14.02.2014

Конференция ФСТЭК. Часть 3. Сертификация средств защиты информации

Еще один документ, который во вторник вечером ФСТЭК выложила на свой сайт, - это рекомендации по обновлению сертифицированных средств защиты. Насущнейший документ, необходимость появления которого назрела давно. Именно ему и другим аспектам сертификации средств защиты информации был посвящен доклад Шевцова Дмитрия Николаевича и Кубарева Алексея Валентиновича из ФСТЭК.

Тезисно все выглядит следующим образом:
  • Сейчас разрабатывает проект новых требований по сертификации средств защиты информации, не составляющей государственную тайну. Слухи про этот документ ходят давно и я даже про него уже писал 3 года назад, но с его принятием что-то затягивают. Оно и понятно - слишком много всего накручено в текущей системе сертификации и этот клубок расплести очень непросто - все равно кому-то на хвост да наступишь.

  • Проект этих требований будет широко обсуждаться экспертами. Принять этот документ планируется в этом году.
  • Планируется детализировать порядок сертификации с указанием сроков каждого этапа, а также исключить потребителя из процесса обновления сертификатов по истечении сроков их действия. Правда, пока это желание ФСТЭК и как его реализовать не до конца понятно. Видимо, при условии, что разработчик/производитель будет в состоянии взять весь процесс на себя. В целом тема непростая - ждем документа.
  • Еще одной проблемой сертификации является нежелание испытательных лабораторий делится наработанными материалами, что приводит к удорожанию сертификации, т.к. каждая сертификация начинается по сути заново - с разработки комплекта документов. ФСТЭК решила эту проблему решить, выпустив набор типовых программ и методик сертификационных испытаний. 
  • Пока упомянутое выше новое положение о сертификации не принято, ФСТЭК решила разработать промежуточный методический документ (в статусе рекомендаций) по обновлению сертифицированных средств защиты информации. Тема наболевшая и часто звучащая на многих мероприятиях. 
  • Документ вводит классификацию типов обновлений - их 4. Обновление базы сигнатур атак/вирусов, обновление, устраняющее уязвимости в системе защиты, обновление, влияющее на функционал средства защиты, и обновление, не влияющее на функционал системы защиты. Для каждого из типов обновлений предусмотрена своя процедура их "накатки", проверки испытательной лабораторией, доведения информации об обновлении до потребителя и т.п.
  • Хотя Женя Родыгин его и раскритиковал вдрызг (а вот его предложения по улучшению), я считаю этот документ очень важным и полезным. Особенно для нас, иностранных разработчиков, которые зачастую вообще не знают о сертификации своей продукции, которую наши партнеры или вовсе потребители на свой страх и риск подают на сертификацию.
  • Предлагаемый документ должен наладить этот процесс, хотя всех проблем он, конечно, не решит. Например, проблему сертификации на отсутствие НДВ в продукции иностранного происхождения, разрабатываемой за пределами РФ. В остальном же документ объясняет, что установка патча, устраняющего уязвимость в системе защите, не делает сразу сертификат недействительным. 
  • Этот документ по обновлению не догма, а скорее рекомендации разработчикам средств защиты по включению процесса обновления в эксплуатационную и конструкторскую документацию. Возможно, в упомянутом выше новом положении о сертификации эта тема будет также расписана, но уже в виде обязательных требований.
  • Как следует из 17-го приказа (п.17.4) обновление средства защиты информации не требует переаттестации ГИС.
  • Упоминаемый в документе доверенный канал обновления еще будет обсуждаться. Как и тема гарантированного доведения информации до потребителей. Вообще это не финальный проект, а скорее демонстрация направления, в котором движется регулятор и приглашение к обсуждению этого документа. Предложения надо прислать до 20 февраля.
  • ФСТЭК поставила перед собой непростую задачу по разработке требований (РД) к широкому спектру средств защиты, упомянутых в 17-м приказе. По мере выхода таких требований планируется постепенно отказываться от сертификации средств защиты по ТУ. Вопрос остается с встроенными в прикладные системы механизмы защиты, но не думаю, что запрет на сертификацию по ТУ будет абсолютным. Все-таки в прикладных системах сертификация может быть только на ТУ (отдельного готовящееся ЗБ). 
  • Планов по разработке новых РД у ФСТЭК много. В части "традиционных" средств защиты - это следующие:
  • Надо отметить, что РД по СВТ в 2015-м году планируют отменить, а РД на МСЭ заменят новым, попутно предложив еще и РД по средствам управления информационными потоками (коммутаторы, маршрутизаторы и т.п.).
  • Также ФСТЭК планирует разработку целого ряда новых документов по борьбе с утечками по техническим каналам.
  • В докладе Димы Гусева из Инфотекс прозвучала информация о том, что Инфотекс обсуждает с 8-м Центром ФСБ проекты аналогичных документов по обновлению сертифицированных СКЗИ и способов доведения информации об этом до потребителя. Но деталей по данной инициативе, как и проектов данных документов, больше нет. Все-таки любые документы ФСБ - это тайна за семью печатями.
3-я часть подошла к концу и в 4-й, заключительной части рассказа о конференции ФСТЭК мы поговорим о защите виртуализации и безопасном программировании.