Windows-терминалы WTware

Планируется ли сертификация продуктов WTARE во ФСТЭК на отсутствие не декларированных возможностей и прочего.
Сейчас у многих Заказчиков требуется сертификация во продуктов ФСТЭК

Скорее нет чем да. Если только кому-то это не понадобится настоялько сильно, чтобы он взялся объяснять, что надо для этого делать...

У вас БИОС сертифицирован в ФСТЭК? Микрокод в свичах и маршрутизаторах сертифицирован в ФСТЭК? И это не мешает им пользоваться. Относитесь к WTware как к БИОСу. WTware не выполняет прикладных программ и не имеет доступа к данным.

ну при чем тут биос, микрокод и т.д
если хотите у ФСТЭК есть список сертифицированных коммутаторов, роутеров и прочего активного сетевого оборудования.
ФСТЭК стратифицирует так же и настольные систему и операционки.
Кстати, в связи с Законом о защите персональных данных, скоро без наличия сертификата ФСТЭК нельзя будет задвинуть какое-нибудь программно аппаратные решения в некоторые предприятия, деятельность которых связана Законом о защите ПД. Уж точно это будет сложнее чем раньше. И зачем нам в это случае (нежелание сертифицироваться) продвигать ваши решения??

Кто говорил о нежелании сертифицироваться? Желание есть. А дальше что? На сайте ФСТЭК я ничего не понял. Если ты знаешь, что и куда надо нести, чтобы получить сертификат - рассказывай, это нужно и вам, и нам. Если не знаешь, нечего волну поднимать.

Значит, желание сертифицироваться есть..

Давайте подумаем, есть ли необходимость?

Вы как разработчик и продавец, наверняка знаете, кто и в каких количествах закупает ваш продукт. Проанализируйте, насколько велика среди клиентов доля обработчиков гос. тайны? Беру на себя смелость угадать: их ноль или пара процентов (исключительно для экспериментов или применения в сегментах сети, не обрабатывающих ГТ). Почему? Потому, что в информационных системах классов 3А, 2А, 1А, 1Б, 1В, то есть, тех, которые соответствуют требованиям ФСТЭК для обработки ГТ, необходимо применение сертифицированных средств, иначе, не аттестоваться. Информационные же системы более низких классов могут содержать несертифицированные компоненты. В случае ИС, обрабатывающих модные в этом сезоне персональные данные, применение сертифицированных средств обязательно только в ИСПДн первого класса.

Теперь немного про саму сертификацию.
Занятие это не сказать чтобы чрезвычайно сложное, но финансово оно весьма затратно. Для того, чтобы получить сертификат Вам нужно найти ближайшего лицензиата ФСТЭК, заплатить ему денег и предоставить на испытания продукт и необходимую документацию, через время Вам всё кроме денег вернут, да в придачу дадут ещё красивый сертификат с голограммою. =) А гордое имя вашего продукта появится вот в этом реестре, что, кстати, является неплохой рекламой. Без шуток. Особенно для тех, кого обязывают использовать сертифицированное.

Что же мешает вам прямо сейчас сдать программу на тесты?
Во-первых, необходимо определиться с тем, по какому критерию её будут оценивать. Самыми модными критериями являются отсутствие НДВ(недекларированные возможности) и соответствие ТУ(технические условия). Если попробовать разобраться что же это означает, то фактически, средство, сертифицированное "по ТУ" гарантированно выполняет те функции, которые вы сами указали в пресловутом ТУ, а сертифицированное "по НДВ" не выполняет функций сверх оговоренного вами же функционала. То есть, по сути, имея серый цвет мы получаем справку о том, что наш цвет не темнее серого и ещё одну о том, что он не светлее серого. Полезно? Очень..

Нужно отметить что "по НДВ и ТУ" сертифицирован "самый сертифицированный" антивирус всех времён и народов.

Иными словами, если у вас есть грамотная документация, то ничто кроме отсутствия финансов не может Вам помешать сертифицировать продукт.

Более серьёзным критерием при сертификации является соответствие требованиям РД(регламентирующих документов). Самыми известными из которых являются РД АС,РД СВТ и РД МЭ, который, впрочем, вам совсем не нужен. Регламентирующие документы очень чётко описывают требования, которым должно соответствовать ваше средство, чтобы пройти сертификацию. Всего скорее, программу придётся дописывать, добавлять поддержку программно-аппаратных комплексов защиты от НСД. Впрочем, по деталям этого вопроса лучше консультироваться у местного лицензиата ФСТЭК. Думаю, специалисты на безвозмездной основе могут сориентировать по типу сертификации для вашего продукта и целевому уровню.

И, да, чуть не забыл. Сертификат получается на версию программы. Каждый патч или апдейт, установленный на сертифицированную версию прекращает действие данного конкретного сертификата.

Если есть ещё какие-то вопросы или необходимы уточнения к написанному - постараюсь ответить.

ИСПДн первого класса - это ИСПДн, обрабатывающая любое одно из двух:
- любое количество персональных данных (ПД) категории 1,
- более чем 100 000 субъектов ПД категории 2.

Категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1.

Т.е. если в базах вашего предприятия нет граф "расса, национальность, сексуальная ориентация" и в базах вашего предприятия хранится информация о менее чем ста тысячах человек, то можно использовать несертифицированное ПО. В том числе WTware.

Верно?




1. Открываю http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls Или не этот список? Там написано ".НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ". Проверка ПО это деятельность по защите?
2. Нахожу там территориально ближайших к нам товарищей.
3. Узнаю условия получения сертификата на программный продукт "по НДВ и ТУ".
4. Когда осилим эти условия - выполняю.
5. С этим сертификатом втварь сможет использоваться везде кроме организаций, обрабатывающих государственные тайны.

Верно?


Спасибо!!!

ИСПДн первого класса - это ИСПДн, обрабатывающая любое одно из двух:
- любое количество персональных данных (ПД) категории 1,
- более чем 100 000 субъектов ПД категории 2.

Категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1.

Т.е. если в базах вашего предприятия нет граф "расса, национальность, сексуальная ориентация" и в базах вашего предприятия хранится информация о менее чем ста тысячах человек, то можно использовать несертифицированное ПО. В том числе WTware.

Верно?

Не совсем. Мы с вами упустили из виду СТР-К (мой косяк), который, хоть и является документом-призраком(с 2006 года никакого "К" больше а есть ограниченное пользование), но, тем не менее, живее всех живых. Его необходимо применять при подготовке объекта к любой аттестации. Так вот, в документе этом рекомендовано применение сертифицированных средств во всех системах, которые готовятся к аттестации. Несоблюдение этих РЕКОМЕНДАЦИЙ приведёт, всего скорее, к неаттестации, потому как лицензиат наверняка не захочет брать на себя лишней ответственности. В СТР же сертифицированные средства - требование.

Кроме того, по классам: первый класс значительно ближе чем кажется. Так, к примеру, при отсутствии чёткого перечня (а он отсутствует) данных, которые касаются состояния здоровья и интимной жизни, под первый класс подпадают ИСПДн всех поликлинник и больниц, ЖЭКов (ведь, наличие брака и детей относится к личной сфере), итд итп



1. Открываю http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls Или не этот список? Там написано ".НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ". Проверка ПО это деятельность по защите?


Здесь структура системы сертификации, тут перечень органов по сертификации, а здесь - испытательных лабораторий.

2. Нахожу там территориально ближайших к нам товарищей.
3. Узнаю условия получения сертификата на программный продукт "по НДВ и ТУ".
4. Когда осилим эти условия - выполняю.
5. С этим сертификатом втварь сможет использоваться везде кроме организаций, обрабатывающих государственные тайны.

Верно?

Тут дело не в гос. тайне, а в классе защищённости АС, где будет функционировать Варь. Гос тайна может обрабатываться только в системах классов 3А, 2А, 1А, 1Б, 1В (но в системах этого класса может обрабатывать не только гостайна) и если Вы сертифицируете Ваш продукт на высокие уровни НДВ и ТУ, то ничто не помешает использовать его и на объектах с ГТ.

Извиняйте что так путано выходит объяснение, наверняка общение со ФСТЭК будет более продуктивным и предметным, потому как в этом вопросе я теоретик и на практике с сертификационными испытаниями не сталкивался, потому знания несколько поверхностны и несистемны, если утвердитесь в мысли о необходимости получения сертификата - отпишите, пожалуйста, сюда, что и как делали, будет интересно.

Ну и в качестве пищи для размышления советую обратить внимание на конкурентов. Среди них уже сертифицированные разработки конторы Свемел на базе соляриса (SunRay) и предприятия ОКБ-САПР (аккорд-NT/2000). Аккорд, в частности, может применяться в АС до класса 1Б и в ИСПДн до первого класса включительно. Конкуренты более чем серьёзные. Про аккорд знаю что заявляется схожий с Вашим решением функционал при загрузке по PXE.

Это я к тому, что, возможно, с такими мощными и именитыми соседями по реестру аттестация может и не принести желаемых плодов.

И, собственно, то, зачем я вообще оказался на Вашем форуме. Спасибо за программу, она легка, изящна, беспроблемна и полезна даже в усечённой версии. Удачи вам в развитии и продвижении проекта.