SlideShare a Scribd company logo

Certification

C
cnpo
Technology
1 of 19
Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
Сертификация и лицензирование Лицензирование – разрешение на определённый вид деятельности. Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
Сертификация и аттестация Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям. Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно- технических документов по безопасности информации, утвержденных ФСТЭК России. 3
Законодательная база • Конституция Российской Федерации. • Федеральные законы. • Указы Президента РФ. • Постановления Правительства РФ. • Приказы регуляторов. • Нормативные документы регуляторов. • Государственные стандарты. • Отраслевые стандарты. 4
Обязательная или добровольная? Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 5
Системы обязательной сертификации СЗИ • Средства защиты информации ФСТЭК России некриптографическими методами Минобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
Виды сертификационных испытаний Функциональное тестирование: проводится на соответствие одному из руководящих документов (например, для межсетевых экранов) или на соответствие реальных и декларированных в документации функциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
Виды сертификационных испытаний Анализ исходных текстов на предмет отсутствия недекларированных возможностей: испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
Руководящие документы • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). • Требования к системам обнаружения вторжений (2012). • Требования к средствам антивирусной защиты (2012). 9
Требования к средствам защиты информации Конфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты. Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
Схемы проведения сертификационных испытаний Единичный экземпляр: Партия: Серийное производство: 11
Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель) 6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний 2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
Требования к участникам сертификации Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. Орган по сертификации – аттестат аккредитации органа по сертификации. 13
О компании ЗАО «НПО «Эшелон» 14
Наш опыт • Более 500 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
Основные сложности с зарубежными продуктами • Недоверенный стенд проведения испытаний. • Исходный код в 99% случаях не передается на территорию РФ. • Проблема с русскоязычной документацией. • Проблемы с контролем полноты ИТ. • Проблемы с контролем соответствия ИТ ЗК. • Агрессивные условия работы на территории заказчика. • Высокая вероятность наличия НДВ и ПЗ в продукте. • Сложности организационной структуры ролей в зарубежных компаниях. • Неукоснительное выполнение политик безопасности разработчиком. • Необходимость дополнительного контроля отчетных материалов ИЛ. • Языковой барьер.
Остались вопросы о сертификации? Спросите у нас! Михаил Никулин Виталий Вареница Директор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификации m.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru (495)223-23-92, доб.310 (495)223-23-92, доб.307

Recommended

Licensing
LicensingLicensing
Licensingcnpo
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 

Recommended

Licensing
LicensingLicensing
Licensingcnpo
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification processУчебный центр "Эшелон"
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?Nicole Hennig
 
Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersErik Tjersland
 
Javascript 1
Javascript 1Javascript 1
Javascript 1Andrey Dolinin
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модельnezloi
 

More Related Content

What's hot

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 

What's hot (18)

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 

Viewers also liked

It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?Nicole Hennig
 
Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersErik Tjersland
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модельnezloi
 
Input, output and processor
Input, output and processorInput, output and processor
Input, output and processorJbspherefreak
 
The steps stills
The steps stillsThe steps stills
The steps stillshma1
 
Edinicy izmereniya informacii
Edinicy izmereniya informaciiEdinicy izmereniya informacii
Edinicy izmereniya informaciicsn1311
 
Black christmas opening
Black christmas openingBlack christmas opening
Black christmas openinghma1
 
ADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast AsiaADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast AsiaADWAYS KOREA
 
K2 Partnering Solutions
K2 Partnering SolutionsK2 Partnering Solutions
K2 Partnering SolutionsSarka Cinkova
 
Util ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenalUtil ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenalalejandro ruiz
 
Erasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summaryErasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summaryEliAleks1
 
20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference Briefing20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference BriefingJesse Wilkins
 
Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance Maysoun Mohamed
 
Director vyrobn 11_2014
Director vyrobn 11_2014Director vyrobn 11_2014
Director vyrobn 11_2014wbc-rivne
 
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...Hans Pich
 

Viewers also liked (19)

It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?It's a Mobile world world, where do you fit?
It's a Mobile world world, where do you fit?
 
Module 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integersModule 2 lesson 16 evaluating numeric expressions with integers
Module 2 lesson 16 evaluating numeric expressions with integers
 
Javascript 1
Javascript 1Javascript 1
Javascript 1
 
Yahoo открытая nsfw модель
Yahoo открытая nsfw модельYahoo открытая nsfw модель
Yahoo открытая nsfw модель
 
Ajudas porfetárias
Ajudas porfetáriasAjudas porfetárias
Ajudas porfetárias
 
Input, output and processor
Input, output and processorInput, output and processor
Input, output and processor
 
The steps stills
The steps stillsThe steps stills
The steps stills
 
Edinicy izmereniya informacii
Edinicy izmereniya informaciiEdinicy izmereniya informacii
Edinicy izmereniya informacii
 
Black christmas opening
Black christmas openingBlack christmas opening
Black christmas opening
 
ADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast AsiaADWAYS Session 3. Monetising in Southeast Asia
ADWAYS Session 3. Monetising in Southeast Asia
 
Emotional Intelligence
Emotional IntelligenceEmotional Intelligence
Emotional Intelligence
 
K2 Partnering Solutions
K2 Partnering SolutionsK2 Partnering Solutions
K2 Partnering Solutions
 
Util ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenalUtil ci dosisantimicrobianosinsrenal
Util ci dosisantimicrobianosinsrenal
 
Erasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summaryErasmus+ Slovenia-1st year summary
Erasmus+ Slovenia-1st year summary
 
Filières inclusives : Moteur des filières inclusives
Filières inclusives : Moteur des filières inclusivesFilières inclusives : Moteur des filières inclusives
Filières inclusives : Moteur des filières inclusives
 
20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference Briefing20160426 AIIM16 CIP Preconference Briefing
20160426 AIIM16 CIP Preconference Briefing
 
Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance Emotional Intelligence and Job Performance
Emotional Intelligence and Job Performance
 
Director vyrobn 11_2014
Director vyrobn 11_2014Director vyrobn 11_2014
Director vyrobn 11_2014
 
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
Automatisierte Übergabe von COTI-Übersetzungspaketen in den Plunet BusinessMa...
 

Similar to Certification

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииjournalrubezh
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Аттестация
АттестацияАттестация
Аттестацияpesrox
 
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.Сообщество eLearning PRO
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibExpolink
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пднpesrox
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"Expolink
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 

Similar to Certification (20)

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Аттестация
АттестацияАттестация
Аттестация
 
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
2 - 02 - Стандартизация, сертификация и патентование e-learning - Шатров А. Ф.
 
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 

More from cnpo

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)cnpo
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Net graph
Net graphNet graph
Net graphcnpo
 
Net topology
Net topology Net topology
Net topology cnpo
 
Russian information security market
Russian information security marketRussian information security market
Russian information security marketcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weaknesscnpo
 
Siem
SiemSiem
Siemcnpo
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
Rubicon
RubiconRubicon
Rubiconcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиcnpo
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубиконcnpo
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011cnpo
 

More from cnpo (17)

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Net graph
Net graphNet graph
Net graph
 
Net topology
Net topology Net topology
Net topology
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
 
Certification
CertificationCertification
Certification
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
 
Siem
SiemSiem
Siem
 
P dn docs
P dn docsP dn docs
P dn docs
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Rubicon
RubiconRubicon
Rubicon
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
 

Certification

  • 1. Особенности сертификации современного ПО Михаил Никулин Директор департамента тестирования и сертификации
  • 2. Сертификация и лицензирование Лицензирование – разрешение на определённый вид деятельности. Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
  • 3. Сертификация и аттестация Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям. Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно- технических документов по безопасности информации, утвержденных ФСТЭК России. 3
  • 4. Законодательная база • Конституция Российской Федерации. • Федеральные законы. • Указы Президента РФ. • Постановления Правительства РФ. • Приказы регуляторов. • Нормативные документы регуляторов. • Государственные стандарты. • Отраслевые стандарты. 4
  • 5. Обязательная или добровольная? Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 5
  • 6. Системы обязательной сертификации СЗИ • Средства защиты информации ФСТЭК России некриптографическими методами Минобороны • Объекты ВС РФ России • Средства криптографической защиты ФСБ России • ИС высших органов исполнительной власти СВР России • Объекты зарубежных представительств РФ 6
  • 7. Виды сертификационных испытаний Функциональное тестирование: проводится на соответствие одному из руководящих документов (например, для межсетевых экранов) или на соответствие реальных и декларированных в документации функциональных возможностей: • на соответствие классу защищенности – по РД Гостехкомиссии России (ФСТЭК России). • на соответствие техническим условиям • на соответствие заданию по безопасности по «Общим критериям» 7
  • 8. Виды сертификационных испытаний Анализ исходных текстов на предмет отсутствия недекларированных возможностей: испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации: • на соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 8
  • 9. Руководящие документы • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). • Требования к системам обнаружения вторжений (2012). • Требования к средствам антивирусной защиты (2012). 9
  • 10. Требования к средствам защиты информации Конфиденциальная информация (в том числе ПДн): – АС: 3Б, 2Б, 1Г и выше. – МЭ: до 4 класса защищенности (до 3 класса – для ПДн). – СВТ: до 5 класса защищенности. – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ. – СОВ и САЗ: до 4 класса защиты. Гостайна: – АС: 3А, 2А, 1В-1А. – МЭ: не ниже 3 класса защищенности. – СВТ: не ниже 4 класса защищенности. – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ. – СОВ и САЗ: не ниже 3 класса защиты. 10
  • 11. Схемы проведения сертификационных испытаний Единичный экземпляр: Партия: Серийное производство: 11
  • 12. Участники процесса сертификации Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Производитель) 6. Сертификат 1. Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК России) 5. Заключение 3. Материалы для проведения испытаний 2. Решение Орган по сертификации 4. Материалы испытаний Испытательная лаборатория
  • 13. Требования к участникам сертификации Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. Орган по сертификации – аттестат аккредитации органа по сертификации. 13
  • 14. О компании ЗАО «НПО «Эшелон» 14
  • 15. Наш опыт • Более 500 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 15
  • 16. Особенности сертификации ПО иностранного производства Виталий Вареница Заместитель директора департамента тестирования и сертификации
  • 17. РД Защита от НСД. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ
  • 18. Основные сложности с зарубежными продуктами • Недоверенный стенд проведения испытаний. • Исходный код в 99% случаях не передается на территорию РФ. • Проблема с русскоязычной документацией. • Проблемы с контролем полноты ИТ. • Проблемы с контролем соответствия ИТ ЗК. • Агрессивные условия работы на территории заказчика. • Высокая вероятность наличия НДВ и ПЗ в продукте. • Сложности организационной структуры ролей в зарубежных компаниях. • Неукоснительное выполнение политик безопасности разработчиком. • Необходимость дополнительного контроля отчетных материалов ИЛ. • Языковой барьер.
  • 19. Остались вопросы о сертификации? Спросите у нас! Михаил Никулин Виталий Вареница Директор департамента тестирования Заместитель директора департамента и сертификации тестирования и сертификации m.nikulin@npo-echelon.ru v.varenitsa@npo-echelon.ru (495)223-23-92, доб.310 (495)223-23-92, доб.307