Сертификация что "нового"

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()
Опубликовано в:

После изветной Экспертной оценки члена Экспертного совета но российскому программному обеспечению при Мннкомсвязи России
от «18» октября 2016 г.

Решил я заглянуть в тему. и Вот на что мы посмотрим:

  1. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ. ПОСТАНОВЛЕНИЕ от 26 июня 1995 г. N 608 О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ (https://goo.gl/AcBk01)
  2. ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (от 27 октября 1995 г. N 199) (https://goo.gl/w3SauV)
  3. Сертификат соответствия ФСТЭК России № 3465 (https://goo.gl/UmjIZO)

Теперь, следите за руками (цитаты косые):

ПП 608:

  1. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.

    • Все это про Гостайну - или не только? Ибо средства контроля в сфере ГТ должы применяться только сертифицированные...
    • Я не очень понимаю, что такое "в которых они реализованы" - а вы?
    • Ну и про обязаловку все четко но только в сфере ГТ.
  2. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).

    • кто же эти участники: 

      • федеральные органы по сертификации (ФСТЭК, ФСБ...)
      • Межведомственная комиссия (функции у ФСТЭК) (кстати: В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.) Все системы включая МО РФ должны согласовываться - но вы это видели?
      • органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
      • испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
      • изготовители - продавцы, исполнители продукции. Вот тут запомните. Кто такие Изготовители - продавцы и Исполнители продукции.

Следующий раздел привожу целиком:

  1. 7. Изготовители: производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены. Изготовители должны иметь лицензию на соответствующий вид деятельности. 

    • Обратите внимание, на необходимость Изготовителю иметь лицензию.
    • Тут некоторый диссонанс с озвученными выше ролями "изготовители - продавцыисполнители продукции.". Как их сопоставить с Изготовителями - я не очень понимаю - может быть вы поясните.

Обратите внимание на п. 8:

  1. 8. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку

    • практически сложилось что в Федеральный орган а не в просто Орган но нам важно что это шаг для Изготовителя

​​Положение 199:

  1. 1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств по требованиям безопасности информации, а также государственного контроля и надзора за сертификацией и сертифицированными средствами защиты информации. Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.

    • речь опять же про обязательную сертификацию и гостайну
  2. 1.6. Обязательной сертификации подлежат средства защиты информации <**>, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам. Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении N 1 к настоящему Положению. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.

    • Вот тут мы поплыли... оказывается не только гостайны!
    • и ... "средства общего применения" - это за рамками СрЗИ?
    • Добровольная осуществляется по инициативе

      • разработчика - вы заметили что такой роли в ПП608 нет
      • изготовителя - в ПП608 ЕСТЬ!
      • поставщика - вы заметили что такой роли в ПП608 нет
      • потребителя - вы заметили что такой роли в ПП608 нет
  3. Разработчики, изготовители и поставщики средств защиты информации должны иметь соответствующую лицензию Гостехкомиссии России.

    • Это важнейший момент!

Теперь посмотрим на сертификат: (он взят для примера в связи с известной экспертизой ибо таких сейчас множество.) и давайте разложим Пазл на "608" и "199" 

  1. Сертификат готворит о том что:

    • Заявитель - ЗАО "АЛТЭКС..." (роль Производитель(изготовитель?) - должен иметь лицензию!(608,199))
    • Разработчик - ЗАО "Смарт..." (роль Разработчик - должен иметь лицензию!(199)) 
    • ИЛ - ЦБИ
    • Орган - Эшелон

Что же пишет Эксперт 

Программное обеспечение соответствует / не соответствует требованиям, установленным пунктом 5 правилам формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных, утвержденным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236.
Основание: АКЦИОНЕРНОЕ ОБЩЕСТВО "СМАРТ ЛАИН ИНК" не имеет лицензии на разработку средств защиты конфиденциальной информации или не предоставило необходимую информацию, подтверждающую наличие лицензии.

- OK а как сертификат тогда получен?

Если у вас есть сомнения в том, что тут все идеально четко - направляйте вопросы как указано тут http://fstec.ru/kontakty

 

Оцените материал:
Total votes: 114
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.