Как и обещал, мы провели вебинар, посвященный вопросам оценки соответствия средств защиты информации по требованиям регуляторов (с упором на требования ФСТЭК). В рамках мероприятия попробовали оценить не только текущее состояние рынка сертифицированных решений, но и спрогнозировать тенденции (они не очень позитивные с точки зрения потребителей) в этой сфере. Также поговорили о том, чем можно заменить сертификацию, не нарушая законодательства. За час с небольшим удалось пройтись почти по всем заявленным темам. Презентацию выкладываю:
Не обошлось и без описания планов Cisco в области сертификации, но тут уж ничего не поделаешь 🙂 Помимо презентации выложили и видеозапись мероприятия. На первых минутах, оказалось, была проблема со звуком, поэтому слушать лучше с 10-й минуты (до этого есть только картинка без озвучки).
Алексей, вы часто говорите по теме "оценка соответствия не равно сертификация".
Есть ли у вас примеры успешной реализации этого подхода в серьезных организациях? Возможно, не вызвавшей замечаний от регулятора, если он что проверял эту организацию? Готовых публично об этом рассказать, поделиться опытом?
Мне видятся следующие риски проведения "Оценки соответствия в рамках ПМИ", может вы их прокомментируете?
На мой взгляд, это выглядит как своего рода само-сертификация — проверка функций ИБ используемых решений, аналогично как при сертификационных испытаниях. Не просто же издать приказ "О принятии в эксплуатацию" без каких-либо проверок?
Но тогда это является лицензируемым видом деятельности, ТЗКИ?
Если организация своими силами — для собственных нужд — еще ладно. Хотя насколько я знаю, ФСТЭК так и не принял эту формулировку в официальных документах (как ФСБ в 313 постановлении)?
Но вот для интеграторов это ведь однозначно лицензия?
Как относится ФСТЭК к реализации такого подхода его лицензиатами, было подтверждение приемлимости? Или это риск?
Второй момент — в случае обновления версий получается необходимо проводить повторные испытания, ведь исполняемые файлы ПО (или прошивка железа) уже другие?
Насколько я понимаю, описанная схема оценки соответствия, это скорее аналог поэкземплярной сертификации, а не серийной?
Поэтому вопрос трудоемкости такой проверки получается достаточно важен.
Алексей Викторович!
Спасибо, что поделились своей презентацией. Очень полезная — обобщен прежний опыт и есть новые идеи. Я правильно понимаю, что cisco пока не планирует сертифицировать ASA-X выше, чем по 6-му классу мсэ? Т.е. их не получится использовать в ИСПДн (у госов) 1,2 уровней защищенности, и ГИС 1,2 классов?
Правильно
Спасибо за еще один материал!
Подскажите пожалуйста, как (на основании каких документов) проводить оценку соответствия в форме испытаний или приемки и ввода в эксплуатацию? Есть ли регламент как разработать программу и методику испытаний, протоколы испытаний…?
P.S. Алексей, есть ли прецеденты таких форм сертификации (не обязательной сертификации)?
Заранее спасибо!
Доброго дня, Алексей Викторович!
На сколько обязательно выполнять требования ФСТЭК по обязательной сертификации, установленные для операционных систем, которые не используются как основные средства защиты информации, если планируется выполнять требования в соответствии с федеральным законом № 152 РФ надстроенными СЗИ?
Интересует можно ли закупить для Федерального учреждения здравоохранения Microsoft Windows Server Datacenter 2019.
Sanbr: ГОСТы описывают состав и содержание ПМИ. Номера сейчас сходу не вспомню. Прецеденты есть.
Unknown: если вы используете навесные сертифицированные СЗИ, то можно.
Этот комментарий был удален автором.
Есть ГОСТ 34.603-92. "Виды испытаний автоматизированных систем", но насколько он применим к средствам защиты — большой вопрос. Ведь не зря у ФСТЭК были отдельные РД для СВТ и для АС
Вполне применим