05.12.2012

Какие системы сертификации существуют в США?

Аккурат сегодня закончил я прохождение обучения на тему оценки соответствия средств защиты по различным международным системам сертификации. Как это ни странно, но лидером по числу систем сертификации являются США - у них существует 4 системы сертификации:
  • FIPS 140 - проверка корректности реализации криптонрафических характеристик. Признается она, помимо США, еще в Великобритании и Канаде. По своей сути схожа с тем, что организует у нас ФСБ, но система более прозначная и открытая. Секретных требований нет. Уровни сертификации дифференцированы - может проверяться только ПО или с погружением в "железо". Текущая версия FIPS 140-2, но в начале 2013-го (а может и до конца этого успеют) грядет новая версия - FIPS 140-3. Т.е. в США на месте требования не стоят и постоянно дорабатываются с учетом новых реалий в области криптографии и криптоанализа. Причем речь именно о требованиях по сертификации, а не о новых криптоалгоритмах. Время сертификации - от 9 до 13 месяцев; примерно как и в России.
  • DoD UC APL - это проверка для МинОбороны США того, как продукт (сетевое оборудование, средство защиты, сервера и т.п.) обрабатывают унифицированные коммуникации. Т.к. в условиях военных действий очень важным является именно взаимодействие между войсками, а современные вооруженные силы давно перешли на различные IP-коммуникации (ВКС, IP-телефония, Telepresence, чаты и т.п.), то при данной сертификации смотрится даже не функциональность с точки зрения защиты, сколько качество реализации поддержки унифицированных коммуникаций и взаимодействие между различными компонентами.
  • Army I3MP RPL - сертификация по сути аналогичная предыдущей. В ее рамках проверяется не защитная функциональность, а производительность сетевых решений в различных условиях применения сетевого оборудования армией США.
  • IPv6 - это сертификация соответствия требованиям по переходу на протокол IPv6, курс на который принят в госорганах США. Проводится сертификация только для госорганов (исключая военные ведомства).
  • NATO IAPC - это оценка соответствия продуктов защиты требованиям Североатлантического альянса (НАТО). Проверяются средства защиты и продукты с соответствующей функциониональностью (тоже сетевое оборудование и т.п.).


В чем особенность американских систем сертификации от российских? Если вкратце, то при общей идеологии оценки функциональности и качества реализации защитных функций, мы различаемся в подходах:
  • В США все требования (исключая некоторые требования МинОбороны) являются публичными и любой желающий может с ними ознакомиться на сайтах в Интернет. У нас же публичны только требования ФСТЭК (хотя сама процедура сертификации не очень прозрачна). Требования ФСБ секретные. Требования МинОбороны тоже мало кому известны. Исключая вероятного противника - уж он-то с этими требованиями наверняка знаком ;-)
  • Обязательность сертификации только для госорганов и военных ведомств. Никакой обязательной оценки соответствия для операторов персданных и в помине нет. Каждый предприниматель действует на свой страх и риск (в этом Россия и США схожи), но вот в Америке эта самостоятельность проявляется и в выборе средств защиты. У нас же никакой самостоятельности нет ;-(
  • Схемы сертификации тоже различаются. Да, и там и тут сертифицируется конкретная версия ПО/железа и при ее смене происходит процесс пересертификации. И там и тут срок сертификации эталонного образца составляет несколько месяцев. Но... там нет такой идиотской схемы, когда сертифицируется конкретный экземпляр. Там именно на производителя возлагается ответственность за контроль качества выпускаемой продукции и ее соответствие эталонному образцу. И в случае несоответствия производитель ответит перед регулятором. А т.к. в США доля рынка средств защиты для госорганов очень весома и терять ее никто не хочет (у нас, кстати, тоже), то вендоры не будут невыгодно заниматься махинациями с ПО и внесением каких-то там непрошедших проверку изменений. Тем более, что пересертификация обновлений - не такая уж и сложная задача. У нас же все сделано через одно место - через гостайну - требования растут оттуда. Никакого доверия производителю - все проверяется и перепроверяется. Для гостайны это понятно, но для коммерческого потребителя-то зачем? Не говоря уже о том, что ему все равно не нужны сертифицированные СЗИ. Особенно в условиях, когда ни производитель, ни испытательная лаборатория, ни орган по сертификации не несут никакой ответственности за плоды своего труда.
Вкратце, наверное все. Обучение было интересным и познавательным. Это самое главное.

15 коммент.:

Евгений комментирует...

Алексей, чем каждый раз многозначительно подчеркивать необязательность сертификации "у них", по сравнению как это сделано "у нас", лучше было бы обсудить причину этого и эффективность данного решения в стратегической перспективе для страны. Америке то нет необходимости поддерживать своих производителей СЗИ... Понятно, что не хочется оплачивать эту поддержку из своего кармана, но как иначе?

Сергей Борисов комментирует...

Алексей, на счет схем сертификации.
У нас тоже могут сертифицироваться крупные партии и вся серия. И ответственность за это лежит на производителе.
Но так как производители забивают (ждут повышение спроса) то и сертифицировать приходится заказчику конкретные экземпляры.
Если бы крупные западное производители сертифицировали все свои серии - жить заказчикам было бы гораздо лечге.

Алексей Лукацкий комментирует...

А причина давно известна и не раз в блоге озвучивалась. Как и эффективность такого подхода для страны.

Алексей Лукацкий комментирует...

Сергей, я открою тебе тайну ;-) Западный производитель юридически не может в России сертифицировать продукцию так, как это делается на Западе. Там очень много нюансов и особенностей - российская система сертификация разрабатывалась в те времена и для таких задач, в которых иностранный вендор вообще не принимался в расчет. Сейчас ситуация поменялась, а система сертификации нет

Сергей Борисов комментирует...

Что нибудь типа - западный производитель, проводящий сертификацию, приравнивается к шпиону получившему доступ к гос.тайне?

Атаманов Г. А. комментирует...

Алексей, а нет ли у Вас информации о ценах на сертификацию аналогичных продуктов здесь и там? Интересно было бы сравнить.

Алексей Лукацкий комментирует...

Если брать цену сертификации образца, то сопоставимо; там даже чуть выше. Но там сертификации партии и единичного экземпляра в принципе нет. Поэтому получается дешевле

Алексей Лукацкий комментирует...

Сергей, нет. Просто западные компании не ведут в России коммерческой деятельности и не могут быть заявителями, тк потом некуда девать сертифицированные изделия. Вендор же в цепочке поставки отсутствует

Vitaliy Soldatov комментирует...

А что у нас с IPv6?
Неужто будут сидеть до упора в vpn L3 Ростелекома в приватных IPv4 с древними PC-based шлюзами, обеспечивающими гостовское шифрование? В этом решении гибкости столько же, сколько в змее, проглотившей палку.

У меня следующие предложения:
1. С 2013 года все госзаказы на новое программное и аппаратное обеспечение должны в себя включать пункт поддержки IPv6, за исключением IP-телефонов, так как в этой области все печально. С 2014 года все межведомственные каналы связи, организованные через публичные сети, должны быть переведены на IPv6 и новые подключения осуществлять только по IPv6. Это решит вопрос с ежегодными тендерами на vpn L3. Пусть через публичные IPv6 и любых доступных операторов делают туннели, если надо. С видеоконференцсвязью тоже пусть думают что делать.
2. Обязательным условием сертификации ФСТЭК, ФСБ межсетевых экранов, предназначенных для защиты персональных данных, должна быть поддержка IPv6.
3. Сайты госуслуг, а так же все публичные ресурсы различных ведомств, предназначенные для обработки запросов физических и юридических лиц, должны поддерживать IPv6. Проверил госуслуги (http://ipv6-test.com/validate.php) - банан.
4. Операторам предписать модернизировать биллинговые системы, СОРМ, обеспечить фильтрацию контента по IPv6.

Алексей Лукацкий комментирует...

Круто! Надо Никифорову написать. Пусть в свою стратегию 2018 вставит

Vitaliy Soldatov комментирует...

Писал 3-го числа

Vitaliy Soldatov комментирует...

Правда мотив был другой. В местном РТ жмутся выдавать блоки IPv4 адресов для ВКС в ЛПУ. Ну а под проекты модернизации ЛПУ этих кодеков понабрали горы и каждому по ТУ подрядчика подавай публичный адрес. В общем, все инновационные порывы правительства спотыкаются и падают в пике вместе с IPv4.

Flint комментирует...

1.FIPS в обязательном порядке распространяется на всех кто взаимодейсnвует с федералами.
2.Требования к ЭП и УЦ открытые. У требований к СКЗИ есть полноценные выписки с грифом дсп и без грифа вообще.
По запросу разработчикам и заказчикам высылаются любые виды выписок. Поэтому секретность требований - не проблема.
3.По требованиям к СКЗИ и ЭП сертифицируется образец или выборка из партии (по определенным классам).

Интереснее сравнить сутевую часть FIPS и наших требований к ЭП.

Алексей Лукацкий комментирует...

Ага, это наша придумка, делать выписки или выписки из выписок ;-)

Алексей Лукацкий комментирует...

Требования для разработки СКЗИ низшего класса и для коммерческого рынка имеют гриф "секретно" и приравнены к гостайне. В этом что-то есть, что-то параноидальное...