Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Исследовательская лаборатория фирмы «анкад»
1.
2. 2
Сертификация
деятельность по подтверждению соответствия характеристик средств
защиты информации требованиям государственных стандартов и иных
нормативныхдокументов по защитеинформации
Системы сертификации, существующие на территории РФ
• Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям
информационнойбезопасности;
• Система сертификации ФСБ – система сертификации средств криптографической защиты информации и
система сертификации средств защиты информации по требованиям безопасности для сведений,
составляющих государственнуютайну;
• СистемасертификацииМО.
3. 3
Участники системы сертификации: • Центральный органсертификации;
• Испытательныецентры(лаборатории);
• Заявители.
• разрабатывает программы и методики
испытаний;
• в соответствии с методиками проводит
сертификационныеиспытания;
• оформляет отчеты, протоколы и технические
заключения по результатам испытаний и
передаетих в органыпо сертификации.
Испытательная лаборатория:
5. 5
Виды продукции, подлежащие испытаниям
Программныесредствазащитыинформацииот несанкционированногодоступа(НСД)
и программныхзакладок;
1
2
Защищенныепрограммные
средстваобработкиинформации;
3
Программно-технические средства
защитыинформации;
6. 6
Виды продукции, подлежащие испытаниям
Программноеобеспечениеинформационныхи телекоммуникационныхсистем,в которых
обрабатываетсяинформация,не содержащаясведения,составляющиегос. тайну,и
взаимодействующеес сертифицированнымисредствамикриптографической защиты;
4
Программноеобеспечение,предназначенное дляиспользованияв информационныхи
телекоммуникационныхсистемахоргановгосударственнойвласти РФ,в которых
обрабатываетсяинформация,не содержащаясведений,составляющихгос. тайну.
5
7. 7
clsz.fsb.ru/accred.htm
Виды сертификационныхиспытаний
Исследованиефункциональныхсвойств продукциина соответствие требованиям
нормативныхдокументов ФСБ и требованияминформационнойбезопасности
Проверки насоответствие
требованиямнормативных
и руководящих документов
по защите информацииот
НСД
Проверка насоответствие
реальных и
декларированныхв
документации
функциональных
возможностей
Проверка наотсутствие
недокументированных
возможностей
9. 9
АРМ пользователя
(со встроенным АПМДЗ)
Контролируемый контур
технических средств
пользователя
Сервер управления
АПМДЗ
АРМ Адинистратора
централизованного
управления и
мониторинга
Нативный клиент
Контролируемый контур серверной части
Единая консоль
управления и
мониторинга АПМДЗ
Клиент Open VPN
Модифицированный
протокол OpenVPN
OpenVPN
10. Перспективы
Текущие
работы
Проверка ядра Linux собственной сборки версии 4.4 «АнкадОС-
4.4» наотсутствие недокументированныхвозможностей
• криптографическийанализ
• инженерно-криптографическийанализ
10
11. Почемумы
можемэто
делать
11
• опыт разработкисредств криптографическойзащиты
• участие в процессе сертификациив качестве заявителя
• знаниетребованийпо информационнойбезопасности, видов и
методик проверок
Зачемэто нужно
• экономия ВРЕМЕНИ и средств насертификационныеисследования
• помощь партнерам
• повышение качества собственной продукции
• расширениекомпетентности