Особенности сертификации    современного ПО             Михаил Никулин             Директор департамента                 т...
Сертификация и лицензированиеЛицензирование – разрешение наопределённый вид деятельности.Сертификация – процесс подтвержде...
Сертификация и аттестацияСертификация продукта – процесс подтверждениясоответствия, посредством которой независимая отизго...
Законодательная база•   Конституция Российской Федерации.•   Федеральные законы.•   Указы Президента РФ.•   Постановления ...
Обязательная или добровольная?Положение о сертификации СЗИ:– Обязательной сертификации подлежат средства  защиты информаци...
Системы обязательной         сертификации СЗИ               • Средства защиты информацииФСТЭК России     некриптографическ...
Виды сертификационных              испытанийФункциональное тестирование:проводится на соответствие одному из руководящихдо...
Виды сертификационных               испытанийАнализ исходных текстов на предмет отсутствиянедекларированных возможностей:и...
Руководящие документы• АС. Защита от НСД к информации. Классификация  автоматизированных систем и требования по защите  ин...
Требования к средствам защиты          информацииКонфиденциальная информация (в том числе ПДн):   –   АС: 3Б, 2Б, 1Г и выш...
Схемы проведения   сертификационных испытанийЕдиничный экземпляр:Партия:Серийное производство:                11
Участники процесса сертификации                 Заявитель (Оператор, Разработчик)                Заявитель (Разработчик, П...
Требования к участникам              сертификацииЗаявитель – лицензия на деятельность поразработке (производству) средств ...
О компании ЗАО «НПО «Эшелон»          14
Наш опыт• Более 500 сертификатов в различных системах  сертификации.• Ни одной неудачной сертификации за всю  историю рабо...
Особенности сертификации ПО иностранного производства              Виталий Вареница              Заместитель директора деп...
РД Защита от НСД. Часть 1. Программное  обеспечение СЗИ. Классификация по    уровню контроля отсутствия НДВ
Основные сложности с          зарубежными продуктами• Недоверенный стенд проведения испытаний.• Исходный код в 99% случаях...
Остались вопросы о сертификации?              Спросите у нас!Михаил Никулин                       Виталий ВареницаДиректор...
Upcoming SlideShare
Loading in …5
×

Certification

1,254 views
1,199 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,254
On SlideShare
0
From Embeds
0
Number of Embeds
963
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Certification

  1. 1. Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
  2. 2. Сертификация и лицензированиеЛицензирование – разрешение наопределённый вид деятельности.Сертификация – процесс подтверждениясоответствия, посредством которойнезависимая от изготовителя (продавца,исполнителя) и потребителя (покупателя)организация удостоверяет в письменнойформе (сертификат), что продукциясоответствует установленным требованиям. 2
  3. 3. Сертификация и аттестацияСертификация продукта – процесс подтверждениясоответствия, посредством которой независимая отизготовителя (продавца, исполнителя) и потребителя(покупателя) организация удостоверяет в письменнойформе (Сертификат), что продукция соответствуетустановленным требованиям.Аттестация объекта информатизации – комплексорганизационно-технических мероприятий, в результатекоторых посредством специального документа - "Аттестатасоответствия" подтверждается, что объект соответствуеттребованиям стандартов или иных нормативно-технических документов по безопасности информации,утвержденных ФСТЭК России. 3
  4. 4. Законодательная база• Конституция Российской Федерации.• Федеральные законы.• Указы Президента РФ.• Постановления Правительства РФ.• Приказы регуляторов.• Нормативные документы регуляторов.• Государственные стандарты.• Отраслевые стандарты. 4
  5. 5. Обязательная или добровольная?Положение о сертификации СЗИ:– Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение…– В остальных случаях сертификация носит добровольный характер. 5
  6. 6. Системы обязательной сертификации СЗИ • Средства защиты информацииФСТЭК России некриптографическими методамиМинобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
  7. 7. Виды сертификационных испытанийФункциональное тестирование:проводится на соответствие одному из руководящихдокументов (например, для межсетевых экранов) или насоответствие реальных и декларированных в документациифункциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
  8. 8. Виды сертификационных испытанийАнализ исходных текстов на предмет отсутствиянедекларированных возможностей:испытания включают в себя статический анализ исходныхтекстов, динамический анализ исходных текстов,подтверждение взаимно однозначного соответствияисходных текстов и исполняемых модулей, а также контрольдокументации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
  9. 9. Руководящие документы• АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992).• СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992).• СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997).• Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999).• Требования к системам обнаружения вторжений (2012).• Требования к средствам антивирусной защиты (2012). 9
  10. 10. Требования к средствам защиты информацииКонфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты.Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
  11. 11. Схемы проведения сертификационных испытанийЕдиничный экземпляр:Партия:Серийное производство: 11
  12. 12. Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель)6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
  13. 13. Требования к участникам сертификацииЗаявитель – лицензия на деятельность поразработке (производству) средств защитыконфиденциальной информации.Испытательная лаборатория – аттестатаккредитации испытательной лаборатории.Орган по сертификации – аттестат аккредитацииоргана по сертификации. 13
  14. 14. О компании ЗАО «НПО «Эшелон» 14
  15. 15. Наш опыт• Более 500 сертификатов в различных системах сертификации.• Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа.• Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
  16. 16. Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
  17. 17. РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
  18. 18. Основные сложности с зарубежными продуктами• Недоверенный стенд проведения испытаний.• Исходный код в 99% случаях не передается на территорию РФ.• Проблема с русскоязычной документацией.• Проблемы с контролем полноты ИТ.• Проблемы с контролем соответствия ИТ ЗК.• Агрессивные условия работы на территории заказчика.• Высокая вероятность наличия НДВ и ПЗ в продукте.• Сложности организационной структуры ролей в зарубежных компаниях.• Неукоснительное выполнение политик безопасности разработчиком.• Необходимость дополнительного контроля отчетных материалов ИЛ.• Языковой барьер.
  19. 19. Остались вопросы о сертификации? Спросите у нас!Михаил Никулин Виталий ВареницаДиректор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификацииm.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru(495)223-23-92, доб.310 (495)223-23-92, доб.307

×