Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?
Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.
ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:
Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.
Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:
Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.
Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.
Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.
Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.
ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:
- разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
- совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
- совершенствование порядка сертификации средств защиты информации.
Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.
Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:
- средств защиты виртуализации
- BIOS (у ФСБ есть аналогичный документ)
- операционных систем (в свое время проекты таких профилей уже были сделаны)
- СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
- Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
- Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
- ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
- Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
- Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.
Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.
Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.
Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.
В соответствии с
ОтветитьУдалить"ПОСТАНОВЛЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ" (от 26 июня 1995 г. N 608) http://goo.gl/MWg3nP
Пункт 7. Последний абзац "Изготовители должны иметь лицензию на соответствующий вид
деятельности"
Теперь вопрос: Каким это образом удалось вывести что "число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты" !!!
Это каким это импортным Изготовителям СрЗИ ФСТЭК выдал ЛИЦЕНЗИИ ?!!
Ну и про порядок продления сертификатов до кучи:
ОтветитьУдалитьИНФОРМАЦИОННОЕ СООБЩЕНИЕ ПО ВОПРОСУ ПРОДЛЕНИЯ СРОКОВ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ НА СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЛУАТИРУЕМЫЕ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
от 23 января 2015 г. N 240/24/223 Ссылка на ИС: http://goo.gl/3v76TZ
В ИС указано, что в соответствии с 608 и 199: «на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме»
Однако ни 608 ни 199 не содержат такого! 199 п. 3.7 говорит: «Продление срока действия сертификата может проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации. Заявитель для продления срока действия сертификата … бла бла бла»
Откуда появилось: «может быть обеспечено организацией, эксплуатирующей данные средства защиты» ?????
Возможно я ошибаюсь, но тут явная ошибка авторов ИС!
Далее о возможностях продления: если «средство защиты информации функционирует с требуемой эффективностью» — понятно о чем речь но не совсем. Условия применения и требования к среде — должны быть в документации. Если условия изменились и так применять нельзя. А если не изменились — то все работает как положено! Если речь об эффективности — то тут очень абстрактное понятие и не очень годится…
Ну и еще набор не существенных требований…
Нельзя сказать что проблемы нет, но информационным письмом она не решается.
Ссылка на ПП 608: http://goo.gl/MWg3nP Ссылка на Положение (199): http://goo.gl/rN5yCC
И еще отмечу, что эффективность применения СрЗИ определяется не только техническими характеристиками самого средства но и организационными мерами и другими условиями применения. Если это так, то встает вопрос о том, продление сертификата завязано на эффективность - по сути аттестация (в новом понимании). Иными словами продление документа, характеризующего свойства СрЗИ завязано на конкретные условия применения. Если так, то почему бы не посмотреть с другой стороны - сделать то же самое в обратную сторону - приостанавливать сертификаты на основании неэффективности ;) Тут есть какой то неравноценный косяк...
ОтветитьУдалитьВот не нравится сертификация по ТУ, типовые методики.
ОтветитьУдалитьА вы знаете, что ТУ должно содержать и состав и схему и требования к стенду испытаний конкретного СрЗИ и порядок проверки соответствия заявленных в ТУ функций СрЗИ по пунктам "для проверки выполнения п.*** необходимо: ***" и по пунктам! А соответствие ТУ требованиям Регулятора и его нормативке проверяет федеральный орган по сертификации с привлечением органа по сертификации и ИЛ и федеральный орган внимание, Утверждает такое ТУ в котором все есть и разложено по полочкам включая особенности и условия применения СрЗИ?
Так вот сертификация на соответствие таким правильным полным и гибким ТУ - это форма к которой движутся и Общие Критерии! Может быть документ будет называться не ТУ а что то вроде ЗБ или Требования по Безопасности...
" Откуда появилось: «может быть обеспечено организацией, эксплуатирующей данные средства защиты» ????? "
ОтветитьУдалитьДолжно быть, из практики. Такой способ продления уже давно применяется в отношении СЗИ, используемых для защиты ГТ: протокол + заявка во ФСТЭК, оттуда новый сертификат.
Более того, представители ФСТЭК обещают, что сертификаты на СЗИ, выданные на соответствие "старым" тербованиям, тоже будут продляться указанным в ИС способом (например, сертификат на генератор шума, сертифицированный по ТУ, будет продлен при полученини заявки с протоколом еще на 3 года).