• Save
Certification
Upcoming SlideShare
Loading in...5
×
 

Certification

on

  • 1,175 views

 

Statistics

Views

Total Views
1,175
Views on SlideShare
251
Embed Views
924

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 924

http://s3r.ru 922
http://subscribe.ru 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Certification Certification Presentation Transcript

    • Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
    • Сертификация и лицензированиеЛицензирование – разрешение наопределённый вид деятельности.Сертификация – процесс подтверждениясоответствия, посредством которойнезависимая от изготовителя (продавца,исполнителя) и потребителя (покупателя)организация удостоверяет в письменнойформе (сертификат), что продукциясоответствует установленным требованиям. 2
    • Сертификация и аттестацияСертификация продукта – процесс подтверждениясоответствия, посредством которой независимая отизготовителя (продавца, исполнителя) и потребителя(покупателя) организация удостоверяет в письменнойформе (Сертификат), что продукция соответствуетустановленным требованиям.Аттестация объекта информатизации – комплексорганизационно-технических мероприятий, в результатекоторых посредством специального документа - "Аттестатасоответствия" подтверждается, что объект соответствуеттребованиям стандартов или иных нормативно-технических документов по безопасности информации,утвержденных ФСТЭК России. 3
    • Законодательная база• Конституция Российской Федерации.• Федеральные законы.• Указы Президента РФ.• Постановления Правительства РФ.• Приказы регуляторов.• Нормативные документы регуляторов.• Государственные стандарты.• Отраслевые стандарты. 4
    • Обязательная или добровольная?Положение о сертификации СЗИ:– Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение…– В остальных случаях сертификация носит добровольный характер. 5
    • Системы обязательной сертификации СЗИ • Средства защиты информацииФСТЭК России некриптографическими методамиМинобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
    • Виды сертификационных испытанийФункциональное тестирование:проводится на соответствие одному из руководящихдокументов (например, для межсетевых экранов) или насоответствие реальных и декларированных в документациифункциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
    • Виды сертификационных испытанийАнализ исходных текстов на предмет отсутствиянедекларированных возможностей:испытания включают в себя статический анализ исходныхтекстов, динамический анализ исходных текстов,подтверждение взаимно однозначного соответствияисходных текстов и исполняемых модулей, а также контрольдокументации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
    • Руководящие документы• АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992).• СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992).• СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997).• Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999).• Требования к системам обнаружения вторжений (2012).• Требования к средствам антивирусной защиты (2012). 9
    • Требования к средствам защиты информацииКонфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты.Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
    • Схемы проведения сертификационных испытанийЕдиничный экземпляр:Партия:Серийное производство: 11
    • Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель)6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
    • Требования к участникам сертификацииЗаявитель – лицензия на деятельность поразработке (производству) средств защитыконфиденциальной информации.Испытательная лаборатория – аттестатаккредитации испытательной лаборатории.Орган по сертификации – аттестат аккредитацииоргана по сертификации. 13
    • О компании ЗАО «НПО «Эшелон» 14
    • Наш опыт• Более 500 сертификатов в различных системах сертификации.• Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа.• Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
    • Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
    • РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
    • Основные сложности с зарубежными продуктами• Недоверенный стенд проведения испытаний.• Исходный код в 99% случаях не передается на территорию РФ.• Проблема с русскоязычной документацией.• Проблемы с контролем полноты ИТ.• Проблемы с контролем соответствия ИТ ЗК.• Агрессивные условия работы на территории заказчика.• Высокая вероятность наличия НДВ и ПЗ в продукте.• Сложности организационной структуры ролей в зарубежных компаниях.• Неукоснительное выполнение политик безопасности разработчиком.• Необходимость дополнительного контроля отчетных материалов ИЛ.• Языковой барьер.
    • Остались вопросы о сертификации? Спросите у нас!Михаил Никулин Виталий ВареницаДиректор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификацииm.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru(495)223-23-92, доб.310 (495)223-23-92, доб.307