No content

2 Сертификация деятельность по подтверждению соответствия характеристик средств защиты информации требованиям государственных стандартов и иных нормативных документов по защите информации Системы сертификации, существующие на территории РФ • Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям информационной безопасности; • Система сертификации ФСБ – система сертификации средств криптографической защиты информации и система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну; • Система сертификации МО.

3 Участники системы сертификации: • Центральный орган сертификации; • Испытательные центры (лаборатории); • Заявители. • разрабатывает программы и методики испытаний; • в соответствии с методиками проводит сертификационные испытания; • оформляет отчеты, протоколы и технические заключения по результатам испытаний и передает их в органы по сертификации. Испытательная лаборатория:

4 Система сертификации ФСБ Испытательная лаборатория ООО Фирма «АНКАД»

5 Виды продукции, подлежащие испытаниям Программные средства защиты информации от несанкционированного доступа (НСД) и программных закладок; 1 2 Защищенные программные средства обработки информации; 3 Программно-технические средства защиты информации;

6 Виды продукции, подлежащие испытаниям Программное обеспечение информационных и телекоммуникационных систем, в которых обрабатывается информация, не содержащая сведения, составляющие гос. тайну, и взаимодействующее с сертифицированными средствами криптографической защиты; 4 Программное обеспечение, предназначенное для использования в информационных и телекоммуникационных системах органов государственной власти РФ, в которых обрабатывается информация, не содержащая сведений, составляющих гос. тайну. 5

7 clsz.fsb.ru/accred.htm Виды сертификационных испытаний Исследование функциональных свойств продукции на соответствие требованиям нормативных документов ФСБ и требованиям информационной безопасности Проверки на соответствие требованиям нормативных и руководящих документов по защите информации от НСД Проверка на соответствие реальных и декларированных в документации функциональных возможностей Проверка на отсутствие недокументированных возможностей

8 Примеры проведенных работ Проверка на отсутствие недокументированных возможностей в сервере удаленного управления АПМДЗ Проверка на отсутствие недокументированных возможностей консоли администратора управления и мониторинга АПМДЗ Исходный код общим объемом ~1,3 Мб (сервер – 520 Кбайт, консоль – 844 Кбайт) или 20 000 строк.

9 АРМ пользователя (со встроенным АПМДЗ) Контролируемый контур технических средств пользователя Сервер управления АПМДЗ АРМ Адинистратора централизованного управления и мониторинга Нативный клиент Контролируемый контур серверной части Единая консоль управления и мониторинга АПМДЗ Клиент Open VPN Модифицированный протокол OpenVPN OpenVPN

Перспективы Текущие работы Проверка ядра Linux собственной сборки версии 4.4 «АнкадОС- 4.4» на отсутствие недокументированных возможностей • криптографический анализ • инженерно-криптографический анализ 10

Почему мы можем это делать 11 • опыт разработки средств криптографической защиты • участие в процессе сертификации в качестве заявителя • знание требований по информационной безопасности, видов и методик проверок Зачем это нужно • экономия ВРЕМЕНИ и средств на сертификационные исследования • помощь партнерам • повышение качества собственной продукции • расширение компетентности

12