13.02.2009

Новый список сертификатов ФСТЭК

На сайте ФСТЭК опубликовали новый список сертификатов, который не обновлялся с прошлого апреля. Из интересных вещей хочу отметить две:
  1. В списке помимо класса сертифицированного изделия теперь стали указывать класс ИСПДн, в которой можно использовать данное средство защиты. Причем это сделано и для уже выданных сертификатов, так что можно сделать вывод, что этот текст врядли повторен и в самом сертификате. Это скорее рекомендация ФСТЭК. Хотя я не до конца понимаю, почему МСЭ 3-го класса рекомендуют использовать в ИСПДн 2-го класса включительно, хотя те же самые "Рекомендации..." из четверокнижия говорят, что МСЭ 3-го класса может использоваться в ИСПДн 1-го класса.
  2. В конце списка есть примечание: "При необходимости применения в информационных системах обработки персональных данных средств защиты информации от несанкционированного доступа и средств межсетевого экранирования, у которых отсутствует сертификация на соответствие требованиям руководящего документа «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (1999 г.), оператором по согласованию с ФСТЭК России может приниматься решение о применении указанных средств защиты информации в информационных системах обработки персональных данных". Из этого пункта можно сделать вывод, что сертификация НДВ нужна только для средств защиты и то не всех ;-)

8 коммент.:

swan комментирует...

Попробую пояснить что такое НДВ 4 уровня... и почему к нему такое "халявное отношение"...

Ну для начала НДВ в том виде что существует имеет больше отношения к качеству ПО а не к поиску в нем "Закладок"...

НДВ по 4 уровню вообще предполагает:
1. наличие документов по ГОСТ ЕСПД
- Спецификация (ГОСТ 19.202-78)
- Описание программы (ГОСТ 19.402-78)
- Описание применения (ГОСТ 19.502-78)
- Тексты программ, входящих в состав ПО (ГОСТ 19.401-78)

2. Проведение проверок в части:
2.1. Контроль исходного состояния ПО
Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.
Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.
Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.
2.2. Статический анализ исходных текстов программ
Статический анализ исходных текстов программ должен включать следующие технологические операции:
- контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
- контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

Тоесть по сути надо:
1. проверить документы
2. посчитать КС исходников и самих программ - сравнить что они совпадают
3. проверить что всех файлов исходников хватает, все они описаны и нет избыточных файлов
4. скомпилировать из исходников программы и проверить что они совпадают с представленными.

По сути что делает анализируемое ПО, сколько в нем закладок, вирусов и т.п. понапихано - никого не волнует.

Так что если некто поднял флаг и заявляет что у него есть сертификат на отсутствие НДВ в ПО нет закладок и т.п. - то было бы полезно узнать хотя бы по какому уровню НДВ, ну и какая лаборатория выполняла испытания немаловажно...;)

Алексей Лукацкий комментирует...

Ты меня опередил ;-) Я миф про это пишу ;-)

swan комментирует...

Ну про эти дела я могу не то-чтобы сладких мифов а горькой правды столько рассказать, но как говорят "во многом знании - много печали"...
А ведь Пятница - хоть и 13-ая...

Анонимный комментирует...

Я предполагал, что "сертификационные испытания на соответствие...", не связанные с гостайной, представляет собой процесс "только срубить бабла". Грустно все это... В 2004 г. сертифицированный по 3 классу МЭ PIX 515 стоил более 8000$, а несертифицированный - вдвое дешевле. После информации о реальной работе по НДВ, реальная работа по МЭ 3 класса - это красивая голографическая наклейка стоимостью 4 штуки.
Грустно мне...
С уважением,
Thrash

swan комментирует...

Не грустите...

Все можно свести к философии: "все что не делается - делается чтоб срубить бабла"

Вот заболел у ребенка зуб... Вы поведете его к хорошему доктору, который и полечит и успокоит и без боли и без слез и подскажет и научит ребенка и обидит - не возьмет коробку конфет, которую ВЫ принесли...

Нехороший пример - как связать больной зуб и необходимость в сертифицированном МЭ?!

Он ведь ВАМ зачем нужен то этот сертификат ?! Наверное не потому что необходим - а потому что кто то ВАМ требование такое вписал в контракте и т.п. Потому и отношение такое и у ВАС к процессу и у ИЛ к работе. А если окажется что МЭ свои функции не выполняет... Кого это волнует...

Вот если ВАМ надо бы было реально хороший МЭ... и ВЫ готовы реально его проверить... то пожалуйста... можно проверить безо всяких сертификатов на авторитете... только, извините, дорого будет стоить...

Откровенно говоря возьмем ВАШ пример ... около 120 000 сертификация...
из них около 15 000 в лучшем случае упадет в карман специалисту который все проверяет! А что он должен проверить по РД МЭ по 3 классу? см. http://www.fstec.ru/_razd/_ispo.htm

Выводы ?!

Анонимный комментирует...

Вы писали: "Откровенно говоря возьмем ВАШ пример ... около 120 000 сертификация...". Это в каких банковских купюрах? (в американских или европейских).
И второй вопрос: а кого бы вы могли бы порекомендовать для проведения исследования для софта (исследовательскую лабораторию), кроме ЦБИ?

Алексей Лукацкий комментирует...

Американских, конечно.

Анонимный комментирует...

Согласен со swan о том, что НДВ 4 уровня не дает ни какого контроля наличия закладок или вредоносного кода. В связи с этим, при проведении исследования мне кажется не лишним проверять исходный код на наличие заданных конструкций не на 2 уровне, а на 4. Между прочим, нормальные ИЛ это делают и про проверке на 4 уровень да бы было спокойно на душе :)(подпись то ставить надо в протоколе).