04.03.2015

Новости по сертификации средств защиты информации

Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?


Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.


ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:

  • разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
  • совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
  • совершенствование порядка сертификации средств защиты информации.

Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.


Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:

  • средств защиты виртуализации
  • BIOS (у ФСБ есть аналогичный документ)
  • операционных систем (в свое время проекты таких профилей уже были сделаны) 
  • СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
  • Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
  • Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
  • ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
  • Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
  • Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.


Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.

Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.

Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.

5 коммент.:

Евгений Родыгин комментирует...

В соответствии с
"ПОСТАНОВЛЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ" (от 26 июня 1995 г. N 608) http://goo.gl/MWg3nP

Пункт 7. Последний абзац "Изготовители должны иметь лицензию на соответствующий вид
деятельности"

Теперь вопрос: Каким это образом удалось вывести что "число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты" !!!

Это каким это импортным Изготовителям СрЗИ ФСТЭК выдал ЛИЦЕНЗИИ ?!!

Евгений Родыгин комментирует...

Ну и про порядок продления сертификатов до кучи:

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ПО ВОПРОСУ ПРОДЛЕНИЯ СРОКОВ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ НА СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЛУАТИРУЕМЫЕ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ

от 23 января 2015 г. N 240/24/223 Ссылка на ИС: http://goo.gl/3v76TZ

В ИС указано, что в соответствии с 608 и 199: «на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме»

Однако ни 608 ни 199 не содержат такого! 199 п. 3.7 говорит: «Продление срока действия сертификата может проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации. Заявитель для продления срока действия сертификата … бла бла бла»

Откуда появилось: «может быть обеспечено организацией, эксплуатирующей данные средства защиты» ?????

Возможно я ошибаюсь, но тут явная ошибка авторов ИС!

Далее о возможностях продления: если «средство защиты информации функционирует с требуемой эффективностью» — понятно о чем речь но не совсем. Условия применения и требования к среде — должны быть в документации. Если условия изменились и так применять нельзя. А если не изменились — то все работает как положено! Если речь об эффективности — то тут очень абстрактное понятие и не очень годится…

Ну и еще набор не существенных требований…

Нельзя сказать что проблемы нет, но информационным письмом она не решается.

Ссылка на ПП 608: http://goo.gl/MWg3nP Ссылка на Положение (199): http://goo.gl/rN5yCC

Евгений Родыгин комментирует...

И еще отмечу, что эффективность применения СрЗИ определяется не только техническими характеристиками самого средства но и организационными мерами и другими условиями применения. Если это так, то встает вопрос о том, продление сертификата завязано на эффективность - по сути аттестация (в новом понимании). Иными словами продление документа, характеризующего свойства СрЗИ завязано на конкретные условия применения. Если так, то почему бы не посмотреть с другой стороны - сделать то же самое в обратную сторону - приостанавливать сертификаты на основании неэффективности ;) Тут есть какой то неравноценный косяк...

Евгений Родыгин комментирует...

Вот не нравится сертификация по ТУ, типовые методики.
А вы знаете, что ТУ должно содержать и состав и схему и требования к стенду испытаний конкретного СрЗИ и порядок проверки соответствия заявленных в ТУ функций СрЗИ по пунктам "для проверки выполнения п.*** необходимо: ***" и по пунктам! А соответствие ТУ требованиям Регулятора и его нормативке проверяет федеральный орган по сертификации с привлечением органа по сертификации и ИЛ и федеральный орган внимание, Утверждает такое ТУ в котором все есть и разложено по полочкам включая особенности и условия применения СрЗИ?
Так вот сертификация на соответствие таким правильным полным и гибким ТУ - это форма к которой движутся и Общие Критерии! Может быть документ будет называться не ТУ а что то вроде ЗБ или Требования по Безопасности...

Александр Германович комментирует...

" Откуда появилось: «может быть обеспечено организацией, эксплуатирующей данные средства защиты» ????? "

Должно быть, из практики. Такой способ продления уже давно применяется в отношении СЗИ, используемых для защиты ГТ: протокол + заявка во ФСТЭК, оттуда новый сертификат.
Более того, представители ФСТЭК обещают, что сертификаты на СЗИ, выданные на соответствие "старым" тербованиям, тоже будут продляться указанным в ИС способом (например, сертификат на генератор шума, сертифицированный по ТУ, будет продлен при полученини заявки с протоколом еще на 3 года).