- Только в РФ регулятор выдает сертификат на СЗИ даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность
- Только в России продавец может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор
- Только в России потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив лицензионный договор
- Только в России, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak 😉
- Только в России за сертификацию средств защиты (исключая ГТ) несет ответственность НЕ их производитель, а потребитель 😉
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам.
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить.
- Только в России производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию.
- Только в России качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата.
- Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.
- Только в России сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов.
- Только в России в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности.
- Только в России сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям.
- Только в России срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством.
- Только в России условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков.
- Только в России специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза.
- Только в России пройдя всего лишь по 10-20% всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей.
Сейчас только ФСТЭК затеяла обновление своего старого «Положения о сертификации средств защиты информации по требованиям безопасности информации» (199-й приказ). Уже разработан проект положения об оценке соответствия продукции (работ, услуг), используемой для защиты информации ограниченного доступа, а также процессов ее разработки, производства, монтажа, наладки, эксплуатации и хранения. Но желаемых изменений в этом проекте нет ;-( Зато явно прописано, что теперь оценка соответствия будет распространяться не только на традиционные средства защиты, но и на «средства, в которых они реализованы, т.е. многофункциональные программные, технические, программно-технические средства, которые могут использоваться в целях защиты информации, а также объекты информатизации«. Зато срок действия сертификата (при единичных экземплярах и партии) становится бессрочным 😉 Может быть и остальные недостатки действующей системы исправят?
Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.
Испытания бывают разные.
Потребитель должен иметь возможность, отнести определенные продукты на испытания, экспертизу и проверить что за поделку ему подсунули! Это логично. Разве нет?
Так что непонятно возмущение по пунктам 1, 2, 3.
Хотя я поддерживаю печаль Алексея по большинству пунктов, считаю что в нужно было выбирать "корректные тезисы" а не "яркие фразы для прессы"
Например, по пункту 11, где написано и кому кто обязан предоставлять исходные коды?
Смотрю в РД 114. Там совсем другие фразы.
В свою очередь я бы поменял некоторые тезисы на более актуальные для меня:
"В России потребители и интеграторы устав от ожидания и бездействия производителей вынуждены сами подавать СЗИ на сертификацию"
"В России только крупные иностранные вендоры не подают на сертификацию серии. Российские производители либо сертифицируют серию либо вообще не говорят о сертификации"
"В России некоторые крупные иностранные вендоры говорят что не стесняются обманывать своих покупателей говоря что все их решения сертифицированы, хотя эти продукты сертифицированы Заказчиками за собственные средства, в единичных экземплярах и результаты их работы не могут быть использованы другими заказчиками"
Сергей, непросто объяснить крупному зарубежному вендору:
— зачем сертифицировать, если это добровольно и никто не несет ответственности ни за отказ от сертификации, ни за некорректную сертификацию
— зачем сертифицировать то, что уже сертифицировано по ОК в мире
— зачем сертифицировать каждый экземпляр
— зачем сертифицировать, если отвечает потребитель.
Достаточно внести изменения в систему сертификации и ряд нормативных актов и крупные зарубежные вендоры будут только рады жить по прозрачным и четким правилам. Для вендора важна управляемость и контролируемость процесса.
Сергей, по 1,2,3 — бывает потребитель злоупотребляет…
А правила четкие и понятные нужны всем участникам.
Если оставить некоторые юридически вопросы юристам,
то объяснить — проблем нет:
1. Для ряда систем в России сертифицированные СЗИ обязательны.
2. Объем таких систем составляет X от общего числа новых систем. Отказавшить сертифицировть продукты вендор потеряет эту часть рынка.
3. Часть Y существующих клиентов откажется от имеющихся решений вендора, если решения не будут сертифицированы самим вендором
Если бы я объяснял своему зарубежному руководству, то использовал бы что-то такое и X=1/2 Y=1/6
Евгений, нельзя сказать что правил нет.
Они есть — это постановления правительства 608, 303, 266, ФЗ о гостехрегулировании, нормативные акты регуляторов.
http://fstec.ru/dokumenty-po-sertifikatsii-tzi
Их надо совершенствовать, кто же спорит. Так-же можно сказать что текущий порядок сертификации неэфективен.
Но при этом, одни сертифицирую уже сейчас, а другие ждут светлого будущего.
> Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.
Тут, кстати, 2 момента:
1. Стрясти ТУ (если сильно постараться) все же можно, потому что нередко пишут "при условии соблюдения требований, изложенных в ТУ" — кстати, сокрытие ТУ характерно не только для сертификации СрЗИ (поэтому-то мы так не доверяем продуктам, соответствующим каким-то ТУ 🙂 )
2. В ОК есть 2 ЗБ — внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО". И это вполне узаконенная практика (что может иной раз и логично, хотя я неодобряю).
п.6 часто встречается. Сущая правда!
Сергей! А я где говорю что их нет…
2 doom:
"В ОК есть 2 ЗБ — внешнее и внутреннее"
Можно ссылку на раздел действующих в РФ НМД где такое разделение регламентировано…
Сергей, вот когда будешь работать в зарубежной компании, тогда и сможешь говорить, что проблем объяснить нет 😉
Если бы где-нибудь было написано, что сертификация является обязательной не только для ГТ, вопросов бы (у вендора) не было. А еще лучше переложили бы всю ответственность на него (как в любой стране мира) — вопрос сразу бы решился
Как можно переложить ответственность на вендора?
Это придется вендору по каждой поставке узнавать для защиты какой информации приобретается продукт.
>ОФИЦИАЛЬНО рекомендует сделать >jailbreak 😉
неправда же, рекомендуют получить доступ к устройству.
2 Евгений
А причем тут НМД РФ? Речь об общих критериях…
Кстати, в крайней версии я беглым поиском уже не нашел ничего про публичное и приватное задания по безопасности — возможно, отказались уже.
2 doom:
— потому что мы за РФ говорим…
— и у нас, не секрет действует ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий", далее по тексту РД – Общие критерии (ОК).
Фин: там ЯВНО написано jailbreak
Сергей, а причем тут для какой информации? У тебя есть требования по ГТ и требования под все остальное. Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу. Беру и делаю. Все документы принадлежат мне. Сертифицированные обновления скачиваются с нашего сайта. С испытательными лабораториями мы взаимодействуем сами и оперативно их уведомляем обо всех обновлениях. Сами же решаем вопросы, возникающие в процессе сертификации. Как это может сделать потребитель или поставщик?
Причем посмотри на проблему не в контексте первичной сертификации — тут проблем особых нет (кроме нарушения прав на интеллектуальную собственность). Проблема проявляется при обновлении сертифицированного средства — о них ни поставщик, ни потребитель может вообще не знать.
Алексей Лукацкий пишет…
>Фин: там ЯВНО написано jailbreak
Алексей, передо мной сейчас нет первоисточника, поправьте меня если я ошибаюсь, написано как то так: "если к устройству не получен доступ (не сделан джейлбрейк), получите доступ к устройству."
То есть, слово jailbreak действительно написано, но только как один из вариантов уже сделанной разблокировки, а не как инструкция эту разблокировку получить.
Этот комментарий был удален автором.
2Фин: Суть то не в слове, а в идее нарушения лицензионного договора и значит закона для использования сертифицированного продукта. "Супер-сигнализация Мерседес+!!! Если у вас нет мерседеса, то украдите его и вы сможете установить нашу сертифицированную сигнализацию!" 🙂
Этот комментарий был удален автором.
> — зачем сертифицировать то, что уже сертифицировано по ОК в мире
Даже в рамках CCRA все звери равны, но некоторые равнее. Австрийский, финский или израильский национальный сертификат в остальных странах CCRA не котируется.
> — зачем сертифицировать каждый экземпляр
В CCRA действует абсолютно такой же принцип фиксации контрольных сумм.
> — зачем сертифицировать, если отвечает потребитель
В Корее, Италии или Франции потребитель не купит несертифицированное решение (если, конечно, вендор не доминирует на рынке).
>> В ОК есть 2 ЗБ — внешнее и внутреннее, отличаются глубиной проработки раздела "Формальная спецификация ОО"
Такого раздела ЗБ нет и не было ни в одной из версий CC. Была и есть "Краткая спецификация объекта оценки" — 3-4 страницы текста максимум.
Есть формальная политика безопасности и полуформальные функциональная спецификация и описание модульной структуры. Это документация, предоставляемая испытательной лаборатории при сертификации на ОУД6 и 7.
Этот комментарий был удален автором.
> Я, как вендор, например, хочу сертифицировать МСЭ Cisco ASA по 3-му классу.
Это одинаково работает и у них, и у нас.
Да, для "сертифицированного производства" ФСТЭК требует лицензию на ТЗКИ. Но точно так же, если ты как зарубежный вендор сертифицируешься на ОУД3 в стране CCRA, ты должен пройти выездной аудит со стороны испытательной лаборатории и местного ФСТЭК.
Да, у нас есть перегибы (у них это требуется для ОУД 3 и выше — у нас для всех, у них сертификаты требуются госведомствам — у нас всем). Но это именно перегибы, а не принципиальная разница.
Кстати, в схемах сертификации CCRA органу по сертификации абсолютно фиолетово, что там написано в лицензионном соглашении — он его не смотрит и в испытательную лабораторию не передается. Заметь, это я сейчас описываю немецкий орднунг!
И податься на сертификацию что у них, что у нас может кто угодно (и вендор, и дистрибьютор, и потребитель — в заявке на сертификацию есть чекбокс "Заявитель является разработчиком продукта".
Фин: Буквально написано следующее: "Если устройство не разблокировано (не выполнен джейлбрейк), разблокируйте его.
После выполнения джейлбрейка смените пароль администратора устройства (root)."
malotavr: А там тоже голограммки клеют, прописывают в сертификат серийные номера и требуют копии сертификата с печатью? 😉
Продолжаю список приколов:
— Только в России регулятор (он же Федеральный орган) может выдать "свое" заключение на заключение органа по сертификации (регулятором же и аккредитованным)
-Только в России регулятор (он же Федеральный орган) может выдать отрицательное заключение на положительное заключение органа по сертификации (регулятором же и аккредитованным)и положительное заключение испытательной лаборатории (регулятором же и аккредитованной)
— Только в России регулятор может готовить заключение более 6 месяцев на результаты испытаний, которые длились 3 месяца
-Только в России регулятор с таким качеством работы может существовать еще долгие годы…