1. Особенности сертификации
современного ПО
Михаил Никулин
Директор департамента
тестирования и сертификации
2. Сертификация и лицензирование
Лицензирование – разрешение на
определённый вид деятельности.
Сертификация – процесс подтверждения
соответствия, посредством которой
независимая от изготовителя (продавца,
исполнителя) и потребителя (покупателя)
организация удостоверяет в письменной
форме (сертификат), что продукция
соответствует установленным требованиям.
2
3. Сертификация и аттестация
Сертификация продукта – процесс подтверждения
соответствия, посредством которой независимая от
изготовителя (продавца, исполнителя) и потребителя
(покупателя) организация удостоверяет в письменной
форме (Сертификат), что продукция соответствует
установленным требованиям.
Аттестация объекта информатизации – комплекс
организационно-технических мероприятий, в результате
которых посредством специального документа - "Аттестата
соответствия" подтверждается, что объект соответствует
требованиям стандартов или иных нормативно-
технических документов по безопасности информации,
утвержденных ФСТЭК России.
3
4. Законодательная база
• Конституция Российской Федерации.
• Федеральные законы.
• Указы Президента РФ.
• Постановления Правительства РФ.
• Приказы регуляторов.
• Нормативные документы регуляторов.
• Государственные стандарты.
• Отраслевые стандарты.
4
5. Обязательная или добровольная?
Положение о сертификации СЗИ:
– Обязательной сертификации подлежат средства
защиты информации, предназначенные для защиты
сведений, составляющих государственную тайну, а
также другой информации с ограниченным
доступом, подлежащей защите в соответствии с
действующим законодательством, систем
управления экологически опасными
производствами, объектами, имеющими важное
оборонное или экономическое значение…
– В остальных случаях сертификация носит
добровольный характер.
5
6. Системы обязательной
сертификации СЗИ
• Средства защиты информации
ФСТЭК России некриптографическими методами
Минобороны • Объекты ВС РФ
России
• Средства криптографической защиты
ФСБ России • ИС высших органов исполнительной власти
СВР России • Объекты зарубежных представительств РФ
6
7. Виды сертификационных
испытаний
Функциональное тестирование:
проводится на соответствие одному из руководящих
документов (например, для межсетевых экранов) или на
соответствие реальных и декларированных в документации
функциональных возможностей:
• на соответствие классу защищенности – по РД
Гостехкомиссии России (ФСТЭК России).
• на соответствие техническим условиям
• на соответствие заданию по безопасности по «Общим
критериям»
7
8. Виды сертификационных
испытаний
Анализ исходных текстов на предмет отсутствия
недекларированных возможностей:
испытания включают в себя статический анализ исходных
текстов, динамический анализ исходных текстов,
подтверждение взаимно однозначного соответствия
исходных текстов и исполняемых модулей, а также контроль
документации:
• на соответствие уровню контроля отсутствия
недекларированных возможностей (НДВ) – по РД
Гостехкомиссии России
8
9. Руководящие документы
• АС. Защита от НСД к информации. Классификация
автоматизированных систем и требования по защите
информации (1992).
• СВТ. Защита от НСД к информации. Показатели
защищенности от НСД к информации (1992).
• СВТ. Межсетевые экраны. Защита от НСД к информации.
Показатели защищенности от НСД к информации (1997).
• Защита от НСД к информации. Часть 1. Программное
обеспечение средств защиты информации. Классификация
по уровню контроля отсутствия недекларированных
возможностей (1999).
• Требования к системам обнаружения вторжений (2012).
• Требования к средствам антивирусной защиты (2012).
9
10. Требования к средствам защиты
информации
Конфиденциальная информация (в том числе ПДн):
– АС: 3Б, 2Б, 1Г и выше.
– МЭ: до 4 класса защищенности (до 3 класса – для ПДн).
– СВТ: до 5 класса защищенности.
– ПО СЗИ: до 4 уровня контроля на отсутствие НДВ.
– СОВ и САЗ: до 4 класса защиты.
Гостайна:
– АС: 3А, 2А, 1В-1А.
– МЭ: не ниже 3 класса защищенности.
– СВТ: не ниже 4 класса защищенности.
– ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ.
– СОВ и САЗ: не ниже 3 класса защиты.
10
11. Схемы проведения
сертификационных испытаний
Единичный экземпляр:
Партия:
Серийное производство:
11
12. Участники процесса сертификации
Заявитель (Оператор, Разработчик)
Заявитель (Разработчик, Производитель)
6. Сертификат 1. Заявка
Федеральный орган (ФСТЭК, ФСБ)
Федеральный Орган (ФСТЭК России)
5. Заключение 3. Материалы
для проведения
испытаний
2. Решение Орган по сертификации
4. Материалы испытаний
Испытательная лаборатория
13. Требования к участникам
сертификации
Заявитель – лицензия на деятельность по
разработке (производству) средств защиты
конфиденциальной информации.
Испытательная лаборатория – аттестат
аккредитации испытательной лаборатории.
Орган по сертификации – аттестат аккредитации
органа по сертификации.
13
15. Наш опыт
• Более 500 сертификатов в различных системах
сертификации.
• Ни одной неудачной сертификации за всю
историю работы компании. Продукты, которые не
смогут получить сертификат, отсекаются на этапе
предварительного анализа.
• Список продуктов, прошедших процедуру
сертификации доступен в официальном реестре
на сайте www.fstec.ru, по другим системам
сертификации списки не подлежат
опубликованию.
15
16. Особенности сертификации ПО
иностранного производства
Виталий Вареница
Заместитель директора департамента
тестирования и сертификации
17. РД Защита от НСД. Часть 1. Программное
обеспечение СЗИ. Классификация по
уровню контроля отсутствия НДВ
18. Основные сложности с
зарубежными продуктами
• Недоверенный стенд проведения испытаний.
• Исходный код в 99% случаях не передается на территорию РФ.
• Проблема с русскоязычной документацией.
• Проблемы с контролем полноты ИТ.
• Проблемы с контролем соответствия ИТ ЗК.
• Агрессивные условия работы на территории заказчика.
• Высокая вероятность наличия НДВ и ПЗ в продукте.
• Сложности организационной структуры ролей в зарубежных
компаниях.
• Неукоснительное выполнение политик безопасности разработчиком.
• Необходимость дополнительного контроля отчетных материалов ИЛ.
• Языковой барьер.
19. Остались вопросы о сертификации?
Спросите у нас!
Михаил Никулин Виталий Вареница
Директор департамента тестирования Заместитель директора департамента
и сертификации тестирования и сертификации
m.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru
(495)223-23-92, доб.310 (495)223-23-92, доб.307