Pages - Menu

Страницы

20.1.11

Число требований по сертификации средств защиты возрастет

Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и "старые" документы ФСБ и ФСТЭК, и "новые" нормативные акты - ПП-781, ПП-330, ПП-424 и т.д. На 2011 год делался прогноз исходя из тенденций законотворческой деятельности нашего Правительства и Президента (ФЗ "О персональных данных", ФЗ "О национальной платежной системе" и т.д.), а также проектов нормативных документов ФСТЭК и ФСБ, которые находятся сейчас в стадии окончательного оформления.


Картина нерадостная, если честно. И при наличии нескольких стратегических альтернатив развития событий вероятность "ухудшения" ситуации (т.е. требований по сертификации будет больше) существенно выше, чем в либеральном сценарии.

22 комментария:

  1. > чем в либеральном сценарии

    А чего тут странного? "Правящая партия не допустит чрезмерных проявлений либерализма" - недавно один функционер заявил. Вот только меру кто определяет? :)

    ОтветитьУдалить
  2. Исследование будет опубликовано?

    ОтветитьУдалить
  3. А в чем ухудшение ситуации в случае увеличения требований по сертификации? Это ведь хорошо - больше будет оценок средств защиты, увеличиться конкуренция и т.д. Пессимистично Вы Алексей настроены и слишком недоверчиво к регуляторам относитесь, хотя и общаетесь с ними. ;-)

    ОтветитьУдалить
  4. To Алексей Т
    Не скажу за нужность сертификации, вообще, но..
    Считаю, что требования закона защищать данные (пусть популярные нынче персональные )абсолютно адекватные. А вот требование наказывать тех, кто неправильно защищает, а не тех, кто допустил утечки, абсолютно неадекватное, особенно в силу неполноты модели угроз. Другими словами, если я защищался правильно (имею сертификат) и потерял данные трех тысяч человек, то я не виноват, а если я защищал данные, но не так, как рекомендуют регуляторы, и не допустил утечки, я виноват. Вполне возможно, что после утечки данных из сертифицированных систем через инсайдера, например, сначала появятся иски от пострадавших к оператору персональных данных (строго в соответствии с законом), а потом -- от оператора к регулятору, сертифицировавшему его систему ;-)

    ОтветитьУдалить
  5. Всё это ерунда, регулятор в нашей стране ни за что не отвечает, "живой пример" году в 2006-2007 мы нашли грубейшие ошибки в реализации ASN.1 в сертифицированном УЦ "Стандарт-УЦ". И чего ? А ничего ... контора даже не соизволила перепровести процедуру пересертификации после исправления ошибки. Судя по всему такой поворот событий (что произошло сертифицирование изделия с ошибками) даже регламентами работ не предполагается.

    ОтветитьУдалить
  6. Алексею Т: Проблема не в самой сертификации, а в том как она реализуется в России. На Западе сертифицируется НАИМЕНОВАНИЕ изделия. В России таже фармакология тоже по НАИМЕНОВАНИЮ. А вот по ИБ мы наследуем гостайновский подход, когда сертифицируется КАЖДЫЙ ЭКЗЕМПЛЯР изделия. А теперь вспомним, что сертификация по ЗИ у нас добровольная, а ответственность за использование несертифицированных СЗИ лежит на ПОТРЕБИТЕЛЕ. Пэтому мне, как производителю СЗИ, вообще по барабану (утрирую) ;-) Меня никто не заставляет сертифицировать - пусть заказчик сам мучается. Но как порядочный производитель, я хочу снять головную боль с заказчика и сертифицировать СЗИ самостоятельно. Тем более, что во всем мире я и так это делаю. Почему бы не признать уже выданные сертификаты? Так нет. Надо все делать в России с нуля и через одно место. Я уже не говорю про количество систем сертифицикаций, непрозрачность процесса сертификации, закрытость требований по сертификации и кучу других факторов.

    ОтветитьУдалить
  7. to tiger-66:

    > Другими словами, если я защищался правильно (имею сертификат) и потерял данные трех тысяч человек, то я не виноват, а если я защищал данные, но не так, как рекомендуют регуляторы, и не допустил утечки, я виноват.

    Ничего подобного - виноват в обоих случаях. Может, только степень ответственности будет меньше. А вот регулятор-"сертификатор" точно ни в чем не виноват.

    ОтветитьУдалить
  8. > Ничего подобного - виноват в обоих случаях.

    Виноват я буду в случае утечки только если на меня подадут заявление в РКН! А если никто не подаст - то ни в чем я не виноват.
    Если же РКН пришел ко мне , а у меня не сертифицированные СЗИ, то я уже виноват, хоть бы у меня и не было утечек.
    Я к чему вообще.. Не нужно ФСТЭК и прочим указывать КАК защищать. Надо.. если одним предложением.. чтоб не было утечек.. т.е. соблюдение конфиденциальности.
    А уж оператор пусть сам решает как этого достичь.
    Европейское законодательство не указывает КАК защищать и нам не надо изобретать свой путь

    ОтветитьУдалить
  9. 2 А.Лукацкий
    > На Западе сертифицируется НАИМЕНОВАНИЕ изделия. В России таже фармакология тоже по НАИМЕНОВАНИЮ. А вот по ИБ мы наследуем гостайновский подход, когда сертифицируется КАЖДЫЙ ЭКЗЕМПЛЯР изделия.

    А что значит наименование? Никто не заставляет сертифицировать экземпляр - если Вы производитель, сертифицируйте производство, Вам ли этого не знать? А если не производитель, то тогда только экземпляр - Вы же не производите СЗИ.

    > Меня никто не заставляет сертифицировать - пусть заказчик сам мучается. Но как порядочный производитель, я хочу снять головную боль с заказчика и сертифицировать СЗИ самостоятельно.

    Конечно никто Вас не заставляет сертифицировать, все абсолютно добровольно. Но как ПОТРЕБИТЕЛЬ узнает, что Ваше СЗИ соответствует требованиям (или просто выполняет ли оно свои функции)? Ваших слов в данном случае недостаточно - ВСЕ ГОВОРЯТ, и Вы говорите. :-)

    > Почему бы не признать уже выданные сертификаты? Так нет. Надо все делать в России с нуля и через одно место. Я уже не говорю про количество систем сертифицикаций, непрозрачность процесса сертификации, закрытость требований по сертификации и кучу других факторов.

    Систем сертификации в нашем случае всего ДВЕ, процесс сертификации установлен документами и ФСТЭК и ФСБ следят за их соблюдением. Требования по сертификации абсолютно открыты, а вот с кучей других факторов соглашусь. :-)

    ОтветитьУдалить
  10. Все не совсем так ;-) Или точнее совсем не так.

    Сертификация производства подразумевает сертификацию экземпляра и последующий контроль процесса "производства". Только вот для западных вендоров это делать непросто.

    Что же касается систем сертификации, то их 7. И требования открытые только по одной из них - по ФСТЭК. ФСБшные, МОшные требования закрытые, а то и секретные.

    ОтветитьУдалить
  11. 2 Алексей
    > Все не совсем так ;-) Или точнее совсем не так.
    ))))))))

    > Сертификация производства подразумевает сертификацию экземпляра и последующий контроль процесса "производства". Только вот для западных вендоров это делать непросто.

    Расскажите тогда НОУХАУ как сертифицировать по "Названию" ;-) Типа - я сделал СЗИ "межсетевой экран "НЕ ПРОПУЩУ", дайте мне сертификат на МЭ? НЕ могу понять как можно сертифицировать не изделие, а слова?

    > Что же касается систем сертификации, то их 7. И требования открытые только по одной из них - по ФСТЭК. ФСБшные, МОшные требования закрытые, а то и секретные.

    Опять же - ну зачем нам МО, там всё и без НАС (ВАС) хорошо, гостайна вроде как защищается. С ФСБ частично соглашусь - скрытничают наши органы безопасности. Остальные "системы сертификации" практически не существуют..
    P.S. Хотя нет, система Газпромсерт вполне себе развивается, но это почти точная копия ФСТЭКовской.

    ОтветитьУдалить
  12. > Виноват я буду в случае утечки только если на меня подадут заявление в РКН!

    Нет, не только в этом. Есть другие органы. Следствие, прокуратура. Милиция, наконец. Туда тоже можно заявление подать. А нет заявления - нет и прецедента.

    Но не суть - виноват-то в любом случае :)

    ОтветитьУдалить
  13. > Расскажите тогда НОУХАУ

    Да понятно все и без ноу-хау. Просто наша система из-за "кучи других нюансов" являет собой махину для обогащения, а процесс сертификации по сути - кто больше денег дал, тот круче сертификат получил. При этом не производитель, не сертифицирующий орган ни за что не отвечают:

    http://anvolkov.blogspot.com/2010/09/devicelock.html

    http://anvolkov.blogspot.com/2011/01/blog-post.html

    Потому все и возмущаются. Если на западе чел поставил подпись о том, что он проверил, скажем, лифт на безопасность - то его первого привлекут к ответу, не дай бог что с лифтом случится и люди пострадают.

    ОтветитьУдалить
  14. Алексей Т.: По "названию" значит, что я один раз проверил продукт и потом тот же продукт с той же версией считается сертифицированным. А у нас все не так. Можно иметь 10 идентичных продуктов с одинаковыми контрольными суммами, но на 9-ти есть голограммка, а на 10-м нет. Значит 10-й - не сертифицирован по мнению ФСТЭК.

    Что касается системы сертификации ФСБ, то сейчас она становится главенствующей в России. Особенно в отношении госорганов, а также всех заказчиков применяющих криптографию, а в скором будущем, и IPS/IDS.

    ОтветитьУдалить
  15. > системы сертификации ФСБ, то сейчас она становится главенствующей в России

    Нда... Что-то я не слышал о том, что, например, в США главной системой сертификации является сертификация АНБ. ЦРУ. ФБР. Я вообще что-то не слышал о таких системах сертификации. И наверно коммерческие потребители ИБ-продуктов США тоже вряд ли о них слышали.

    ОтветитьУдалить
  16. а сертификат на ТУ нынче для чего-нибудь годится?

    ОтветитьУдалить
  17. К счастью в требованиях регуляторов не сказано про классы защиты. Поэтому достаточно сертификата на ТУ, чтобы выполнить требования "оценки соответствия"

    ОтветитьУдалить
  18. еще заодно спрошу: в каких случаях сертификат НДВ должен быть?
    //может в исследовании такой вопрос раскрывался.

    ОтветитьУдалить
  19. Гостайна, КСИИ и типовые ИСПДн первого класса

    ОтветитьУдалить
  20. Этот комментарий был удален автором.

    ОтветитьУдалить
  21. "еще заодно спрошу: в каких случаях сертификат НДВ должен быть?"

    РД НДВ разработано В ДОПОЛНЕНИЕ к РД СВТ и, внимание, для РД МЭ. При этом изначально при сертификациях по СВТ,МЭ требовалось обязательно проводить испытания по НДВ по соответствующему уровню контроля. Тоже самое относилось и к РД МЭ - проверки по которому не освобождали от проверок по СВТ и НДВ.

    Иными словами идеология требовала обязательных испытаний по НДВ при любых сертификационных испытаниях по РД СВТ и РД МЭ.

    Иными словами появление Решения ФСТЭК о сертификации чегото на соответсвие РД СВТ по 5 классу (не гостайна) подразумевало обязательные испытания НДВ по 4 уровню контроля.

    В наше время рекомендую получать официальные ответы на такие вопросы. Нормативка совершенствуется и т.п.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.