Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Исследовательская лаборатория Фирмы «АНКАД»

Ancud LTD
March 29, 2017

Исследовательская лаборатория Фирмы «АНКАД»

Ancud LTD

March 29, 2017
Tweet

More Decks by Ancud LTD

Other Decks in Technology

Transcript

  1. View Slide

  2. 2
    Сертификация
    деятельность по подтверждению соответствия характеристик средств
    защиты информации требованиям государственных стандартов и иных
    нормативных документов по защите информации
    Системы сертификации, существующие на территории РФ
    • Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям
    информационной безопасности;
    • Система сертификации ФСБ – система сертификации средств криптографической защиты информации и
    система сертификации средств защиты информации по требованиям безопасности для сведений,
    составляющих государственную тайну;
    • Система сертификации МО.

    View Slide

  3. 3
    Участники системы сертификации: • Центральный орган сертификации;
    • Испытательные центры (лаборатории);
    • Заявители.
    • разрабатывает программы и методики
    испытаний;
    • в соответствии с методиками проводит
    сертификационные испытания;
    • оформляет отчеты, протоколы и технические
    заключения по результатам испытаний и
    передает их в органы по сертификации.
    Испытательная лаборатория:

    View Slide

  4. 4
    Система сертификации ФСБ
    Испытательная лаборатория
    ООО Фирма «АНКАД»

    View Slide

  5. 5
    Виды продукции, подлежащие испытаниям
    Программные средства защиты информации от несанкционированного доступа (НСД)
    и программных закладок;
    1
    2
    Защищенные программные
    средства обработки информации;
    3
    Программно-технические средства
    защиты информации;

    View Slide

  6. 6
    Виды продукции, подлежащие испытаниям
    Программное обеспечение информационных и телекоммуникационных систем, в которых
    обрабатывается информация, не содержащая сведения, составляющие гос. тайну, и
    взаимодействующее с сертифицированными средствами криптографической защиты;
    4
    Программное обеспечение, предназначенное для использования в информационных и
    телекоммуникационных системах органов государственной власти РФ, в которых
    обрабатывается информация, не содержащая сведений, составляющих гос. тайну.
    5

    View Slide

  7. 7
    clsz.fsb.ru/accred.htm
    Виды сертификационных испытаний
    Исследование функциональных свойств продукции на соответствие требованиям
    нормативных документов ФСБ и требованиям информационной безопасности
    Проверки на соответствие
    требованиям нормативных
    и руководящих документов
    по защите информации от
    НСД
    Проверка на соответствие
    реальных и
    декларированных в
    документации
    функциональных
    возможностей
    Проверка на отсутствие
    недокументированных
    возможностей

    View Slide

  8. 8
    Примеры
    проведенных
    работ
    Проверка на отсутствие
    недокументированных возможностей в
    сервере удаленного управления АПМДЗ
    Проверка на отсутствие
    недокументированных возможностей
    консоли администратора управления и
    мониторинга АПМДЗ
    Исходный код общим объемом ~1,3 Мб (сервер – 520 Кбайт, консоль – 844 Кбайт) или 20 000 строк.

    View Slide

  9. 9
    АРМ пользователя
    (со встроенным АПМДЗ)
    Контролируемый контур
    технических средств
    пользователя
    Сервер управления
    АПМДЗ
    АРМ Адинистратора
    централизованного
    управления и
    мониторинга
    Нативный клиент
    Контролируемый контур серверной части
    Единая консоль
    управления и
    мониторинга АПМДЗ
    Клиент Open VPN
    Модифицированный
    протокол OpenVPN
    OpenVPN

    View Slide

  10. Перспективы
    Текущие
    работы
    Проверка ядра Linux собственной сборки версии 4.4 «АнкадОС-
    4.4» на отсутствие недокументированных возможностей
    • криптографический анализ
    • инженерно-криптографический анализ
    10

    View Slide

  11. Почему мы
    можем это
    делать
    11
    • опыт разработки средств криптографической защиты
    • участие в процессе сертификации в качестве заявителя
    • знание требований по информационной безопасности, видов и
    методик проверок
    Зачем это нужно
    • экономия ВРЕМЕНИ и средств на сертификационные исследования
    • помощь партнерам
    • повышение качества собственной продукции
    • расширение компетентности

    View Slide

  12. 12

    View Slide