15.11.12

Исследование оценки соответствия средств защиты информации в России

Заканчиваю я исследование вопросов оценки соответствия средств защиты информации. Тема регулярно всплывает на разных мероприятиях, в разных блогах и статьях. Куча вопросов по ней, куча нюансов, куча заблуждения. Поэтому решил свести все воедино и постараться ответить на многие из возникающих неопределенности. Не могу сказать, что расставлю все точки над i, но попробовать стоит. Более того, скорее всего мой взгляд на это врядли будет поддержан регуляторами. Но коль скоро от них на тему оценки соответствия так ничего и не появилось за почти 20 лет с момента вызода 608-го Постановления Правительства, 199-го приказа ФСТЭК и 564-го приказа ФСБ и регистрации добровольных систем сертификации СЗИ и СКЗИ (закрытое 330-е Постановление Правительства я в расчет не беру, но про него немного буду говорить), то пусть планируемый к выпуску документ подтолкнет их хоть к какому-то решению по данному вопросу.

Почему я пишу этот пост о невышедшем пока исследовании? Все просто. Я покажу структуру документа и хочу спросить, что еще стоит в него включить. Понимаю, что без самого текста это непросто, но вдруг есть явные лакуны в структуре изложения? Структура такова:

  • Введение
  • Что такое оценка соответствия?
    • Законодательство о техническом регулировании
    • ISO 17000
  • Зачем нужна оценка соответствия?
  • В каких формах может проводиться оценка соответствия?
    • Государственный контроль и надзор
    • Аккредитация
    • Испытания
    • Регистрация
    • Подтверждение соответствия
      • Добровольная сертификация
      • Декларирование соответствия
      • Обязательная сертификация
    • Приемка и ввод в эксплуатацию
    • Иные формы
  • Какие формы оценки соответствия и когда необходимы?
  • Кто может проводить оценку соответствия?
  • Выводы
 Это была первая часть исследования. Будет и вторая. Она посвящена именно вопросу сертификации средств защиты информации. Ее предварительная структура такова:

  • Введение
  • Требования по сертификации
    • Позиция ФСТЭК, ФСБ и Министерства Обороны
    • Система сертификации ФСТЭК
    • Система сертификации ФСБ
  • Что подлежит сертификации?
  • На соответствие чему происходит сертификация
    • Руководящие документы ФСТЭК
    • Документы ФСБ
  • Схемы сертификации
    • Сертификация единичных экземпляров
    • Сертификация партии
    • Сертификация серии
    • Процесс сертификации
  • Кто должен сертифицировать СЗИ?
  • Стоимость сертификации
  • Ответственность за использование несертифицированных средств защиты
  • Сложности сертификации в России
    • Сертификация средств защиты иностранного производства
  • Выводы
Вторую часть, кстати, я начал даже раньше первой. Но потом понял, что лучше начать с самого начала и рассказать про оценку соответствия вообще, а потом уже про одну из ее форм - сертификацию (якобы обязательную) .

Есть и третья часть ;-) Но она ограниченного доступа - с анализом того, что уже сертифицировано ФСТЭК и ФСБ по различным срезам. Кто сертифицирует? На чем специализируется? Какие усилия предпринимают разные вендоры по части сертификации своей продукции? Ну и т.д.

Если все пойдет так как задумано, то первая часть выйдет в течение пары-тройки недель. Вторая часть - в начале следующего года (в январе приблизительно). Третья часть публиковаться не будет. Есть еще задумки по 4-й части, но пока озвучивать их не буду ;-) Пусть это останется моим маленьким секретом ;-)

10 коммент.:

Cug комментирует...

Алексей,
по второй книге треба уточнение:
Раздел "Что подлежит сертификации?" включает ответ на вопрос "Какие требования предъявляются к продукту, чтобы он мог быть сертифицирован?", а точнее даже "Почему Ваш самописный продукт не может быть сертифицирован?"?
Если нет, то стоит включить, полагаю. Поясню - кроме требований по сертификации, закрепленных в документах, наверняка есть требования, которые в документы не включены, так как считаются само собой разумеющимися, либо необходимость которых есть, но недостаточно доказаны.

ZZubra комментирует...

Вроде как остался не освещенным вопрос организации самого производства/дуплицирования сертифицированных СЗИ: типа на чем их размножают (если это ПО), как соблюдают неизменность ПО при размножении, эталон и т.п. Возможно это входит в раздел схем сертификаций, а может и не подразумевалось.

И еще не нашел места разъяснению отличия сертифицированного носителя от несертифицированного, наличие формуляра и т.п. Т.е. для широкого круга все равно может остаться не ясным практическая разница между статусами, допустим, одного продукта.

И еще сертификация по ТУ. Ну например того же антивируса или средства резервного копирования или средства контроля защищенности и т.д.

Анонимный комментирует...

1 - Процесс сертификации во второй части нужно выносить на уровень выше...
2 - во второй части ты предварительно решил идти по ФСТЭК и ФСБ. Можно запутать... хотя как оформлять...
3 - во второй части я бы добавил раздел "участники систем сертификации" чтобы читатель/заявитель понимал с кем ему придется иметь дело
4 - возможно стоит сделать п.п. "Что может а что не может сертификация"
ну а дальше будем посмотреть ;)

Анонимный комментирует...

Наверное еще стоит включить п.п. "Инспекционный контроль" после схем сертификации

Алексей Лукацкий комментирует...

Супер. Спасибо

ZZubra комментирует...

А еще что означают формулировки "может быть использован в системах такого-то класса", допустим при сертификации на НДВ средства от НСД. Читая такой сертификат почти всегда считают, что больше ничего не надо, а что собственно механизмы НСД не сертифицировались, а только проверялось "отсутствие" НДВ - это проходит мимо. Происходит это из-за непонимания, что фраза/понятие "может использоваться" не тождественно "полностью соответствует ВСЕМ требованиям".

Отсюда, что если продукт должен быть сертифицирован по нескольким требованиям, то надо и получать сертификат на их все (одной бумажкой или несколькими).

Еще сертификация одного и того же продукта по требованиям разных ведомств. Если требуется сертифицировать НСД по ФСТЭК, а СКЗИ по ФСБ - и это один продукт, то чаще всего дистрибутивы РАЗНЫЕ, формуляры тоже, а производитель типа продает один продукт, обладающий обоими сертификатами.

И отдельно стоит вопрос про Требования, которые разрабатывает регулятор, типа под "производителя СЗИ". Что мол есть регуляторы и "сообщество" тех, кто производит СЗИ. А эти производители - комерсанты и у них есть свои издержки, риски, потому и нет многих необходимых продуктов на рынке.

Евгений комментирует...

>..сертификации на НДВ средства от НСД. Читая такой сертификат почти всегда считают, что больше ничего не надо
Не просто считают, а с легкой руки маркетологов производителя сертификат на НДВ превращается в "соответствует РД АС, приказу №58". Пруф
http://www.aladdin-rd.ru/catalog/tsm/certification, закладка "Сертификация".

Алексей, мне кажется имеет смысл вынести на верхний уровень вопрос обновлений для сертифицированных СЗИ. Что можно, что нельзя, какие схемы применяют производители СЗИ, почему нельзя просто поставить новую версию ПО. Также коснуться вопроса ремонта сертифицированных СЗИ, помнится было обсуждение в комментариях, нужна ли лицензия ФСБ для ремонта СКЗИ.

Кстати, если подумать, то может стоить расписать полный жизненный цикл сертифицированных СЗИ, с комментариями на каждой стадии? Как мне кажется, немногие внедрившие СЗПДн поинтересовались, а как правильно выводить СКЗИ из эксплуатации.

Алексей Лукацкий комментирует...

Упс... Судя по вопросам тему сертификации ФСБ придется выносить в отдельный документ

Unknown комментирует...

Алексей, здравствуйте, хотелось бы почитать ваши комментарии по основным производителям банкоматов и их встроенному антивирусному ПО, соответствует ли оно всем требованиям нового постановления?
Solidcore for APTRA у NCR,
Symantec Endpoint Protection v11.0 у DieBold, и Terminal Security Intrusion Protection, основанная на решении Symantec Critical System Protection у Wincor Nixdorf.

ZZubra комментирует...

Евгений! Вот с Trusted Security Module (TSM)ситуация как раз чуть иная :) Сертификат выдан по двум требованиям ТУ и НДВ. Так вот я читал формуляр=ТУ на него (как ни странно другого варианта не встречал что у кода безопасности, что у других производителей) - там большинство необходимых механизмов прописаны, так что в определенных ситуациях именно этот сертификат может и оказаться "нормальным". Ну там типа фраза: "разработанный по ТУ, является средством защиты информации, (запятая)[разработанный по ТУ] соответствует НДВ". Хотя конечно в переводе именно на странице, где ссылка на сертификат, написано совершенно не то что в самом Сертификате ))))

И опять "хотя". Может тут я неправильно понимаю ))) и "разработанный по ТУ" не означает, что реализованы механизмы защиты, а только фиксирует/определяет/конкретизирует конкретное ПО. которое соответствует НДВ ))))) Но вроде первое понимание подтверждалось неоднократно, даже с более серьезными СЗИ.