2

Сертификация деятельность по подтверждению соответствия характеристик средств защиты информации требованиям государственных стандартов и иных нормативных документов по защите информации

Системы сертификации, существующие на территории РФ

• Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям информационной безопасности;

• Система сертификации ФСБ – система сертификации средств криптографической защиты информации и система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну;

• Система сертификации МО.

3

Участники системы сертификации: • Центральный орган сертификации;

• Испытательные центры (лаборатории);

• Заявители.

• разрабатывает программы и методики испытаний;

• в соответствии с методиками проводит сертификационные испытания;

• оформляет отчеты, протоколы и технические заключения по результатам испытаний и передает их в органы по сертификации.

Испытательная лаборатория:

4

Система сертификации ФСБ

Испытательная лаборатория ООО Фирма «АНКАД»

5

Виды продукции, подлежащие испытаниям

Программные средства защиты информации от несанкционированного доступа (НСД) и программных закладок;

1

2 Защищенные программные средства обработки информации;

3 Программно-технические средства защиты информации;

6

Виды продукции, подлежащие испытаниям

Программное обеспечение информационных и телекоммуникационных систем, в которых обрабатывается информация, не содержащая сведения, составляющие гос. тайну, и взаимодействующее с сертифицированными средствами криптографической защиты;

4

Программное обеспечение, предназначенное для использования в информационных и телекоммуникационных системах органов государственной власти РФ, в которых обрабатывается информация, не содержащая сведений, составляющих гос. тайну.

5

7

clsz.fsb.ru/accred.htm

Виды сертификационных испытаний

Исследование функциональных свойств продукции на соответствие требованиям нормативных документов ФСБ и требованиям информационной безопасности

Проверки на соответствие требованиям нормативных и руководящих документов по защите информации от

НСД

Проверка на соответствие реальных и

декларированных в документации

функциональных возможностей

Проверка на отсутствие недокументированных

возможностей

8

Примеры проведенных

работ

Проверка на отсутствие недокументированных возможностей в сервере удаленного управления АПМДЗ

Проверка на отсутствие недокументированных возможностей консоли администратора управления и

мониторинга АПМДЗ

Исходный код общим объемом ~1,3 Мб (сервер – 520 Кбайт, консоль – 844 Кбайт) или 20 000 строк.

9

АРМ пользователя(со встроенным АПМДЗ)

Контролируемый контур технических средств

пользователя

Сервер управления АПМДЗ

АРМ Адинистратора централизованного

управления и мониторинга

Нативный клиент

Контролируемый контур серверной части

Единая консоль управления и

мониторинга АПМДЗКлиент Open VPN

Модифицированный протокол OpenVPN

Ope

nVP

N

Перспективы

Текущие работы

Проверка ядра Linux собственной сборки версии 4.4 «АнкадОС-4.4» на отсутствие недокументированных возможностей

• криптографический анализ

• инженерно-криптографический анализ

10

Почему мы можем это делать

11

• опыт разработки средств криптографической защиты

• участие в процессе сертификации в качестве заявителя

• знание требований по информационной безопасности, видов и методик проверок

Зачем это нужно

• экономия ВРЕМЕНИ и средств на сертификационные исследования

• помощь партнерам

• повышение качества собственной продукции

• расширение компетентности

12