Официальная оценка уровня безопасности Microsoft Office

В интернете имеются интересные материалы, касающиеся оценки безопасности программного комплекса Microsoft Office.

В соответствии с Государственным реестром сертифицированных средств защиты информации ФСТЭК России (внешняя ссылка)
(номера указаны по указанному реестру):

1056/1 Офисный программный комплекс Microsoft® Office, Профессиональный выпуск 2003, Service Pack 3, соответствует заданию по безопасности MS.Office2003_SP3.ЗБ, имеет оценочный уровень доверия ОУД1 (усиленный)  и может использоваться для создания автоматизированных систем до класса защищенности 1Г включительно
1587 MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007 соответствует заданию по безопасности MS.OFFICE2007.ЗБ и имеет оценочный уровень доверия ОУД1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (может использоваться для защиты информации  в ИСПДн до 2 класса включительно)
1587/1 MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007 Service Pack 1 соответствует заданию по безопасности MS.OFFICE2007.ЗБ и имеет оценочный уровень доверия ОУД1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (может использоваться для защиты информации  в ИСПДн до 2 класса включительно)
2590 Программное обеспечение Microsoft Office Professional Plus 2010, децимальный номер 502900-013-82487552-11 –  на  ТУ

Для сведения:

Оценочный уровень доверия 1 (ОУД1) – предусматривает функциональное тестирование.
Уровень ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные. Он будет полезен там, где требуется независимо полученное доверие утверждению, что было уделено должное внимание защите персональных данных или подобной информации (см. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (внешняя ссылка)).

Класс защищенности 1Г:
Требования к классу защищенности 1Г:
Подсистема управления доступом:
- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
(см. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (внешняя ссылка).

Класс 2 для Информационных систем персональных данных (ИСПДн):
Класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Классификация информационных систем персональных данных (ИСПДн) определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (см. внешняя ссылка).