среда, 27 февраля 2019 г.

ТБ-форум2019. КИИ и сертификация СЗИ. Часть 3.

   Начало: часть 1, часть 2
   Значительная часть конференции была отведена вопросам сертификации средств защиты информации, а так же анализу опыта по актуализации БДУ.


   По БДУ был отдельный доклад

   Так же отдельного доклада удостоилась Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении

  Доклад о методике вызвал острую дискуссию слушателей из зала с представителями ФСТЭК
1. Вопрос о противоречие между методикой и положением о сертификации. Шевцов (ФСТЭК) противоречий не видит.

2.  Вопрос об "обкатке" методики по полному циклу. На каком системе проводилась апробация методов? Ответ ФСТЭК - проверка проводилась на разных модулях различных программ. Комплексного единого исследования не проводилось. Вообще, это очень серьезная проблема с методическими документами ФСТЭК: они выпускаются без комплексной проверки по "полному циклу"и ФСТЭК приходится после года "боевой" эксплуатации методик вносить изменения в утвержденные документы. Такая же участь ожидает методические документы по КИИ. Они не будут использоваться субъектами КИИ при реализации 187-ФЗ и ПП127, так как ФСТЭК их не успеет выпустить. Соответственно, не будет получен опыт их применения в различных сферах деятельности субъектов КИИ. Будут "теоретические" документы, не отражающие специфику реального правоприменения 187-ФЗ.
   Так же был комментарий ФСТЭК, что методика предполагает для 5 и 6 класса отсутствие исходного кода.



     И большой доклад по Положению о сертификации ФСТЭК и уровням доверия

Из интересного:
- до сих пор многие не знают, что с 1 августа 2018 действует новое положение о сертификации.
- РД НДВ с 01.05.2019 применяться не будет. Будут уровни доверия.
- без предоставления исходного кода только 5 и 6 класс.
- организация, которая заявляется на сертификацию не как производитель (планирует эксплуатировать) будет обязана обеспечивать техническую поддержку заявленного СЗИ. Так же остается в силе  требование о наличии лицензий на разработку СЗИ у разработчика и производителя СЗИ. Наличие поддержки будет обязательно проверятся в течении всего времени действия сертификата.
- заявление на сертификации не от производителя допускается только при отсутствии на отечественном рынке идентичных серийных сертифицированных СЗИ.
- срок действия сертификатов с августа 2018 составляет 5 лет. Если есть техподдержка, то можно использовать СЗИ и по окончанию срока действия сертификата.
-  до сих пор отсутствуют "тип (типы) средств защиты информации, к которому (которым) относится представляемое на сертификацию средство защиты информации". Скоро уже год как будет с вступления в силу Положения о сертификации, а обеспечивающих документов так и нет. И ведь писал об этом еще на этапе публичного обсуждения проекта Положения о сертификации.
- будет меняться большое количество уже выпущенных документов ФСТЭК под уровни доверия.
- документация по требованиям доверия будет ДСП.
- обещают выпустить в ближайшее время информационное сообщение на сайте ФСТЭК по применению требованиям доверия.
 - обещают выпустить требования к среде виртуализации, к управлению потоками и т.д. Но без конкретики по срокам.
- уязвимости не имеют срока давности для ФСТЭК.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

Комментариев нет:

Отправить комментарий