SlideShare a Scribd company logo

Certification

C
cnpo
Technology
1 of 19
Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
Сертификация и лицензирование Лицензирование – разрешение на определённый вид деятельности. Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
Сертификация и аттестация Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям. Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно- технических документов по безопасности информации, утвержденных ФСТЭК России. 3
Законодательная база • Конституция Российской Федерации. • Федеральные законы. • Указы Президента РФ. • Постановления Правительства РФ. • Приказы регуляторов. • Нормативные документы регуляторов. • Государственные стандарты. • Отраслевые стандарты. 4
Обязательная или добровольная? Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 5
Системы обязательной сертификации СЗИ • Средства защиты информации ФСТЭК России некриптографическими методами Минобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
Виды сертификационных испытаний Функциональное тестирование: проводится на соответствие одному из руководящих документов (например, для межсетевых экранов) или на соответствие реальных и декларированных в документации функциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
Виды сертификационных испытаний Анализ исходных текстов на предмет отсутствия недекларированных возможностей: испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
Руководящие документы • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). • Требования к системам обнаружения вторжений (2012). • Требования к средствам антивирусной защиты (2012). 9
Требования к средствам защиты информации Конфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты. Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
Схемы проведения сертификационных испытаний Единичный экземпляр: Партия: Серийное производство: 11
Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель) 6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний 2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
Требования к участникам сертификации Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. Орган по сертификации – аттестат аккредитации органа по сертификации. 13
О компании ЗАО «НПО «Эшелон» 14
Наш опыт • Более 500 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
Основные сложности с зарубежными продуктами • Недоверенный стенд проведения испытаний. • Исходный код в 99% случаях не передается на территорию РФ. • Проблема с русскоязычной документацией. • Проблемы с контролем полноты ИТ. • Проблемы с контролем соответствия ИТ ЗК. • Агрессивные условия работы на территории заказчика. • Высокая вероятность наличия НДВ и ПЗ в продукте. • Сложности организационной структуры ролей в зарубежных компаниях. • Неукоснительное выполнение политик безопасности разработчиком. • Необходимость дополнительного контроля отчетных материалов ИЛ. • Языковой барьер.
Остались вопросы о сертификации? Спросите у нас! Михаил Никулин Виталий Вареница Директор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификации m.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru (495)223-23-92, доб.310 (495)223-23-92, доб.307

Recommended

Licensing
LicensingLicensing
Licensing
cnpo
 
Audit intro
Audit introAudit intro
Audit intro
cnpo
 
Politics
PoliticsPolitics
Politics
cnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 

Recommended

Licensing
LicensingLicensing
Licensing
cnpo
 
Audit intro
Audit introAudit intro
Audit intro
cnpo
 
Politics
PoliticsPolitics
Politics
cnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
Training center "Echelon"
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?
Nicole Hennig
 
Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integers
Erik Tjersland
 
Javascript 1
Javascript 1Javascript 1
Javascript 1
Andrey Dolinin
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модель
nezloi
 

More Related Content

What's hot

тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
 

What's hot (18)

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 

Viewers also liked

Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integers
Erik Tjersland
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модель
nezloi
 
The steps stills
The steps stillsThe steps stills
The steps stills
hma1
 
Edinicy izmereniya informacii
Edinicy izmereniya informaciiEdinicy izmereniya informacii
Edinicy izmereniya informacii
csn1311
 
Black christmas opening
Black christmas openingBlack christmas opening
Black christmas opening
hma1
 

Viewers also liked (19)

It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?
 
Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integers
 
Javascript 1
Javascript 1Javascript 1
Javascript 1
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модель
 
Ajudas porfetárias
Ajudas porfetáriasAjudas porfetárias
Ajudas porfetárias
 
Input, output and processor
Input, output and processorInput, output and processor
Input, output and processor
 
The steps stills
The steps stillsThe steps stills
The steps stills
 
Edinicy izmereniya informacii
Edinicy izmereniya informaciiEdinicy izmereniya informacii
Edinicy izmereniya informacii
 
Black christmas opening
Black christmas openingBlack christmas opening
Black christmas opening
 
ADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast AsiaADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast Asia
 
Emotional Intelligence
Emotional IntelligenceEmotional Intelligence
Emotional Intelligence
 
K2 Partnering Solutions
K2 Partnering SolutionsK2 Partnering Solutions
K2 Partnering Solutions
 
Util ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenalUtil ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenal
 
Erasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summaryErasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summary
 
Filières inclusives : Moteur des filières inclusives
Filières inclusives : Moteur des filières inclusivesFilières inclusives : Moteur des filières inclusives
Filières inclusives : Moteur des filières inclusives
 
20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference Briefing20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference Briefing
 
Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance
 
Director vyrobn 11_2014
Director vyrobn 11_2014Director vyrobn 11_2014
Director vyrobn 11_2014
 
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
 

Similar to Certification

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
Ignat Dydyshko
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
Expolink
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 

Similar to Certification (20)

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Аттестация
АттестацияАттестация
Аттестация
 
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
 
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 

More from cnpo

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
cnpo
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
cnpo
 
Net graph
Net graphNet graph
Net graph
cnpo
 
Net topology
Net topology Net topology
Net topology
cnpo
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
cnpo
 
Certification
CertificationCertification
Certification
cnpo
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
cnpo
 
Siem
SiemSiem
Siem
cnpo
 
P dn docs
P dn docsP dn docs
P dn docs
cnpo
 
Social engineering
Social engineeringSocial engineering
Social engineering
cnpo
 
Rubicon
RubiconRubicon
Rubicon
cnpo
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
cnpo
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
cnpo
 

More from cnpo (17)

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Net graph
Net graphNet graph
Net graph
 
Net topology
Net topology Net topology
Net topology
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
 
Certification
CertificationCertification
Certification
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
 
Siem
SiemSiem
Siem
 
P dn docs
P dn docsP dn docs
P dn docs
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Rubicon
RubiconRubicon
Rubicon
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
 

Recently uploaded

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 

Recently uploaded (9)

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 

Certification

  • 1. Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
  • 2. Сертификация и лицензирование Лицензирование – разрешение на определённый вид деятельности. Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
  • 3. Сертификация и аттестация Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям. Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно- технических документов по безопасности информации, утвержденных ФСТЭК России. 3
  • 4. Законодательная база • Конституция Российской Федерации. • Федеральные законы. • Указы Президента РФ. • Постановления Правительства РФ. • Приказы регуляторов. • Нормативные документы регуляторов. • Государственные стандарты. • Отраслевые стандарты. 4
  • 5. Обязательная или добровольная? Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 5
  • 6. Системы обязательной сертификации СЗИ • Средства защиты информации ФСТЭК России некриптографическими методами Минобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
  • 7. Виды сертификационных испытаний Функциональное тестирование: проводится на соответствие одному из руководящих документов (например, для межсетевых экранов) или на соответствие реальных и декларированных в документации функциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
  • 8. Виды сертификационных испытаний Анализ исходных текстов на предмет отсутствия недекларированных возможностей: испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
  • 9. Руководящие документы • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). • Требования к системам обнаружения вторжений (2012). • Требования к средствам антивирусной защиты (2012). 9
  • 10. Требования к средствам защиты информации Конфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты. Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
  • 11. Схемы проведения сертификационных испытаний Единичный экземпляр: Партия: Серийное производство: 11
  • 12. Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель) 6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний 2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
  • 13. Требования к участникам сертификации Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. Орган по сертификации – аттестат аккредитации органа по сертификации. 13
  • 14. О компании ЗАО «НПО «Эшелон» 14
  • 15. Наш опыт • Более 500 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
  • 16. Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
  • 17. РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
  • 18. Основные сложности с зарубежными продуктами • Недоверенный стенд проведения испытаний. • Исходный код в 99% случаях не передается на территорию РФ. • Проблема с русскоязычной документацией. • Проблемы с контролем полноты ИТ. • Проблемы с контролем соответствия ИТ ЗК. • Агрессивные условия работы на территории заказчика. • Высокая вероятность наличия НДВ и ПЗ в продукте. • Сложности организационной структуры ролей в зарубежных компаниях. • Неукоснительное выполнение политик безопасности разработчиком. • Необходимость дополнительного контроля отчетных материалов ИЛ. • Языковой барьер.
  • 19. Остались вопросы о сертификации? Спросите у нас! Михаил Никулин Виталий Вареница Директор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификации m.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru (495)223-23-92, доб.310 (495)223-23-92, доб.307