Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Исследовательская лаборатория Фирмы «АНКАД»

Avatar for Ancud LTD Ancud LTD
March 29, 2017

Исследовательская лаборатория Фирмы «АНКАД»

Avatar for Ancud LTD

Ancud LTD

March 29, 2017
Tweet

More Decks by Ancud LTD

Other Decks in Technology

Transcript

  1. 2 Сертификация деятельность по подтверждению соответствия характеристик средств защиты информации

    требованиям государственных стандартов и иных нормативных документов по защите информации Системы сертификации, существующие на территории РФ • Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям информационной безопасности; • Система сертификации ФСБ – система сертификации средств криптографической защиты информации и система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну; • Система сертификации МО.
  2. 3 Участники системы сертификации: • Центральный орган сертификации; • Испытательные

    центры (лаборатории); • Заявители. • разрабатывает программы и методики испытаний; • в соответствии с методиками проводит сертификационные испытания; • оформляет отчеты, протоколы и технические заключения по результатам испытаний и передает их в органы по сертификации. Испытательная лаборатория:
  3. 5 Виды продукции, подлежащие испытаниям Программные средства защиты информации от

    несанкционированного доступа (НСД) и программных закладок; 1 2 Защищенные программные средства обработки информации; 3 Программно-технические средства защиты информации;
  4. 6 Виды продукции, подлежащие испытаниям Программное обеспечение информационных и телекоммуникационных

    систем, в которых обрабатывается информация, не содержащая сведения, составляющие гос. тайну, и взаимодействующее с сертифицированными средствами криптографической защиты; 4 Программное обеспечение, предназначенное для использования в информационных и телекоммуникационных системах органов государственной власти РФ, в которых обрабатывается информация, не содержащая сведений, составляющих гос. тайну. 5
  5. 7 clsz.fsb.ru/accred.htm Виды сертификационных испытаний Исследование функциональных свойств продукции на

    соответствие требованиям нормативных документов ФСБ и требованиям информационной безопасности Проверки на соответствие требованиям нормативных и руководящих документов по защите информации от НСД Проверка на соответствие реальных и декларированных в документации функциональных возможностей Проверка на отсутствие недокументированных возможностей
  6. 8 Примеры проведенных работ Проверка на отсутствие недокументированных возможностей в

    сервере удаленного управления АПМДЗ Проверка на отсутствие недокументированных возможностей консоли администратора управления и мониторинга АПМДЗ Исходный код общим объемом ~1,3 Мб (сервер – 520 Кбайт, консоль – 844 Кбайт) или 20 000 строк.
  7. 9 АРМ пользователя (со встроенным АПМДЗ) Контролируемый контур технических средств

    пользователя Сервер управления АПМДЗ АРМ Адинистратора централизованного управления и мониторинга Нативный клиент Контролируемый контур серверной части Единая консоль управления и мониторинга АПМДЗ Клиент Open VPN Модифицированный протокол OpenVPN OpenVPN
  8. Перспективы Текущие работы Проверка ядра Linux собственной сборки версии 4.4

    «АнкадОС- 4.4» на отсутствие недокументированных возможностей • криптографический анализ • инженерно-криптографический анализ 10
  9. Почему мы можем это делать 11 • опыт разработки средств

    криптографической защиты • участие в процессе сертификации в качестве заявителя • знание требований по информационной безопасности, видов и методик проверок Зачем это нужно • экономия ВРЕМЕНИ и средств на сертификационные исследования • помощь партнерам • повышение качества собственной продукции • расширение компетентности
  10. 12