Помните рубрику "Приколы нашего городка" в программе "Городок"? Готовя тут один документ, составил список приколов и в "нашем" городке, имя которому "сертификация средств защиты информации в РФ". Надо заметить, что ко многим из них мы (разработчики, продавцы, потребители, органы по сертификации, испытательные лаборатории, регуляторы) настолько привыкли (или закрываем глаза), что даже не задумываемся над сложившейся практикой сертификации средств защиты, которая почти не менялась с серидины 90-х годов, когда появились 608-е Постановление Правительства и 199-й приказ. Но под влиянием внешних факторов задумался и вот что получилось (в немного юмористической и местами утрированной форме):
Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.
- Только в РФ регулятор выдает сертификат на СЗИ даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность
- Только в России продавец может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор
- Только в России потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив лицензионный договор
- Только в России, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak ;)
- Только в России за сертификацию средств защиты (исключая ГТ) несет ответственность НЕ их производитель, а потребитель ;)
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам.
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить.
- Только в России производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию.
- Только в России качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата.
- Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.
- Только в России сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов.
- Только в России в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности.
- Только в России сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям.
- Только в России срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством.
- Только в России условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков.
- Только в России специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза.
- Только в России пройдя всего лишь по 10-20% всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей.
Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.
27 коммент.:
Испытания бывают разные.
Потребитель должен иметь возможность, отнести определенные продукты на испытания, экспертизу и проверить что за поделку ему подсунули! Это логично. Разве нет?
Так что непонятно возмущение по пунктам 1, 2, 3.
Хотя я поддерживаю печаль Алексея по большинству пунктов, считаю что в нужно было выбирать "корректные тезисы" а не "яркие фразы для прессы"
Например, по пункту 11, где написано и кому кто обязан предоставлять исходные коды?
Смотрю в РД 114. Там совсем другие фразы.
В свою очередь я бы поменял некоторые тезисы на более актуальные для меня:
"В России потребители и интеграторы устав от ожидания и бездействия производителей вынуждены сами подавать СЗИ на сертификацию"
"В России только крупные иностранные вендоры не подают на сертификацию серии. Российские производители либо сертифицируют серию либо вообще не говорят о сертификации"
"В России некоторые крупные иностранные вендоры говорят что не стесняются обманывать своих покупателей говоря что все их решения сертифицированы, хотя эти продукты сертифицированы Заказчиками за собственные средства, в единичных экземплярах и результаты их работы не могут быть использованы другими заказчиками"
Сергей, непросто объяснить крупному зарубежному вендору:
- зачем сертифицировать, если это добровольно и никто не несет ответственности ни за отказ от сертификации, ни за некорректную сертификацию
- зачем сертифицировать то, что уже сертифицировано по ОК в мире
- зачем сертифицировать каждый экземпляр
- зачем сертифицировать, если отвечает потребитель.
Достаточно внести изменения в систему сертификации и ряд нормативных актов и крупные зарубежные вендоры будут только рады жить по прозрачным и четким правилам. Для вендора важна управляемость и контролируемость процесса.
Сергей, по 1,2,3 - бывает потребитель злоупотребляет...
А правила четкие и понятные нужны всем участникам.
Если оставить некоторые юридически вопросы юристам,
то объяснить - проблем нет:
1. Для ряда систем в России сертифицированные СЗИ обязательны.
2. Объем таких систем составляет X от общего числа новых систем. Отказавшить сертифицировть продукты вендор потеряет эту часть рынка.
3. Часть Y существующих клиентов откажется от имеющихся решений вендора, если решения не будут сертифицированы самим вендором
Если бы я объяснял своему зарубежному руководству, то использовал бы что-то такое и X=1/2 Y=1/6
Евгений, нельзя сказать что правил нет.
Они есть - это постановления правительства 608, 303, 266, ФЗ о гостехрегулировании, нормативные акты регуляторов.
http://fstec.ru/dokumenty-po-sertifikatsii-tzi
Их надо совершенствовать, кто же спорит. Так-же можно сказать что текущий порядок сертификации неэфективен.
Но при этом, одни сертифицирую уже сейчас, а другие ждут светлого будущего.
> Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.
Тут, кстати, 2 момента:
1. Стрясти ТУ (если сильно постараться) все же можно, потому что нередко пишут "при условии соблюдения требований, изложенных в ТУ" - кстати, сокрытие ТУ характерно не только для сертификации СрЗИ (поэтому-то мы так не доверяем продуктам, соответствующим каким-то ТУ :) )
2. В ОК есть 2 ЗБ - внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО". И это вполне узаконенная практика (что может иной раз и логично, хотя я неодобряю).
п.6 часто встречается. Сущая правда!
Сергей! А я где говорю что их нет...
2 doom:
"В ОК есть 2 ЗБ - внешнее и внутреннее"
Можно ссылку на раздел действующих в РФ НМД где такое разделение регламентировано...
Сергей, вот когда будешь работать в зарубежной компании, тогда и сможешь говорить, что проблем объяснить нет ;-)
Если бы где-нибудь было написано, что сертификация является обязательной не только для ГТ, вопросов бы (у вендора) не было. А еще лучше переложили бы всю ответственность на него (как в любой стране мира) - вопрос сразу бы решился
Как можно переложить ответственность на вендора?
Это придется вендору по каждой поставке узнавать для защиты какой информации приобретается продукт.
>ОФИЦИАЛЬНО рекомендует сделать >jailbreak ;)
неправда же, рекомендуют получить доступ к устройству.
2 Евгений
А причем тут НМД РФ? Речь об общих критериях...
Кстати, в крайней версии я беглым поиском уже не нашел ничего про публичное и приватное задания по безопасности - возможно, отказались уже.
2 doom:
- потому что мы за РФ говорим...
- и у нас, не секрет действует ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий", далее по тексту РД – Общие критерии (ОК).
Фин: там ЯВНО написано jailbreak
Сергей, а причем тут для какой информации? У тебя есть требования по ГТ и требования под все остальное. Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу. Беру и делаю. Все документы принадлежат мне. Сертифицированные обновления скачиваются с нашего сайта. С испытательными лабораториями мы взаимодействуем сами и оперативно их уведомляем обо всех обновлениях. Сами же решаем вопросы, возникающие в процессе сертификации. Как это может сделать потребитель или поставщик?
Причем посмотри на проблему не в контексте первичной сертификации - тут проблем особых нет (кроме нарушения прав на интеллектуальную собственность). Проблема проявляется при обновлении сертифицированного средства - о них ни поставщик, ни потребитель может вообще не знать.
Алексей Лукацкий пишет...
>Фин: там ЯВНО написано jailbreak
Алексей, передо мной сейчас нет первоисточника, поправьте меня если я ошибаюсь, написано как то так: "если к устройству не получен доступ (не сделан джейлбрейк), получите доступ к устройству."
То есть, слово jailbreak действительно написано, но только как один из вариантов уже сделанной разблокировки, а не как инструкция эту разблокировку получить.
2Фин: Суть то не в слове, а в идее нарушения лицензионного договора и значит закона для использования сертифицированного продукта. "Супер-сигнализация Мерседес+!!! Если у вас нет мерседеса, то украдите его и вы сможете установить нашу сертифицированную сигнализацию!" :)
> - зачем сертифицировать то, что уже сертифицировано по ОК в мире
Даже в рамках CCRA все звери равны, но некоторые равнее. Австрийский, финский или израильский национальный сертификат в остальных странах CCRA не котируется.
> - зачем сертифицировать каждый экземпляр
В CCRA действует абсолютно такой же принцип фиксации контрольных сумм.
> - зачем сертифицировать, если отвечает потребитель
В Корее, Италии или Франции потребитель не купит несертифицированное решение (если, конечно, вендор не доминирует на рынке).
>> В ОК есть 2 ЗБ - внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО"
Такого раздела ЗБ нет и не было ни в одной из версий CC. Была и есть "Краткая спецификация объекта оценки" - 3-4 страницы текста максимум.
Есть формальная политика безопасности и полуформальные функциональная спецификация и описание модульной структуры. Это документация, предоставляемая испытательной лаборатории при сертификации на ОУД6 и 7.
> Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу.
Это одинаково работает и у них, и у нас.
Да, для "сертифицированного производства" ФСТЭК требует лицензию на ТЗКИ. Но точно так же, если ты как зарубежный вендор сертифицируешься на ОУД3 в стране CCRA, ты должен пройти выездной аудит со стороны испытательной лаборатории и местного ФСТЭК.
Да, у нас есть перегибы (у них это требуется для ОУД 3 и выше - у нас для всех, у них сертификаты требуются госведомствам - у нас всем). Но это именно перегибы, а не принципиальная разница.
Кстати, в схемах сертификации CCRA органу по сертификации абсолютно фиолетово, что там написано в лицензионном соглашении - он его не смотрит и в испытательную лабораторию не передается. Заметь, это я сейчас описываю немецкий орднунг!
И податься на сертификацию что у них, что у нас может кто угодно (и вендор, и дистрибьютор, и потребитель - в заявке на сертификацию есть чекбокс "Заявитель является разработчиком продукта".
Фин: Буквально написано следующее: "Если устройство не разблокировано (не выполнен джейлбрейк), разблокируйте его.
После выполнения джейлбрейка смените пароль администратора устройства (root)."
malotavr: А там тоже голограммки клеют, прописывают в сертификат серийные номера и требуют копии сертификата с печатью? ;-)
Продолжаю список приколов:
- Только в России регулятор (он же Федеральный орган) может выдать "свое" заключение на заключение органа по сертификации (регулятором же и аккредитованным)
-Только в России регулятор (он же Федеральный орган) может выдать отрицательное заключение на положительное заключение органа по сертификации (регулятором же и аккредитованным)и положительное заключение испытательной лаборатории (регулятором же и аккредитованной)
- Только в России регулятор может готовить заключение более 6 месяцев на результаты испытаний, которые длились 3 месяца
-Только в России регулятор с таким качеством работы может существовать еще долгие годы...
Отправить комментарий