На сайте ФСТЭК опубликовали новый список сертификатов, который не обновлялся с прошлого апреля. Из интересных вещей хочу отметить две:
- В списке помимо класса сертифицированного изделия теперь стали указывать класс ИСПДн, в которой можно использовать данное средство защиты. Причем это сделано и для уже выданных сертификатов, так что можно сделать вывод, что этот текст врядли повторен и в самом сертификате. Это скорее рекомендация ФСТЭК. Хотя я не до конца понимаю, почему МСЭ 3-го класса рекомендуют использовать в ИСПДн 2-го класса включительно, хотя те же самые «Рекомендации…» из четверокнижия говорят, что МСЭ 3-го класса может использоваться в ИСПДн 1-го класса.
- В конце списка есть примечание: «При необходимости применения в информационных системах обработки персональных данных средств защиты информации от несанкционированного доступа и средств межсетевого экранирования, у которых отсутствует сертификация на соответствие требованиям руководящего документа «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (1999 г.), оператором по согласованию с ФСТЭК России может приниматься решение о применении указанных средств защиты информации в информационных системах обработки персональных данных«. Из этого пункта можно сделать вывод, что сертификация НДВ нужна только для средств защиты и то не всех 😉
Попробую пояснить что такое НДВ 4 уровня… и почему к нему такое «халявное отношение»…
Ну для начала НДВ в том виде что существует имеет больше отношения к качеству ПО а не к поиску в нем «Закладок»…
НДВ по 4 уровню вообще предполагает:
1. наличие документов по ГОСТ ЕСПД
— Спецификация (ГОСТ 19.202-78)
— Описание программы (ГОСТ 19.402-78)
— Описание применения (ГОСТ 19.502-78)
— Тексты программ, входящих в состав ПО (ГОСТ 19.401-78)
2. Проведение проверок в части:
2.1. Контроль исходного состояния ПО
Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.
Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.
Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.
2.2. Статический анализ исходных текстов программ
Статический анализ исходных текстов программ должен включать следующие технологические операции:
— контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
— контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.
Тоесть по сути надо:
1. проверить документы
2. посчитать КС исходников и самих программ — сравнить что они совпадают
3. проверить что всех файлов исходников хватает, все они описаны и нет избыточных файлов
4. скомпилировать из исходников программы и проверить что они совпадают с представленными.
По сути что делает анализируемое ПО, сколько в нем закладок, вирусов и т.п. понапихано — никого не волнует.
Так что если некто поднял флаг и заявляет что у него есть сертификат на отсутствие НДВ в ПО нет закладок и т.п. — то было бы полезно узнать хотя бы по какому уровню НДВ, ну и какая лаборатория выполняла испытания немаловажно…;)
Ты меня опередил 😉 Я миф про это пишу 😉
Ну про эти дела я могу не то-чтобы сладких мифов а горькой правды столько рассказать, но как говорят «во многом знании — много печали»…
А ведь Пятница — хоть и 13-ая…
Я предполагал, что «сертификационные испытания на соответствие…», не связанные с гостайной, представляет собой процесс «только срубить бабла». Грустно все это… В 2004 г. сертифицированный по 3 классу МЭ PIX 515 стоил более 8000$, а несертифицированный — вдвое дешевле. После информации о реальной работе по НДВ, реальная работа по МЭ 3 класса — это красивая голографическая наклейка стоимостью 4 штуки.
Грустно мне…
С уважением,
Thrash
Не грустите…
Все можно свести к философии: «все что не делается — делается чтоб срубить бабла»
Вот заболел у ребенка зуб… Вы поведете его к хорошему доктору, который и полечит и успокоит и без боли и без слез и подскажет и научит ребенка и обидит — не возьмет коробку конфет, которую ВЫ принесли…
Нехороший пример — как связать больной зуб и необходимость в сертифицированном МЭ?!
Он ведь ВАМ зачем нужен то этот сертификат ?! Наверное не потому что необходим — а потому что кто то ВАМ требование такое вписал в контракте и т.п. Потому и отношение такое и у ВАС к процессу и у ИЛ к работе. А если окажется что МЭ свои функции не выполняет… Кого это волнует…
Вот если ВАМ надо бы было реально хороший МЭ… и ВЫ готовы реально его проверить… то пожалуйста… можно проверить безо всяких сертификатов на авторитете… только, извините, дорого будет стоить…
Откровенно говоря возьмем ВАШ пример … около 120 000 сертификация…
из них около 15 000 в лучшем случае упадет в карман специалисту который все проверяет! А что он должен проверить по РД МЭ по 3 классу? см. http://www.fstec.ru/_razd/_ispo.htm
Выводы ?!
Вы писали: «Откровенно говоря возьмем ВАШ пример … около 120 000 сертификация…». Это в каких банковских купюрах? (в американских или европейских).
И второй вопрос: а кого бы вы могли бы порекомендовать для проведения исследования для софта (исследовательскую лабораторию), кроме ЦБИ?
Американских, конечно.
Согласен со swan о том, что НДВ 4 уровня не дает ни какого контроля наличия закладок или вредоносного кода. В связи с этим, при проведении исследования мне кажется не лишним проверять исходный код на наличие заданных конструкций не на 2 уровне, а на 4. Между прочим, нормальные ИЛ это делают и про проверке на 4 уровень да бы было спокойно на душе :)(подпись то ставить надо в протоколе).