Заметка об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ

Аватар пользователя IvanBoytsov
Автор: Бойцов Иван, ООО "Код Безопасности"
(1)
()

Не раз уже приходилось слышать, что получившие недавно сертификаты на СОВ и АВЗИ продукты нельзя использовать в ИСПДн с высоким уровнем защищенности ПДн из-за отсутствия в сертификатах указания на проведение испытаний по уровню контроля отсутствия НДВ.

С одной стороны, если смотреть на 21-й приказ ФСТЭК, это действительно так:

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Но текущая позиция ФСТЭК такова - в требованиях к СОВ и АВЗИ для каждого класса указан требуемый оценочный уровень доверия и уровень контроля отсутствия НДВ (уровни контроля соответствуют классу защиты, для 5-6 классов - требование не предъявляется).

При прохождении сертификационных испытаний проверки на отсутствие НДВ выполняются в полном объеме, в соответствии с "РД НДВ", однако по каким-то своим причинам в сертификат как отдельный тип испытаний результат данных проверок не вписываются. Таким образом, при наличии сертификата на СОВ/АВЗИ продукт считается прошедшим испытания на отсутствие НДВ по соответствующему классу, однако напрямую это нигде не написано.

Но, так как документального подтверждения факта прохождение проверки на отсутствие НДВ нет, как нет и официальных разъяснений от регулятора, использование СОВ и АВЗИ без сертификата на НДВ остается на страх и риск оператора.

Возможно, моя информация по данному вопросу является не полной, приглашаю к дискуссии в комментариях.

Оцените материал:
Total votes: 511
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя e.v.rodygin

Логика проста: если скажем написано, что продукт соответствует СВТ-5, то это подразумевает проверки контроля целостности. Но это не выделяется, так как это входит в набор требований класса. 

В нашем случае в требования САВЗ включили элементы и указали преемственность НДВ. Этим самым включили НДВ как элемент. Соответственно элемент не указывается. 

Да, на первый взгляд непривычно. Когда непревычно кто то может воспользоваться. Но информационное письмо нужно не про включение элементов для специалистов а для исключения разрыва между требованием сертификации по РД НДВ и новой парадигмой...

up
7 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.