Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Новости по сертификации средств защиты информации

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Опубликовано в:
Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?


Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.


ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:

  • разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
  • совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
  • совершенствование порядка сертификации средств защиты информации.

Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.


Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:

  • средств защиты виртуализации
  • BIOS (у ФСБ есть аналогичный документ)
  • операционных систем (в свое время проекты таких профилей уже были сделаны) 
  • СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
  • Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
  • Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
  • ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
  • Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
  • Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.
 

Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.

Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.

Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.