13.5.13

Приколы нашего "Городка" или немного об особенностях отечественной системы сертификации средств защиты информации

Помните рубрику "Приколы нашего городка" в программе "Городок"? Готовя тут один документ, составил список приколов и в "нашем" городке, имя которому "сертификация средств защиты информации в РФ". Надо заметить, что ко многим из них мы (разработчики, продавцы, потребители, органы по сертификации, испытательные лаборатории, регуляторы) настолько привыкли (или закрываем глаза), что даже не задумываемся над сложившейся практикой сертификации средств защиты, которая почти не менялась с серидины 90-х годов, когда появились 608-е Постановление Правительства и 199-й приказ. Но под влиянием внешних факторов задумался и вот что получилось (в немного юмористической и местами утрированной форме):
  1. Только в РФ регулятор выдает сертификат на СЗИ даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность 
  2. Только в России продавец может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор
  3. Только в России потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив лицензионный договор
  4. Только в России, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak ;)
  5. Только в России за сертификацию средств защиты (исключая ГТ) несет ответственность НЕ их производитель, а потребитель ;)
  6. Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам.
  7. Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить.
  8. Только в России производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию.
  9. Только в России качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата.
  10. Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя. 
  11. Только в России сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов. 
  12. Только в России в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности. 
  13. Только в России сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям.
  14. Только в России срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством. 
  15. Только в России условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков. 
  16. Только в России специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза. 
  17. Только в России пройдя всего лишь по 10-20% всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей. 
Сейчас только ФСТЭК затеяла обновление своего старого "Положения о сертификации средств защиты информации по требованиям безопасности информации" (199-й приказ). Уже разработан проект положения об оценке соответствия продукции (работ, услуг), используемой для защиты информации ограниченного доступа, а также процессов ее разработки, производства, монтажа, наладки, эксплуатации и хранения. Но желаемых изменений в этом проекте нет ;-( Зато явно прописано, что теперь оценка соответствия будет распространяться не только на традиционные средства защиты, но и на "средства, в которых они реализованы, т.е. многофункциональные программные, технические, программно-технические средства, которые могут использоваться в целях защиты информации, а также объекты информатизации". Зато срок действия сертификата (при единичных экземплярах и партии) становится бессрочным ;-) Может быть и остальные недостатки действующей системы исправят?

Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.

27 коммент.:

Сергей Борисов комментирует...

Испытания бывают разные.

Потребитель должен иметь возможность, отнести определенные продукты на испытания, экспертизу и проверить что за поделку ему подсунули! Это логично. Разве нет?

Так что непонятно возмущение по пунктам 1, 2, 3.

Хотя я поддерживаю печаль Алексея по большинству пунктов, считаю что в нужно было выбирать "корректные тезисы" а не "яркие фразы для прессы"

Например, по пункту 11, где написано и кому кто обязан предоставлять исходные коды?
Смотрю в РД 114. Там совсем другие фразы.

В свою очередь я бы поменял некоторые тезисы на более актуальные для меня:

"В России потребители и интеграторы устав от ожидания и бездействия производителей вынуждены сами подавать СЗИ на сертификацию"

"В России только крупные иностранные вендоры не подают на сертификацию серии. Российские производители либо сертифицируют серию либо вообще не говорят о сертификации"

"В России некоторые крупные иностранные вендоры говорят что не стесняются обманывать своих покупателей говоря что все их решения сертифицированы, хотя эти продукты сертифицированы Заказчиками за собственные средства, в единичных экземплярах и результаты их работы не могут быть использованы другими заказчиками"









Алексей Лукацкий комментирует...

Сергей, непросто объяснить крупному зарубежному вендору:
- зачем сертифицировать, если это добровольно и никто не несет ответственности ни за отказ от сертификации, ни за некорректную сертификацию
- зачем сертифицировать то, что уже сертифицировано по ОК в мире
- зачем сертифицировать каждый экземпляр
- зачем сертифицировать, если отвечает потребитель.

Достаточно внести изменения в систему сертификации и ряд нормативных актов и крупные зарубежные вендоры будут только рады жить по прозрачным и четким правилам. Для вендора важна управляемость и контролируемость процесса.

Анонимный комментирует...

Сергей, по 1,2,3 - бывает потребитель злоупотребляет...
А правила четкие и понятные нужны всем участникам.

Сергей Борисов комментирует...

Если оставить некоторые юридически вопросы юристам,
то объяснить - проблем нет:

1. Для ряда систем в России сертифицированные СЗИ обязательны.
2. Объем таких систем составляет X от общего числа новых систем. Отказавшить сертифицировть продукты вендор потеряет эту часть рынка.
3. Часть Y существующих клиентов откажется от имеющихся решений вендора, если решения не будут сертифицированы самим вендором

Если бы я объяснял своему зарубежному руководству, то использовал бы что-то такое и X=1/2 Y=1/6




Сергей Борисов комментирует...

Евгений, нельзя сказать что правил нет.
Они есть - это постановления правительства 608, 303, 266, ФЗ о гостехрегулировании, нормативные акты регуляторов.
http://fstec.ru/dokumenty-po-sertifikatsii-tzi

Их надо совершенствовать, кто же спорит. Так-же можно сказать что текущий порядок сертификации неэфективен.

Но при этом, одни сертифицирую уже сейчас, а другие ждут светлого будущего.

doom комментирует...

> Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.

Тут, кстати, 2 момента:
1. Стрясти ТУ (если сильно постараться) все же можно, потому что нередко пишут "при условии соблюдения требований, изложенных в ТУ" - кстати, сокрытие ТУ характерно не только для сертификации СрЗИ (поэтому-то мы так не доверяем продуктам, соответствующим каким-то ТУ :) )
2. В ОК есть 2 ЗБ - внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО". И это вполне узаконенная практика (что может иной раз и логично, хотя я неодобряю).

SK комментирует...

п.6 часто встречается. Сущая правда!

Анонимный комментирует...

Сергей! А я где говорю что их нет...

Анонимный комментирует...

2 doom:
"В ОК есть 2 ЗБ - внешнее и внутреннее"

Можно ссылку на раздел действующих в РФ НМД где такое разделение регламентировано...

Алексей Лукацкий комментирует...

Сергей, вот когда будешь работать в зарубежной компании, тогда и сможешь говорить, что проблем объяснить нет ;-)

Если бы где-нибудь было написано, что сертификация является обязательной не только для ГТ, вопросов бы (у вендора) не было. А еще лучше переложили бы всю ответственность на него (как в любой стране мира) - вопрос сразу бы решился

Сергей Борисов комментирует...

Как можно переложить ответственность на вендора?

Это придется вендору по каждой поставке узнавать для защиты какой информации приобретается продукт.

Фин комментирует...

>ОФИЦИАЛЬНО рекомендует сделать >jailbreak ;)
неправда же, рекомендуют получить доступ к устройству.

doom комментирует...

2 Евгений

А причем тут НМД РФ? Речь об общих критериях...
Кстати, в крайней версии я беглым поиском уже не нашел ничего про публичное и приватное задания по безопасности - возможно, отказались уже.

Анонимный комментирует...

2 doom:
- потому что мы за РФ говорим...
- и у нас, не секрет действует ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий", далее по тексту РД – Общие критерии (ОК).

Алексей Лукацкий комментирует...

Фин: там ЯВНО написано jailbreak

Алексей Лукацкий комментирует...

Сергей, а причем тут для какой информации? У тебя есть требования по ГТ и требования под все остальное. Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу. Беру и делаю. Все документы принадлежат мне. Сертифицированные обновления скачиваются с нашего сайта. С испытательными лабораториями мы взаимодействуем сами и оперативно их уведомляем обо всех обновлениях. Сами же решаем вопросы, возникающие в процессе сертификации. Как это может сделать потребитель или поставщик?

Причем посмотри на проблему не в контексте первичной сертификации - тут проблем особых нет (кроме нарушения прав на интеллектуальную собственность). Проблема проявляется при обновлении сертифицированного средства - о них ни поставщик, ни потребитель может вообще не знать.

Фин комментирует...

Алексей Лукацкий пишет...
>Фин: там ЯВНО написано jailbreak

Алексей, передо мной сейчас нет первоисточника, поправьте меня если я ошибаюсь, написано как то так: "если к устройству не получен доступ (не сделан джейлбрейк), получите доступ к устройству."
То есть, слово jailbreak действительно написано, но только как один из вариантов уже сделанной разблокировки, а не как инструкция эту разблокировку получить.

Евгений комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

2Фин: Суть то не в слове, а в идее нарушения лицензионного договора и значит закона для использования сертифицированного продукта. "Супер-сигнализация Мерседес+!!! Если у вас нет мерседеса, то украдите его и вы сможете установить нашу сертифицированную сигнализацию!" :)

malotavr комментирует...
Этот комментарий был удален автором.
malotavr комментирует...

> - зачем сертифицировать то, что уже сертифицировано по ОК в мире

Даже в рамках CCRA все звери равны, но некоторые равнее. Австрийский, финский или израильский национальный сертификат в остальных странах CCRA не котируется.

> - зачем сертифицировать каждый экземпляр

В CCRA действует абсолютно такой же принцип фиксации контрольных сумм.

> - зачем сертифицировать, если отвечает потребитель

В Корее, Италии или Франции потребитель не купит несертифицированное решение (если, конечно, вендор не доминирует на рынке).

malotavr комментирует...

>> В ОК есть 2 ЗБ - внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО"

Такого раздела ЗБ нет и не было ни в одной из версий CC. Была и есть "Краткая спецификация объекта оценки" - 3-4 страницы текста максимум.

Есть формальная политика безопасности и полуформальные функциональная спецификация и описание модульной структуры. Это документация, предоставляемая испытательной лаборатории при сертификации на ОУД6 и 7.

malotavr комментирует...
Этот комментарий был удален автором.
malotavr комментирует...

> Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу.

Это одинаково работает и у них, и у нас.

Да, для "сертифицированного производства" ФСТЭК требует лицензию на ТЗКИ. Но точно так же, если ты как зарубежный вендор сертифицируешься на ОУД3 в стране CCRA, ты должен пройти выездной аудит со стороны испытательной лаборатории и местного ФСТЭК.

Да, у нас есть перегибы (у них это требуется для ОУД 3 и выше - у нас для всех, у них сертификаты требуются госведомствам - у нас всем). Но это именно перегибы, а не принципиальная разница.

Кстати, в схемах сертификации CCRA органу по сертификации абсолютно фиолетово, что там написано в лицензионном соглашении - он его не смотрит и в испытательную лабораторию не передается. Заметь, это я сейчас описываю немецкий орднунг!

И податься на сертификацию что у них, что у нас может кто угодно (и вендор, и дистрибьютор, и потребитель - в заявке на сертификацию есть чекбокс "Заявитель является разработчиком продукта".

Алексей Лукацкий комментирует...

Фин: Буквально написано следующее: "Если устройство не разблокировано (не выполнен джейлбрейк), разблокируйте его.

После выполнения джейлбрейка смените пароль администратора устройства (root)."

Алексей Лукацкий комментирует...

malotavr: А там тоже голограммки клеют, прописывают в сертификат серийные номера и требуют копии сертификата с печатью? ;-)

Лицензиат комментирует...

Продолжаю список приколов:
- Только в России регулятор (он же Федеральный орган) может выдать "свое" заключение на заключение органа по сертификации (регулятором же и аккредитованным)
-Только в России регулятор (он же Федеральный орган) может выдать отрицательное заключение на положительное заключение органа по сертификации (регулятором же и аккредитованным)и положительное заключение испытательной лаборатории (регулятором же и аккредитованной)
- Только в России регулятор может готовить заключение более 6 месяцев на результаты испытаний, которые длились 3 месяца
-Только в России регулятор с таким качеством работы может существовать еще долгие годы...