для использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается юридически равнозначной собственноручной подписи гражданина или юридического лица в документе на бумажном носителе. Действие настоящего Федерального закона распространяется на отношения, возникающие в связи с использованием электронной цифровой подписи гражданами, организациями, государственными органами и органами местного самоуправления.

Собственные защищенные службы реального времени, почтовая служба и автопроцессинг с процедурами электронной цифровой подписи, возможность встраивания криптографических функций в другие программы, специальные технологии подключения локальных сетей и удаленных пользователей к Интернет и многие другие свойства предоставляют пользователям системы ViPNet дополнительный набор необходимых функций для решения любых задач информационного взаимодействия.

Вакансии компании Инфотекс.

Менеджер продаж через партнерскую сеть и каналы сбыта.

Описание должности:

• Развитие партнерской и сбытовой сети, включая
  - подбор новых партнеров и сбытовых каналов, подготовка соглашений по продвижению решений компании на рынки партнеров
  - первичное обучение и сертификация персонала сбытовых каналов, отвечающего за продвижение продуктов и решений компании
  - поддержка первых продаж партнеров посредством предоставления технической экспертизы, помощи в подготовке коммерческих предложений, конкурентного анализа и т.д.
• Организация продаж через партнеров и каналы сбыта, включая
  - составление совместно с партнером листа потенциальных клиентов и квартальных и месячных прогнозов продаж продуктов и решений компании
  - оказание текущей информационной поддержки партнеру в форме предоставления маркетинговой и технической информации
  - методическое содействие партнеру в организации пользовательских семинаров и выставок, подготовке технических предложений
  - участие совместно с партнером в технических и коммерческих переговорах с клиентом, в том случае если указанный клиент представляет стратегический интерес с точки зрения развития бизнеса компании
• Ежемесячно подготовка квартального плана-прогноза продаж через каналы и партнеров. Еженедельная актуализация этого плана-прогноза по итогам работы с каналами и партнерами за неделю.
• Подготовка ежемесячных отчетов о продажах и выполнении плана-прогноза, включая так называемые "win/loss review" (письменно). Еженедельная отчетность по итогам активности за неделю (устно).
• Ежемесячная подготовка информационных материалов
  - предложения по развитию продуктового ряда
  - часто задаваемые вопросы (FAQ)
  - предложения по совершенствованию программ обучения
  - предложения по информационной поддержке каналов сбыта
  - предложения по ассортиментной, ценовой и рекламной политике

Требования к кандидату:

• Опыт продаж софтверных продуктов и решений более 2-х лет
• Высшее образование, знание основ информационной безопасности
• Знание сетевых и Интернет технологий в объеме, позволяющем составить предложения по их бизнес-использованию на том или ином целевом рынке
• Опыт горизонтального менеджмента
• Опыт использования программ офисного назначения (Excel, Word, Project, Visio и т.д.)

Компенсации: оплата высокая

Резюме отправлять на e-mail igol@infotecs.ru.

Сервис-специалист в отдел сопровождения и клиентских проектов

Описание должности:

• Работа на "горячей" телефонной линии
• Установка, наладка, конфигурирование программных решений компании "Инфотекс"
• Сервисное сопровождение Клиентов: по телефону, электронной почте, путем выезда к Клиенту (возможны выезды за пределы Москвы)
• Проведение учебных занятий в учебном классе компании или на территории заказчика

Требования к кандидату:

• Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
• Отличное знание операционных систем Windows 95/98, Windows NT/2000; инсталляция и настройка
• Знание Linux - желательно
• Умение работать с людьми (ведение переговоров, проведение учебных занятий и т.д.)
• Знание технического английского (умение читать и переводить английскую документацию на ПО)
• Отсутствие проблем со службой в рядах вооруженных сил РФ
• Образование высшее

Компенсации: оплата высокая

Резюме отправлять на e-mail hotline@infotecs.ru.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.