19.1.12

И вновь об оценке соответствия средств защиты

Пункт 4 ст.5 ФЗ-184 "О техническом регулировании" в прежней редакции звучал следующим образом "Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации". Все было предельно четко и понятно. Требования по сертификации средств защиты устанавливаются только Правительством РФ и никем иным.

30 ноября 2011 года незамеченный многими ФЗ-347 внес малюсенькое такое изменение, которое коренным образом меняет ситуацию с сертификацией средств защиты, ужесточая ее (или давая такую возможность). Новый текст звучит так: "Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти". Жирным выделено внесенное изменение.

Вот тут и вспомнишь поневоле старый мультфильм про Виктора Перестукина "Страна невыученных уроков" и задачу "где поставить запятую в фразе "казнить нельзя помиловать". Незначительная поправка и ситуация меняется в худшую сторону - регуляторы теперь имеют право самостоятельно, без оглядки на Правительство выпускать собственные нормативные требования по сертификации средств защиты.

33 коммент.:

Anik1966 комментирует...

Несмотря на то что нововведение напрямую относится к объектам атомной энергетики очень реально может много чего поменять в подходах регуляторов.
Очень тонкая формулировочка с толстыми последствиями.

Анонимный комментирует...

Разница в установлении тех или иных норм правительством или иными органами заключается только в подписи - автор то в любом случае именно этот орган, в чьем ведении находится этот вопрос, ну и естественно увеличивается время на принятие. А лучше это или хуже вопрос сложный. С одной стороны лишний фильтр, с другой - время. А главная проблема - компетентность.

Алексей Лукацкий комментирует...

Главная проблема - использование норм 20-тилетней давности, применимых к гостайне

doom комментирует...

Стоить отметить, что и такая редакция пятой статьи появилась тихой сапой в конце 2009 (?) года. Раньше исключение было вообще только для гос. тайны.

Анонимный комментирует...

2 "Главная проблема - использование норм 20-тилетней давности, применимых к гостайне"
Причем не понятна упертость регулятов, ладно неоткуда было бы содрать, практик - стопицот.

Алексей Лукацкий комментирует...

Так раньше эта статья только для оборонной продукции вообще была. Ни о каких средства защиты информации.

Евгений комментирует...

Алексей, ну вы же писали ранее (когда тема ПДн только развивалась), что сертификация от ФСТЭК нелигитимна, только от Правительства РФ. Они отработали ваше замечание, чем же вы недовольны? :)

Анонимный комментирует...

2 Алексей "Главная проблема - использование норм 20-тилетней давности"
- а что из требований 5 класса РД СВТ например не устраивает ? конкретно? http://goo.gl/QXEgH подискутируем ?!

Алексей Лукацкий комментирует...

Меня не устраивает:
1. Подход к сертификации
2. Подход к лицензированию
3. Подход к аттестации.

Алексей Лукацкий комментирует...

Евгению Родыгину: Ты бы еще спросил, что меня не устраивает в слове "защита" ;-)

Претензий к буквам русского языка из которых составлен РД по СВТ у меня, кстати, нет.

ЗЫ. В 92-м году у меня претензий к РД по СВТ тоже не было. Но сейчас на дворе 2012-й.

Алексей Лукацкий комментирует...

И, кстати, хочешь претензий?.. Я тебе дам. Даже к 6-му классу. Берем обычный планшетный компьютер iPad2, обрабатывающий конфиденциальную информацию.

Как для этого устройства выполнить самое первое требование для 6-го класса СВТ - Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Анонимный комментирует...

1 - подход к сертификации (ну чем тебя общие критерии не устраивают например ?)
2 - другие доки уже не 20ти летней давности...
3 - а я не про буквы русского языка - я про требования/нормы... РД СВТ которому как раз 20 лет...

Похоже конкретных претензий нет ?
На дворе 12 год, но указанные мной требования вполне хороши и они не устанавливают требования к конкретным механизмам и реализации - тут полная свобода разработчика...

Я не против претензий!!! - Надоела демагогия - есть конкретная претензия - сформулируй, ткни носом в строчку, обоснуй что не так и предложи как надо !!!

Анонимный комментирует...

Ура !!!
Отвечаю как выполнить требование!!!
1 - реализовать в ipad 2 дискреционный механизм. Разработчику необходимо видимо программно внести в изделие механизм, который это будет выполнять!

Если в изделии нет механизмов реализующих это, то в чем проблема - пусть реализовывают !!!

Анонимный комментирует...

Если в ipad2 нет таких механизмов то разграничение доступа не реализовать !

Анонимный комментирует...

И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами...
Мысль о защищенности таких поделок и обработке конфы странна... система закрытая и т.п.

Анонимный комментирует...

И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами...
Мысль о защищенности таких поделок и обработке конфы странна... система закрытая и т.п.

Анонимный комментирует...

Ага... САМ ЛУКАЦКИЙ не может сформулировать и обосновать недостатки о которых трубит блогосфера... ;)

Алексей Лукацкий комментирует...

Отвечаю:
1. Общие критерии меня устраивают. Меня не устраивает, что Россия не признает сертифкаты по Общим критериям, выданным в других странах, и требует повторной сертификации тут, у себя. При этом сертифицируется не наименование изделия, а конкретные экземпляры.

2. Другие доки "не 20-тилетней давности" базируются на подходах 20-тилетней давности для ГТ.

3. Теперь по поводу iPad. Мне насрать, что думает там себе ФСТЭК. Я владелец системы и я сам принимаю риск того, что Джобс с Возняком заинтересуются моей конфой (к слову сказать, я в это верю меньше, чем в то, что моей конфой для своих задач заинтересуются ФСТЭК и ФСБ). И мне достаточно того, что у меня будет 10-тисимвольный пароль на вход в iPad. Но ФСТЭК почему-то от меня требует дискретку на любом устройстве, обрабатывающем конфу, даже на однопользовательском. С какого перепугу?

Анонимный комментирует...

1. США признает сертификаты выданные ФСТЭК по ОК ?

2. Все документы базируются на чем то предыдущем ;)

3. Про дискету - плиз ссылку на НМД или РД ?

Алексей Лукацкий комментирует...

1. Так проблема не в США, а в том, что Россия отказалась ратифицировать ОК и вступать в список стран, которые признают сертификаты друг друга.

3. Не дискета, а дискретка.

Анонимный комментирует...

1. ну мы недозрели вступать причин может быть многа ;) но я поржу если в белый дом поставят стража сертифицированного по ОК ФСТЭК даже если ратифицируем... они же не ратифицируют :))

2. (сорри уже вижу что хочу видеть :) )

дык как правило есть админ и юзер... ну да бог с ним 1 юзер...
что если 1 юзер уже не дискретка? Просто права полные...

Анонимный комментирует...

Да... если совсем нетерпится - применяй ОК с обоснованием в ЗБ отсутствие дискретки... какие проблемы ?

Алексей Лукацкий комментирует...

Ну вот примерно такие же объяснения были у ФСТЭК на всех совещаниях по персданным. Типа все же нормально и все решаемо. Вот наши лицензиаты - они помогут вам все решить.

Вопросов к тебе больше не имею.

Анонимный комментирует...

В последнее время лицензиатам сложно обосновать ту или иную позицию юридической службе Заказчика...
Фразы типа "сложилась такая практика" или "это мнение Регулятора" уже не катят... и в этом есть существенная проблема...

Алексей Лукацкий комментирует...

Именно поэтому нужно официально спрашивать и получать официальные ответы.

Анонимный комментирует...

Канефна ;)

doom комментирует...

2 Евгений Родыгин
Своеобразная постановка вопроса про РД ФСТЭК...
Они устарели хотя бы потому, что предъявляют функциональные требования к отдельным СВТ - когда в 90-ые ГТК эти документы "писала", то во всем мире уже поняли порочность такого подхода - системы слишком разные, контекст игнорировать нельзя, предположения среды и актуальные угрозы игнорировать нельзя и т.п.

И я уж молчу о том, что в документах есть куча явных ошибок (в том числе пунктуационных!), которые за 20 лет никто и исправить-то не удосужился...

Анонимный комментирует...

2 doom
Да я не против... Просто у нас много "экспертов" воспринимают эти требования как требования к механизмам. А они по сути на более высоком уровне абстракции и не предъявляют требования по реализации.
Они интерпритируемы.
Для замены требований в 2002 введены общие критерии - пользуемся ?!
Но при этом можно натянуть РД СВТ на любое изделие ;)

doom комментирует...

2 Евгений Родыгин
Не соглашусь. Четко написано:

1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).
Конкретные перечни показателей определяют классы защищенности СВТ.
Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.
Каждый показатель описывается совокупностью требований.
Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.
1.3. Требования к показателям реализуются с помощью программно-технических средств.
Совокупность всех средств защиты составляет комплекс средств защиты.


Ну а про Общие критерии - куда их ввели? :)
Где упоминание о них в том же 58-м приказе например?
Тема была классная, развивалась достаточно активно, а потом все свернулось. Даже S-terra перестала сертифицироваться по ОК, потому что толку от этого ноль - везде надо 1Г, К1 и прочие классификации ортогональные общим критериям...

Анонимный комментирует...

не согласитесь с чем ?

Анонимный комментирует...

"Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем."

doom комментирует...

Ну а ниже-то - как раз речь о том, что показатели - это наборы требований, а требования должны реализовываться программно-техническими средствами, которые составляют комплекс средств защиты СВТ...
Т.е. эти требования именно что к механизмам (как еще трактовать "программно-технические"?).

Тут, кстати, всплывает параллельно проблема нечеткой терминологической базы. Для того же СВТ я просто не смог в свое время найти однозначного определения.

Анонимный комментирует...

Для СВТ в самом РД см. выше цитату.

См. требования для 5 класса - не пишут они как должно быть реализовано... пишут что...