Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и "старые" документы ФСБ и ФСТЭК, и "новые" нормативные акты - ПП-781, ПП-330, ПП-424 и т.д. На 2011 год делался прогноз исходя из тенденций законотворческой деятельности нашего Правительства и Президента (ФЗ "О персональных данных", ФЗ "О национальной платежной системе" и т.д.), а также проектов нормативных документов ФСТЭК и ФСБ, которые находятся сейчас в стадии окончательного оформления.
Картина нерадостная, если честно. И при наличии нескольких стратегических альтернатив развития событий вероятность "ухудшения" ситуации (т.е. требований по сертификации будет больше) существенно выше, чем в либеральном сценарии.
Подписаться на:
Комментарии к сообщению (Atom)
22 коммент.:
> чем в либеральном сценарии
А чего тут странного? "Правящая партия не допустит чрезмерных проявлений либерализма" - недавно один функционер заявил. Вот только меру кто определяет? :)
Исследование будет опубликовано?
Пока нет
А в чем ухудшение ситуации в случае увеличения требований по сертификации? Это ведь хорошо - больше будет оценок средств защиты, увеличиться конкуренция и т.д. Пессимистично Вы Алексей настроены и слишком недоверчиво к регуляторам относитесь, хотя и общаетесь с ними. ;-)
To Алексей Т
Не скажу за нужность сертификации, вообще, но..
Считаю, что требования закона защищать данные (пусть популярные нынче персональные )абсолютно адекватные. А вот требование наказывать тех, кто неправильно защищает, а не тех, кто допустил утечки, абсолютно неадекватное, особенно в силу неполноты модели угроз. Другими словами, если я защищался правильно (имею сертификат) и потерял данные трех тысяч человек, то я не виноват, а если я защищал данные, но не так, как рекомендуют регуляторы, и не допустил утечки, я виноват. Вполне возможно, что после утечки данных из сертифицированных систем через инсайдера, например, сначала появятся иски от пострадавших к оператору персональных данных (строго в соответствии с законом), а потом -- от оператора к регулятору, сертифицировавшему его систему ;-)
Всё это ерунда, регулятор в нашей стране ни за что не отвечает, "живой пример" году в 2006-2007 мы нашли грубейшие ошибки в реализации ASN.1 в сертифицированном УЦ "Стандарт-УЦ". И чего ? А ничего ... контора даже не соизволила перепровести процедуру пересертификации после исправления ошибки. Судя по всему такой поворот событий (что произошло сертифицирование изделия с ошибками) даже регламентами работ не предполагается.
Алексею Т: Проблема не в самой сертификации, а в том как она реализуется в России. На Западе сертифицируется НАИМЕНОВАНИЕ изделия. В России таже фармакология тоже по НАИМЕНОВАНИЮ. А вот по ИБ мы наследуем гостайновский подход, когда сертифицируется КАЖДЫЙ ЭКЗЕМПЛЯР изделия. А теперь вспомним, что сертификация по ЗИ у нас добровольная, а ответственность за использование несертифицированных СЗИ лежит на ПОТРЕБИТЕЛЕ. Пэтому мне, как производителю СЗИ, вообще по барабану (утрирую) ;-) Меня никто не заставляет сертифицировать - пусть заказчик сам мучается. Но как порядочный производитель, я хочу снять головную боль с заказчика и сертифицировать СЗИ самостоятельно. Тем более, что во всем мире я и так это делаю. Почему бы не признать уже выданные сертификаты? Так нет. Надо все делать в России с нуля и через одно место. Я уже не говорю про количество систем сертифицикаций, непрозрачность процесса сертификации, закрытость требований по сертификации и кучу других факторов.
to tiger-66:
> Другими словами, если я защищался правильно (имею сертификат) и потерял данные трех тысяч человек, то я не виноват, а если я защищал данные, но не так, как рекомендуют регуляторы, и не допустил утечки, я виноват.
Ничего подобного - виноват в обоих случаях. Может, только степень ответственности будет меньше. А вот регулятор-"сертификатор" точно ни в чем не виноват.
> Ничего подобного - виноват в обоих случаях.
Виноват я буду в случае утечки только если на меня подадут заявление в РКН! А если никто не подаст - то ни в чем я не виноват.
Если же РКН пришел ко мне , а у меня не сертифицированные СЗИ, то я уже виноват, хоть бы у меня и не было утечек.
Я к чему вообще.. Не нужно ФСТЭК и прочим указывать КАК защищать. Надо.. если одним предложением.. чтоб не было утечек.. т.е. соблюдение конфиденциальности.
А уж оператор пусть сам решает как этого достичь.
Европейское законодательство не указывает КАК защищать и нам не надо изобретать свой путь
2 А.Лукацкий
> На Западе сертифицируется НАИМЕНОВАНИЕ изделия. В России таже фармакология тоже по НАИМЕНОВАНИЮ. А вот по ИБ мы наследуем гостайновский подход, когда сертифицируется КАЖДЫЙ ЭКЗЕМПЛЯР изделия.
А что значит наименование? Никто не заставляет сертифицировать экземпляр - если Вы производитель, сертифицируйте производство, Вам ли этого не знать? А если не производитель, то тогда только экземпляр - Вы же не производите СЗИ.
> Меня никто не заставляет сертифицировать - пусть заказчик сам мучается. Но как порядочный производитель, я хочу снять головную боль с заказчика и сертифицировать СЗИ самостоятельно.
Конечно никто Вас не заставляет сертифицировать, все абсолютно добровольно. Но как ПОТРЕБИТЕЛЬ узнает, что Ваше СЗИ соответствует требованиям (или просто выполняет ли оно свои функции)? Ваших слов в данном случае недостаточно - ВСЕ ГОВОРЯТ, и Вы говорите. :-)
> Почему бы не признать уже выданные сертификаты? Так нет. Надо все делать в России с нуля и через одно место. Я уже не говорю про количество систем сертифицикаций, непрозрачность процесса сертификации, закрытость требований по сертификации и кучу других факторов.
Систем сертификации в нашем случае всего ДВЕ, процесс сертификации установлен документами и ФСТЭК и ФСБ следят за их соблюдением. Требования по сертификации абсолютно открыты, а вот с кучей других факторов соглашусь. :-)
Все не совсем так ;-) Или точнее совсем не так.
Сертификация производства подразумевает сертификацию экземпляра и последующий контроль процесса "производства". Только вот для западных вендоров это делать непросто.
Что же касается систем сертификации, то их 7. И требования открытые только по одной из них - по ФСТЭК. ФСБшные, МОшные требования закрытые, а то и секретные.
2 Алексей
> Все не совсем так ;-) Или точнее совсем не так.
))))))))
> Сертификация производства подразумевает сертификацию экземпляра и последующий контроль процесса "производства". Только вот для западных вендоров это делать непросто.
Расскажите тогда НОУХАУ как сертифицировать по "Названию" ;-) Типа - я сделал СЗИ "межсетевой экран "НЕ ПРОПУЩУ", дайте мне сертификат на МЭ? НЕ могу понять как можно сертифицировать не изделие, а слова?
> Что же касается систем сертификации, то их 7. И требования открытые только по одной из них - по ФСТЭК. ФСБшные, МОшные требования закрытые, а то и секретные.
Опять же - ну зачем нам МО, там всё и без НАС (ВАС) хорошо, гостайна вроде как защищается. С ФСБ частично соглашусь - скрытничают наши органы безопасности. Остальные "системы сертификации" практически не существуют..
P.S. Хотя нет, система Газпромсерт вполне себе развивается, но это почти точная копия ФСТЭКовской.
> Виноват я буду в случае утечки только если на меня подадут заявление в РКН!
Нет, не только в этом. Есть другие органы. Следствие, прокуратура. Милиция, наконец. Туда тоже можно заявление подать. А нет заявления - нет и прецедента.
Но не суть - виноват-то в любом случае :)
> Расскажите тогда НОУХАУ
Да понятно все и без ноу-хау. Просто наша система из-за "кучи других нюансов" являет собой махину для обогащения, а процесс сертификации по сути - кто больше денег дал, тот круче сертификат получил. При этом не производитель, не сертифицирующий орган ни за что не отвечают:
http://anvolkov.blogspot.com/2010/09/devicelock.html
http://anvolkov.blogspot.com/2011/01/blog-post.html
Потому все и возмущаются. Если на западе чел поставил подпись о том, что он проверил, скажем, лифт на безопасность - то его первого привлекут к ответу, не дай бог что с лифтом случится и люди пострадают.
Алексей Т.: По "названию" значит, что я один раз проверил продукт и потом тот же продукт с той же версией считается сертифицированным. А у нас все не так. Можно иметь 10 идентичных продуктов с одинаковыми контрольными суммами, но на 9-ти есть голограммка, а на 10-м нет. Значит 10-й - не сертифицирован по мнению ФСТЭК.
Что касается системы сертификации ФСБ, то сейчас она становится главенствующей в России. Особенно в отношении госорганов, а также всех заказчиков применяющих криптографию, а в скором будущем, и IPS/IDS.
> системы сертификации ФСБ, то сейчас она становится главенствующей в России
Нда... Что-то я не слышал о том, что, например, в США главной системой сертификации является сертификация АНБ. ЦРУ. ФБР. Я вообще что-то не слышал о таких системах сертификации. И наверно коммерческие потребители ИБ-продуктов США тоже вряд ли о них слышали.
а сертификат на ТУ нынче для чего-нибудь годится?
К счастью в требованиях регуляторов не сказано про классы защиты. Поэтому достаточно сертификата на ТУ, чтобы выполнить требования "оценки соответствия"
еще заодно спрошу: в каких случаях сертификат НДВ должен быть?
//может в исследовании такой вопрос раскрывался.
Гостайна, КСИИ и типовые ИСПДн первого класса
"еще заодно спрошу: в каких случаях сертификат НДВ должен быть?"
РД НДВ разработано В ДОПОЛНЕНИЕ к РД СВТ и, внимание, для РД МЭ. При этом изначально при сертификациях по СВТ,МЭ требовалось обязательно проводить испытания по НДВ по соответствующему уровню контроля. Тоже самое относилось и к РД МЭ - проверки по которому не освобождали от проверок по СВТ и НДВ.
Иными словами идеология требовала обязательных испытаний по НДВ при любых сертификационных испытаниях по РД СВТ и РД МЭ.
Иными словами появление Решения ФСТЭК о сертификации чегото на соответсвие РД СВТ по 5 классу (не гостайна) подразумевало обязательные испытания НДВ по 4 уровню контроля.
В наше время рекомендую получать официальные ответы на такие вопросы. Нормативка совершенствуется и т.п.
Отправить комментарий