Оценка соответствия средств защиты информации (презентация и видео)

Как и обещал, мы провели вебинар, посвященный вопросам оценки соответствия средств защиты информации по требованиям регуляторов (с упором на требования ФСТЭК). В рамках мероприятия попробовали оценить не только текущее состояние рынка сертифицированных решений, но и спрогнозировать тенденции (они не очень позитивные с точки зрения потребителей) в этой сфере. Также поговорили о том, чем можно заменить сертификацию, не нарушая законодательства. За час с небольшим удалось пройтись почти по всем заявленным темам. Презентацию выкладываю:

Не обошлось и без описания планов Cisco в области сертификации, но тут уж ничего не поделаешь 🙂 Помимо презентации выложили и видеозапись мероприятия. На первых минутах, оказалось, была проблема со звуком, поэтому слушать лучше с 10-й минуты (до этого есть только картинка без озвучки).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Евгений

    Алексей, вы часто говорите по теме "оценка соответствия не равно сертификация".
    Есть ли у вас примеры успешной реализации этого подхода в серьезных организациях? Возможно, не вызвавшей замечаний от регулятора, если он что проверял эту организацию? Готовых публично об этом рассказать, поделиться опытом?

    Мне видятся следующие риски проведения "Оценки соответствия в рамках ПМИ", может вы их прокомментируете?

    На мой взгляд, это выглядит как своего рода само-сертификация — проверка функций ИБ используемых решений, аналогично как при сертификационных испытаниях. Не просто же издать приказ "О принятии в эксплуатацию" без каких-либо проверок?
    Но тогда это является лицензируемым видом деятельности, ТЗКИ?

    Если организация своими силами — для собственных нужд — еще ладно. Хотя насколько я знаю, ФСТЭК так и не принял эту формулировку в официальных документах (как ФСБ в 313 постановлении)?

    Но вот для интеграторов это ведь однозначно лицензия?
    Как относится ФСТЭК к реализации такого подхода его лицензиатами, было подтверждение приемлимости? Или это риск?

    Второй момент — в случае обновления версий получается необходимо проводить повторные испытания, ведь исполняемые файлы ПО (или прошивка железа) уже другие?
    Насколько я понимаю, описанная схема оценки соответствия, это скорее аналог поэкземплярной сертификации, а не серийной?
    Поэтому вопрос трудоемкости такой проверки получается достаточно важен.

    Ответить
  2. IBS2019

    Алексей Викторович!
    Спасибо, что поделились своей презентацией. Очень полезная — обобщен прежний опыт и есть новые идеи. Я правильно понимаю, что cisco пока не планирует сертифицировать ASA-X выше, чем по 6-му классу мсэ? Т.е. их не получится использовать в ИСПДн (у госов) 1,2 уровней защищенности, и ГИС 1,2 классов?

    Ответить
  3. Алексей Лукацкий

    Правильно

    Ответить
  4. Sanbr

    Спасибо за еще один материал!

    Подскажите пожалуйста, как (на основании каких документов) проводить оценку соответствия в форме испытаний или приемки и ввода в эксплуатацию? Есть ли регламент как разработать программу и методику испытаний, протоколы испытаний…?

    P.S. Алексей, есть ли прецеденты таких форм сертификации (не обязательной сертификации)?

    Заранее спасибо!

    Ответить
  5. Unknown

    Доброго дня, Алексей Викторович!

    На сколько обязательно выполнять требования ФСТЭК по обязательной сертификации, установленные для операционных систем, которые не используются как основные средства защиты информации, если планируется выполнять требования в соответствии с федеральным законом № 152 РФ надстроенными СЗИ?
    Интересует можно ли закупить для Федерального учреждения здравоохранения Microsoft Windows Server Datacenter 2019.

    Ответить
  6. Алексей Лукацкий

    Sanbr: ГОСТы описывают состав и содержание ПМИ. Номера сейчас сходу не вспомню. Прецеденты есть.

    Ответить
  7. Алексей Лукацкий

    Unknown: если вы используете навесные сертифицированные СЗИ, то можно.

    Ответить
  8. Евгений

    Этот комментарий был удален автором.

    Ответить
  9. Евгений

    Есть ГОСТ 34.603-92. "Виды испытаний автоматизированных систем", но насколько он применим к средствам защиты — большой вопрос. Ведь не зря у ФСТЭК были отдельные РД для СВТ и для АС

    Ответить
  10. Алексей Лукацкий

    Вполне применим

    Ответить